|
Ciudad de M茅xico a 5 de septiembre de 2023 Los organismos empresariales que suscribimos el presente documento, estamos comprometidos con la construcci贸n de marcos legales que garanticen el Estado de Derecho, la certidumbre jur铆dica y la protecci贸n de los derechos humanos. Impulsamos el desarrollo del entorno global, brindando servicios de alta calidad para la ciudadan铆a y a todos los sectores productivos de M茅xico, incluyendo gobierno y academia; promoviendo la seguridad digital, la innovaci贸n, el respeto irrestricto a los derechos humanos como la privacidad, la protecci贸n de datos personales, la promoci贸n de la libertad de expresi贸n, as铆 como la libre asociaci贸n, por mencionar algunos.
• Manifestamos nuestro compromiso por cuidar la seguridad de todas y todos, por lo que hacemos un llamado a no poner en riesgo los derechos humanos fundamentales. • La Iniciativa de Ley Federal de Ciberseguridad pone en riesgo derechos como la libertad de expresi贸n, la privacidad, el incumplimiento por parte del Estado a la protecci贸n de datos personales reconocidos internacional y nacionalmente los cuales son fundamentales en cualquier entorno digital. • Como sectores esenciales afectados por esta propuesta de regulaci贸n, abogamos por respetar los compromisos internacionales en materia de derechos humanos de los que M茅xico es parte, as铆 como garantizar los ya mencionados. • El respeto a las obligaciones asumidas en los tratados internacionales son la base para el impulso y la promoci贸n de inversiones econ贸micas. La discusi贸n de una ley federal de ciberseguridad debe realizarse de manera colaborativa entre el sector p煤blico, academia, sociedad civil e iniciativa privada cuando nos une el objetivo de un M茅xico Hiper-Conectado, reduciendo la brecha digital en todo el pa铆s, incrementando la competitividad y productividad; mejorando la calidad de vida y las condiciones de bienestar de los mexicanos sin ser ajenos a las obligaciones asumidas en los tratados internacionales, como base para el impulso y promoci贸n de inversi贸n econ贸mica La Ley que actualmente se discute en el Congreso, pone en riesgo la libertad de expresi贸n, la privacidad y el incumplimiento por parte del Estado a la protecci贸n de datos personales reconocidos internacional y nacionalmente, los cuales son fundamentales en cualquier entorno digital. Es por lo que, identificamos las principales preocupaciones que tenemos empresas y asociaciones en torno a la Iniciativa de Ley Federal de Ciberseguridad.
La exposici贸n de M茅xico a los ciberataques va en aumento • El pa铆s se mantiene en el primer lugar de intentos en ciberataques en Latinoam茅rica, con 187,000 millones de intentos en 2022, un crecimiento del 20% seg煤n datos de Fortinet . • De acuerdo con el 脥ndice de Ciberseguridad Global (Global Cybersecurity Index) M茅xico se encuentra en el lugar 52 y en la regi贸n ha ca铆do hasta la posici贸n 4, despu茅s de Estados Unidos, Canad谩 y Brasil. • El Banco Mundial establece que, M茅xico se encuentra en el puesto 15 de las mejores econom铆as en el mundo en relaci贸n con la generaci贸n del PIB, para el INEGI, las PyMEs generan el 52% del PIB y 72% del empleo en el pa铆s, sin embargo, las PyMEs que sufren un ciberataque pueden llegar a pagar hasta dos millones de pesos por un rescate, aumentado los factores por los cuales las PyMEs pueden desaparecer y afectar la econom铆a del pa铆s .
Reconocemos que la Iniciativa de Ley Federal de Ciberseguridad tiene aspectos positivos y recupera diversos planteamientos del sector privado • Celebramos que la Iniciativa considere la creaci贸n de una pol铆tica, una estrategia y una Agencia nacionales de Ciberseguridad, con la participaci贸n de un Consejo Consultivo Ciudadano. Se fomenta as铆 una cultura de ciberseguridad entre la poblaci贸n, contribuyendo a la seguridad de los usuarios digitales, sin embargo, es importante enfatizar la importancia de la prevenci贸n como herramienta de mitigaci贸n frente a los posibles riesgos asociados al uso de la tecnolog铆a en la que la voz de los expertos de la industria pueda formar parte. • Se resalta en la exposici贸n de motivos el establecer bases de colaboraci贸n entre el gobierno y la iniciativa privada a trav茅s de las diferentes c谩maras industriales, empresas y la poblaci贸n, aspecto fundamental para combatir los delitos cibern茅ticos. • Si bien la Agencia Nacional tendr铆a un rol relevante en la ejecuci贸n de acciones relacionadas con la ciberseguridad, el Transitorio Tercero establece de facto que la Coordinaci贸n de Estrategia Digital Nacional adscrita a la Oficina de la Presidencia, tendr铆a igualmente facultades otorgadas de manera discrecional al Titular del Ejecutivo (de manera temporal hasta por 36 meses posteriores a la entrada en vigor del decreto). • Reconocer el derecho a la intimidad, en sus diversas manifestaciones, ha ampliado su 谩mbito de protecci贸n, donde adem谩s de rechazar invasiones en el 谩mbito privado, ahora supone el uso y control sobre los datos concernientes a cada individuo; por lo cual debe serle reconocido como un derecho fundamental protegido y garantizado.
Mejorar el fundamento legal de la Iniciativa • Es necesario definir el fundamento constitucional conforme al cual el Congreso de la Uni贸n pueda legislar en materia de ciberseguridad, lo cual idealmente debe realizarse a trav茅s de la reforma constitucional que le confiera la facultad exclusiva para legislar en la materia; o, si el Congreso decide que existan facultades concurrentes, se se帽ale que tendr谩 facultad para expedir la Ley General correspondiente. • La redacci贸n es confusa para delimitar atribuciones relacionadas con asuntos vinculados a la seguridad p煤blica y a la seguridad nacional. Es necesario distinguir la ciberseguridad a nivel civil y proteger la seguridad p煤blica de las fuerzas del orden y las actividades relacionadas con la ciberdefensa, las cuales, deben ser debidamente acotadas conforme a las facultades de los diferentes cuerpos de seguridad involucrados en la atenci贸n de estos casos, considerando sus 谩reas de responsabilidad.
Definir claramente los aspectos relacionados con la ciberseguridad, garantizar los derechos humanos y los derechos digitales Las restricciones a los derechos humanos, en particular los de privacidad, libertad de expresi贸n y protecci贸n de datos personales, deben ser sometidas a un escrutinio estricto y pasar por la prueba de proporcionalidad. Presentamos los se帽alamientos espec铆ficos siguientes al texto de la Iniciativa:
Limitaciones a la libertad de expresi贸n • El art铆culo 78 castiga con una pena de tres a seis a帽os de prisi贸n y una multa de quinientas a mil unidades de medida y actualizaci贸n “al que describa, dise帽e o grabe cualquier tipo de material digital, auditivo, fotogr谩fico o video gr谩fico con el prop贸sito de que sea exhibido, publicado o compartido a trav茅s de redes de sistemas inform谩ticos, electr贸nicos, telem谩ticos, programas o aplicaciones que sean producto de la evoluci贸n tecnol贸gica mediante los cuales se incite, facilite, induzca u obligue a personas a ocasionar un da帽o f铆sico, psicol贸gico o material, a s铆 mismas o a terceros”. • Si bien el propio art铆culo se帽ala que no se sancionar谩n expresiones que se realicen en apego a la libertad de expresi贸n, la amplitud de conductas que pueden estar incluidas en la definici贸n ocasionar谩n graves problemas en su aplicaci贸n pr谩ctica. En este mismo tenor, el art铆culo tiene concepciones que pueden resultar subjetivas al momento de su valoraci贸n. • Cualquier iniciativa y/o lineamientos en materia de ciberseguridad, deben contener y detallar s贸lidas salvaguardas procesales y de derechos humanos, adem谩s de cumplir est谩ndares y pr谩cticas internacionales como son legalidad, necesidad y proporcionalidad. • El derecho a la privacidad y la seguridad de la informaci贸n en el entorno digital debe ser garantizado por todos los agentes de la cadena de valor en la prestaci贸n de los servicios; estableciendo y delimitando claramente las responsabilidades de cada agente que participa. El art铆culo 13 en su fracci贸n V no establece una limitante que garantice que la colaboraci贸n con autoridades extranjeras preserve la privacidad de los ciudadanos mexicanos. • Las intromisiones a los derechos humanos en los t茅rminos planteados por la Iniciativa no son aceptables. En particular, las restricciones a los derechos de privacidad y protecci贸n de datos personales al ordenar la entrega de informaci贸n personal a un cat谩logo indefinido de autoridades competentes, mismas que no resultan necesarias ni son proporcionales puesto que ya existen disposiciones legales para atender requerimientos de autoridades con fines de investigaci贸n y persecuci贸n de delitos. Toda restricci贸n a los derechos humanos debe ser m铆nima y limitada, m谩xime cuando en la pr谩ctica ya existen figuras jur铆dicas similares para cumplir prop贸sitos similares (art铆culos 189 y 190 de la Ley Federal de Telecomunicaciones y Radiodifusi贸n; y art铆culos 301 y 303 del C贸digo Nacional de Procedimientos Penales). • Reconocemos el inter茅s de contar con un control sobre los eventos que se consideren como un delito cibern茅tico, analizando informaci贸n y asegurando procesos a trav茅s de controles y su implementaci贸n; sin embargo, una eficaz estrategia de ciberseguridad a trav茅s de la integraci贸n de un Registro Nacional de Incidentes, como se propone, requiere de esfuerzos que deber铆an enfocarse 煤nicamente cuando se comprometa infraestructura con informaci贸n esencial o estrat茅gica para la provisi贸n de bienes o la prestaci贸n de servicios p煤blicos b谩sicos; y, por ende, pudiera afectarse o ponerse en riesgo la Seguridad P煤blica o la Seguridad Nacional. • En suma, obtener informaci贸n de una forma desproporcionada y excesiva bajo el argumento de un incidente cibern茅tico, t茅rmino que resulta sumamente gen茅rico al no definir qu茅 se entiende o qu茅 par谩metros se emplear谩n para as铆 determinarlo, resulta violatorio de los derechos de las personas a la libertad y a la privacidad. Por lo anterior, un Registro como el propuesto llevar谩 a un control excesivo del Estado en detrimento de estos derechos fundamentales.
Invasi贸n a la privacidad y protecci贸n de datos personales a trav茅s de un “monitoreo” de las Secretar铆as de la Defensa Nacional y de la Marina • Consideramos que existen elementos que conllevan al riesgo de que las fuerzas armadas profundicen las tareas de vigilancia, espionaje e intervenci贸n de comunicaciones privadas de la poblaci贸n, sin autorizaci贸n expresa del titular y sin controles judiciales pertinentes. • El art铆culo 28 de la Iniciativa considera que ambas dependencias “en el 谩mbito de sus competencias y a trav茅s de las unidades administrativas que determinen sus titulares” podr谩n “monitorear el ciberespacio para prevenir, identificar y neutralizar las ciberamenazas y ciberataques”. • Asimismo, se faculta a la “Agencia Nacional de Ciberseguridad” para solicitar a los particulares la entrega de cualquier informaci贸n que le sea requerida, sin definir con claridad los procedimientos, requisitos y salvaguardas (Art铆culo 13, fracci贸n XII). • La tutela de los derechos de privacidad y protecci贸n de datos personales es fundamental para la garant铆a efectiva de los derechos humanos en M茅xico. Que la Iniciativa de Ley habilite a diversas autoridades y en concreto a la Agencia Nacional de Ciberseguridad, representa por s铆 misma una injerencia indebida e injustificada en los derechos humanos de privacidad y protecci贸n de datos personales. • La entrega de informaci贸n a autoridades en los t茅rminos de la Iniciativa es contraria a lo previsto en la Constituci贸n y la normatividad de protecci贸n de datos personales, ya que aqu茅lla no plantea los est谩ndares de seguridad de la informaci贸n que los sujetos obligados (autoridades) habr谩n de observar a fin de garantizar la integridad, disponibilidad y confidencialidad; situaci贸n que puede conducir a violaciones irreparables en los derechos de privacidad y protecci贸n de datos personales. En caso de sufrir un incidente de ciberseguridad las organizaciones estar铆an obligadas a entregar la informaci贸n al Registro Nacional de Incidente, sin embargo, el acceso a la informaci贸n deber铆a ser limitado a autoridades con plenas competencias, y no otorgar un acceso generalizado.
Derechos digitales • La Iniciativa establece un cat谩logo amplio y gen茅rico de derechos digitales (incluso derechos no previstos en la normatividad de protecci贸n de datos aplicable y sin definici贸n estandarizada) que las organizaciones deber谩n tramitar y considerar, una Iniciativa de esta naturaleza no es el medio id贸neo para establecer dicho cat谩logo, m谩xime cuando diversas organizaciones nacionales e internacionales trabajan en la definici贸n de derechos digitales con amplia participaci贸n de la industria y de la sociedad en general. Ejemplos son la Carta de Derechos de la Persona Digital, de la Comisi贸n de Datos Personales del Sistema Nacional de Transparencia; y la Carta Iberoamericana de Principios y Derechos en los Entornos Digitales. No es recomendable establecer nuevos derechos de forma gen茅rica y amplia, mejor dicho, deben referirse a derechos existentes que ya se encuentran regulados en las leyes vigentes. De otra forma, resulta imposible cumplir con la observancia de derechos de este tipo en que no se aporta la definici贸n. • La Iniciativa debiera alinearse a la gesti贸n de riesgos que contempla el “NIST Framework” identificando las siguientes funciones: i) identificar, ii) proteger, iii) detectar, iv) responder y v) recuperar con el objetivo de determinar aquellos riesgos de mayor impacto. Sin embargo, en la Iniciativa no son atendidos los puntos relativos a la detecci贸n, contenci贸n, mitigaci贸n y reacci贸n conjunta de la sociedad para lograr ciberseguridad ante ciberataques. • El lenguaje de la Iniciativa se centra, en la exposici贸n de motivos, en el da帽o o en la protecci贸n del da帽o a los sistemas inform谩ticos, cuando la principal protecci贸n deber铆a enfocarse en las personas f铆sicas y morales; ya sea que se causen da帽os econ贸micos, o de car谩cter est茅tico, psicol贸gico, reputacional, ambiental, colectivo, emergente, de seguridad nacional, entre otros; seg煤n reconozcan las distintas jurisdicciones de cada pa铆s que, a trav茅s del uso de las tecnolog铆as, se le puedan ocasionar por parte de terceros y de manera intencional para afectarles o cometer delitos en su contra.
Considerar las obligaciones asumidas en el T-MEC y ser coherente con los compromisos internacionales El acuerdo comercial entre M茅xico, Estados Unidos y Canad谩 (T-MEC) entr贸 en vigor en junio 2020. El documento compromete a nuestro pa铆s (entre otras cosas) a construir capacidades de respuesta ante incidentes cibern茅ticos, fortalecer la colaboraci贸n, proteger a la ciudadan铆a, y garantizar la privacidad de datos en el corto plazo. Cualquier legislaci贸n en la materia debe estar homologada a los compromisos adquiridos para adoptar mejores pr谩cticas, pues la ciberseguridad afecta de forma transversal a todos los usuarios desde individuos hasta pa铆ses y organizaciones.
Informaci贸n cr铆tica • En la Iniciativa, un incidente cibern茅tico se refiere a uno o varios eventos no deseados o inesperados que tienen una “probabilidad significativa de comprometer o comprometan las operaciones organizacionales y amenazar la seguridad de la informaci贸n.” Es una definici贸n sumamente gen茅rica ya que no establece qu茅 se entiende o qu茅 par谩metros se emplear谩n para determinar la “probabilidad significativa de comprometer las operaciones organizacionales y amenazar la seguridad de la informaci贸n.” • Se requiere aclarar el 谩mbito y alcance del concepto, as铆 como establecer los est谩ndares m铆nimos de ciberseguridad, pues es necesario cumplir con los compromisos internacionales ya se帽alados como el T-MEC, entre otros.
Enfoque basado en riesgos • Dada la naturaleza cambiante y constante de las amenazas, cualquier ley y estrategia de ciberseguridad debe utilizar el enfoque basado en prevenci贸n y detecci贸n de riesgos como lo prev茅 el T-MEC en su art铆culo 19.15. Ciberseguridad. Por ello, se recomienda que la Iniciativa utilice un modelo legislativo alternativo a la regulaci贸n prescriptiva, que enfatiza conductas prohibidas y sanciones. Con el enfoque de riesgos se establecen disposiciones que esencialmente replican mecanismos de gesti贸n conforme a est谩ndares internacionales. • En la formulaci贸n de la estrategia nacional de ciberseguridad en el Art铆culo 14, fracci贸n V de la Iniciativa, se privilegia que las empresas usen los enfoques basados en riesgos para tratar las amenazas. Del mismo modo, se recomienda que, en el T铆tulo Sexto, de la Cultura y Educaci贸n, espec铆ficamente en la fracci贸n II, del Art铆culo 60, los Poderes de la Uni贸n desarrollen y difundan una cultura de ciberseguridad con el objetivo de promover el uso de enfoques basados en riesgos y se desincentive la regulaci贸n prescriptiva para tratar las amenazas. • En relaci贸n a la obligaci贸n para los proveedores de servicios de infraestructura digital, plataformas de redes sociales, comunidades de videojuegos en l铆nea, streaming, plataformas de entretenimiento en l铆nea, y telecomunicaciones que operen en territorio nacional (art铆culo 53 del T铆tulo Quinto, de la Prestaci贸n de servicios, de la Iniciativa); que establece privilegiar que la informaci贸n de los usuarios se encuentre almacenada en territorio nacional, se contravienen obligaciones comerciales internacionales de M茅xico en los tratados internacionales; en espec铆fico, el art铆culo 19.12 del T-MEC de la Ubicaci贸n de las instalaciones inform谩ticas, que dice: “ninguna Parte podr谩 exigir a una persona cubierta usar o ubicar las instalaciones inform谩ticas en el territorio de esa Parte, como condici贸n para la realizaci贸n de negocios en ese territorio.”.
Baja de contenidos • Desde nuestros sectores, estamos comprometidos a garantizar el derecho irrestricto a la libertad de expresi贸n de las personas; prohibiciones que afecten este derecho 煤nicamente deben ejecutarse cuando el Estado lo determine en casos excepcionales, como la incitaci贸n al terrorismo, actos de apolog铆a al odio, instigaci贸n al genocidio, trata de personas o pornograf铆a infantil. El dar de baja direcciones IP, aplicaciones, dominios y sitios de internet, solo procede cuando hay una s贸lida justificaci贸n de las autoridades, respetando lo establecido en la Declaraci贸n Universal de los Derechos Humanos, as铆 como la Convenci贸n Americana Sobre Derechos Humanos. De otra forma, se vulneran distintos preceptos que se encuentran contemplados en los art铆culos 8 (Garant铆as Judiciales), 13 (Libertad de Pensamiento y de Expresi贸n), y 25 (Protecci贸n Judicial); la Iniciativa establece facultades de “monitoreo” y de realizaci贸n de “operaciones militares en el ciberespacio” a las fuerzas armadas (art铆culo 18, 21, 26, 40 de la presente Ley). Sugerimos respetar y adoptar el principio de inviolabilidad de las comunicaciones contemplado en los art铆culos 16 de la CPEUM, el art铆culo 190 de la Ley Federal de Telecomunicaciones y Radiodifusi贸n, la Ley de Seguridad Nacional, el C贸digo Nacional de Procedimientos Penales, y la Ley de la Guardia Nacional en donde se exige siempre que las solicitudes de informaci贸n de los usuarios est茅n acompa帽adas o sustentadas por una Orden Judicial. • A fin de promover la transparencia, toda orden de restricci贸n de servicio del gobierno deber铆a ser emitida solo por escrito a los operadores, citar los fundamentos legales y establecer un claro mecanismo de auditor铆a que indique qui茅n es la persona que autoriza dicha orden. Tambi茅n se deber铆a informar a los ciudadanos que es el gobierno quien ordena la restricci贸n del servicio y que fue aprobada por una autoridad judicial o cualquier otra que tenga competencia, de conformidad con los procedimientos administrativos establecidos por ley . • Es fundamental atender a lo dispuesto en el T-MEC, espec铆ficamente el Cap铆tulo 19 “Comercio Digital”, el cual busca eliminar obst谩culos injustificados al comercio realizado por medios electr贸nicos; otorgar certeza jur铆dica a los inversionistas y empresas; y garantizar un entorno en l铆nea seguro para la ciudadan铆a. En el art铆culo 19.8: “protecci贸n de la informaci贸n personal” se estipula que las partes adoptar谩n un marco legal que disponga la protecci贸n de la informaci贸n personal de los usuarios del comercio digital; para ello, el propio organismo mexicano encargado de tutelar el cuidado y protecci贸n de los datos personales, el Instituto Nacional de Transparencia, Acceso a la Informaci贸n y Protecci贸n de Datos Personales (INAI), ha reiterado que es primordial adoptar instrumentos de cooperaci贸n innovadores y fortalecer mecanismos que protejan a los usuarios y al flujo transfronterizo de datos a nivel global; lo que obliga a las plataformas de comercio electr贸nico a implementar mecanismos de seguridad y a la protecci贸n de datos personales. • En 2020 se reform贸 la Ley Federal del Derecho de Autor para dar cumplimiento a la normativa acordada en el T-MEC. En el Cap铆tulo V “De las medidas tecnol贸gicas de protecci贸n, la informaci贸n sobre la gesti贸n de derechos y los proveedores de servicios de internet”, particularmente el art铆culo 114 Octies, se considera un mecanismo similar sobre la baja de contenidos digitales, refiriendo que los proveedores de servicios de Internet no ser谩n responsables por los da帽os y perjuicios ocasionados a los titulares de derechos de autor, derechos conexos y dem谩s titulares de alg煤n derecho de propiedad intelectual.
Censura • La Iniciativa contempla la obligaci贸n para los proveedores de servicios de “dar de baja direcciones IP, aplicaciones, dominios y sitios de internet dentro de las 72 horas posteriores a la notificaci贸n que le realicen la Agencia, la Fiscal铆a General de la Rep煤blica, CERT-MX y autoridades judiciales competentes para su inhabilitaci贸n” (Art铆culo 53, fracci贸n XIII). • No se establecen contrapesos, y al otorgarles ser juez y parte se corre el riesgo de que se efect煤en decisiones de manera discrecional. • Lo anterior atenta contra la Constituci贸n, tratados internacionales suscritos por M茅xico, y criterios de la Suprema Corte en el sentido de que toda restricci贸n, sanci贸n o limitaci贸n a la libertad de expresi贸n debe ser interpretada en forma restrictiva y el Estado, a trav茅s del Poder Judicial, es el 煤nico legitimado para limitarla en los casos excepcionales que establece el derecho internacional, arriba descritos.
La ciberseguridad trasciende fronteras, por ello es urgente que M茅xico ratifique el Convenio de Budapest. • Se recomienda que M茅xico se integre al Convenio de Budapest, siendo un acuerdo internacional con el objetivo de proteger a la sociedad frente a los delitos inform谩ticos y en Internet mediante la elaboraci贸n de leyes adecuadas; la mejora de las t茅cnicas de investigaci贸n; y el aumento de la cooperaci贸n y la transparencia internacional. Este Convenio permite que los requerimientos formulados por los operadores jur铆dicos a nivel nacional sean remitidos de manera c茅lere a los Estados Parte del Convenio, entre los cuales figuran: Estados Unidos de Am茅rica, Italia, Espa帽a, Jap贸n, Canad谩, Israel, Argentina, Chile, Costa Rica, Paraguay, Rep煤blica Dominicana, Panam谩 y Colombia, entre otros. • El Convenio representa un referente en los esfuerzos para fortalecer al Estado de derecho en el ciberespacio. No obstante, en caso de que el Senado de la Rep煤blica ratifique la adhesi贸n del Estado Mexicano al Convenio de Budapest, y la Iniciativa ya hubiere sido aprobada por el Congreso, esta 煤ltima deber谩 ser modificada para armonizar su contenido con las disposiciones en el Convenio. Es recomendable ratificarlo primero, y luego homologar cualquier legislaci贸n en la materia.
Ciberdelitos • M茅xico no ha sido omiso a las preocupaciones sobre ciberdelitos, y cuenta con regulaciones definidas en el C贸digo Penal Federal que dentro del T铆tulo Noveno “Revelaci贸n de secretos y acceso il铆cito a sistemas y equipos de inform谩tica”, tipifica delitos como la modificaci贸n, destrucci贸n o p茅rdida intencional de informaci贸n contenida en sistemas inform谩ticos; la revelaci贸n, divulgaci贸n o utilizaci贸n indebida o en perjuicio de otro, de informaci贸n o im谩genes obtenidas en una intervenci贸n de comunicaci贸n privada. Toda normativa posterior debiera basarse en estos conceptos, homologarlos o, en su caso, actualizarlos. • En general, el T铆tulo Octavo de la Iniciativa relativo a los delitos cibern茅ticos carece de claridad en aspectos fundamentales relacionados con la ciberseguridad y disposiciones penales, violando el principio de legalidad que exige que dichas disposiciones sean accesibles al p煤blico, claras y precisas en su alcance; de modo que las personas puedan determinar razonablemente qu茅 conductas est谩n prohibidas y ajustar su comportamiento. Las definiciones poco precisas dejan lugar a interpretaciones arbitrarias y corren el riesgo de infringir los derechos humanos. • Los cibercr铆menes pueden afectar de manera directa la confidencialidad, integridad y disponibilidad de la informaci贸n, propiedad intelectual, sistemas inform谩ticos, redes de telecomunicaciones, entre otros, por lo cual no solo corresponde al Estado la capacidad de ciberdefensa, pues involucra a toda la comunidad del ecosistema digital. Deben por tanto mantenerse los mecanismos de colaboraci贸n con el sector privado, y establecer de manera clara que los proveedores de servicio de internet solo aportan conectividad y no son responsables de su uso para fines delictivos. • Cualesquiera tipos penales que se creen, no deben duplicar los que ya est谩n tipificados en otros cuerpos legales como la Ley Federal de Protecci贸n de Datos Personales en Posesi贸n de los Particulares que se帽ala diversas infracciones relacionadas con la inobservancia de los deberes de confidencialidad y seguridad, as铆 como delitos particulares relacionados con el indebido tratamiento de datos personales. • La Iniciativa debe abstenerse de incluir mecanismos punitivos que resulten en una doble v铆a de sanci贸n de acuerdo con la normatividad vigente, en la que ya se considera que los incidentes de seguridad de datos personales pueden dar lugar a la imposici贸n de sanciones a los sujetos de derecho p煤blico y privado. • Se debe establecer un plazo de prescripci贸n para la persecuci贸n de delitos que se describen en la Iniciativa. • Las sanciones previstas en la Iniciativa son desproporcionadas; y una organizaci贸n que adopt贸 medidas para una debida diligencia y cuidado en la protecci贸n de la informaci贸n bajo su poder, no deber铆a ser sujeta a sanci贸n ya que en la pr谩ctica se entiende que ha establecido los medios y mecanismos necesarios para cumplir con el deber de seguridad.
Enriquecer el proyecto reconociendo principios, buenas pr谩cticas y recomendaciones de organismos y asociaciones con aval internacional. • Bajo esa premisa, vemos positivamente las propuestas, por ejemplo, de la Guardia Nacional puesto que contempla recomendaciones/lineamientos de adopci贸n voluntaria por parte de la industria, las micro, peque帽as y medianas empresas y los principales agentes que participan del ecosistema m贸vil y digital para propiciar la seguridad desde el dise帽o e incentivar la innovaci贸n tecnol贸gica. • Es importante tener en cuenta en la Iniciativa y en la eventual Ley la legislaci贸n en socios comerciales como los EE. UU. , y Europa , as铆 como de otras regiones de Latinoam茅rica y Asia, en particular por lo que se refiere a la gesti贸n de riesgos, controles de seguridad, evaluaci贸n de seguridad, respuesta a incidentes y referencia a mejores pr谩cticas. • Otro ejemplo es la Organizaci贸n para la Cooperaci贸n y el Desarrollo Econ贸micos (OCDE), para definiciones de conceptos.
Coordinaci贸n entre el gobierno, el sector privado, academia y la sociedad civil. • Se recomienda incluir la opini贸n de sociedad civil, academia y sector privado para definir: (1) la adopci贸n de est谩ndares internacionales de ciberseguridad; (2) el reconocimiento mutuo/ equivalencia de certificaciones; y, (3) la promoci贸n de la educaci贸n y la industria de la ciberseguridad en atenci贸n a referencias internacionales como ISO , UIT , ETSI , NIST , ENISA , 3GPP , GSMA , entre otros. • Intercambio de informaci贸n: se deben definir esquemas y lineamientos, as铆 como establecer Centros de Respuestas a Incidentes para promover (1) una mayor transparencia en torno a los ataques de ciberseguridad; y, (2) la utilidad de los datos relativos al estado actual de los ataques. • La redacci贸n de la Iniciativa se enfoca principalmente a los 贸rganos de Gobierno, por lo que es necesario que la Ley no s贸lo se refiera a la actuaci贸n de las autoridades sino incluir la actuaci贸n y participaci贸n que la iniciativa privada y la sociedad tienen para fortalecer la ciberseguridad.
De la investigaci贸n, desarrollo e innovaci贸n. • Se recomienda incrementar el financiamiento e incentivos a la investigaci贸n, desarrollo, innovaci贸n para los investigadores en gobierno, industria y academia, as铆 como promover el talento altamente especializado, capacitado y certificado en materia de ciberseguridad; e impulsar la inclusi贸n de ramas o materias de ciberseguridad desde la educaci贸n b谩sica hasta la superior.
“Pentesting” o ataque malicioso simulado contra los sistemas inform谩ticos que se usa para encontrar y verificar posibles vulnerabilidades • La Iniciativa omite el tratamiento que se va a dar a las empresas o personas que realizan “pentesting” y an谩lisis de vulnerabilidades, mismos que ayudan a las empresas a mejorar sus defensas ante ataques, y a prevenirlos. Se puede afectar a dichas empresas al caer en un vac铆o legal, cuando sus actividades sientan las bases para fomentar el desarrollo e innovaci贸n en la investigaci贸n para prevenir ciberataques. • Reconocer este tipo de “hacking” permisivo, legal y 茅tico cuenta con el consentimiento pleno de los due帽os de los equipos en los que se va a trabajar la prueba. Adem谩s, permite identificar los problemas, se obtiene conocimiento suficiente para determinar cu谩les son las defensas del sistema, las posibilidades de 茅xito de un ciberataque y la capacidad de respuesta por parte de la organizaci贸n.
De la cultura y Educaci贸n • Considerando que M茅xico busca la transformaci贸n digital en 谩mbitos p煤blicos y privados al igual que en instituciones de educaci贸n, la Iniciativa deber铆a considerar el uso responsable de internet en materia de seguridad de la informaci贸n como parte de los programas de educaci贸n b谩sica, media y superior en apego a la norma NMX-I-319-NYCE-2018 “Escuelas Responsables en el Uso de Internet” que ayude a robustecer la formaci贸n de sus ciudadanos y ayude como medida de prevenci贸n de riesgos de delitos inform谩ticos.
De las t茅cnicas espec铆ficas de investigaci贸n. Alcances de la figura de “agentes encubiertos” • El art铆culo 90 de la Iniciativa se帽ala que el Ministerio P煤blico, atendiendo a la urgencia del caso, puede solicitar al juez de control la actuaci贸n de agentes encubiertos a efecto de realizar las investigaciones. El agente podr谩 intercambiar o enviar por s铆 mismo archivos il铆citos por raz贸n de su contenido, pudiendo obtener im谩genes y grabaciones de referidas comunicaciones. • Al habilitar a los Agentes Encubiertos para operar de forma libre, est谩 en sus manos evitar violaciones a derechos fundamentales; en caso extremo, al no haber supervisi贸n adecuada pudiera alguno de ellos convertirse en el principal punto de distribuci贸n de, por ejemplo, material pornogr谩fico infantil; o al intervenir comunicaciones privadas, facilitar acciones del cibercrimen organizado en distintas modalidades. Urge por tanto la reglamentaci贸n precisa y supervisi贸n a las funciones de estos agentes, dentro de las estrategias y pol铆ticas p煤blicas en materia de ciberseguridad.
Cargas Regulatorias gravosas y de imposible cumplimiento. • La Iniciativa no distingue entre los diversos tipos de proveedores de servicios de telecomunicaciones, cuya oferta e infraestructura puede variar considerablemente; algunos proveen servicios de conectividad (algunos accesos a Internet), m谩s no contenido; otros, como las plataformas sociales o los prestadores de servicios de streaming, dotan de contenido a sus usuarios. En este sentido, las obligaciones impuestas no solo resultan en su conjunto una carga excesiva para los operadores, quienes ya son regulados en la Ley Federal de Telecomunicaciones y Radiodifusi贸n, sino que muchas de las nuevas obligaciones son de imposible cumplimiento o de la competencia de la propia autoridad. • Por ejemplo, la obligaci贸n de atender y dar respuesta a los incidentes de ciberseguridad, la cual debiera ser una responsabilidad de la autoridad y no de los operadores, quienes no cuentan con la facultad, capacidad e infraestructura para realizar dicha labor. • Las obligaciones referentes al manejo, uso, disponibilidad, confidencialidad, entre otros, de la “informaci贸n de los usuarios” no pueden ser aplicables a los prestadores de servicios de telecomunicaciones, en tanto que los mismos no tienen acceso a dicha informaci贸n; es, en su caso, obligaci贸n de los proveedores con acceso a dicha informaci贸n comunicar a los usuarios lo que corresponda, e implementar las medidas requeridas en t茅rminos de la Iniciativa que sean razonables. • Los protocolos de preservaci贸n de evidencia digital establecidos en el art铆culo 13 de la propuesta, as铆 como la normativa en cuanto a evidencia digital, pueden abrir la puerta a una sobrerregulaci贸n y costos adicionales de almacenamiento de informaci贸n por parte de las empresas, ya que no se define qui茅nes ser铆an los responsables. • Es prudente se帽alar que, a partir de la definici贸n de incidente cibern茅tico, las obligaciones, infracciones y sanciones previstas en la Iniciativa se establece una doble v铆a de sanci贸n para las organizaciones del sector privado pues, en la pr谩ctica, el Instituto Nacional de Transparencia, Acceso a la Informaci贸n y Protecci贸n de Datos Personales (INAI) ya puede sancionar a las organizaciones del sector privado con motivo de una vulneraci贸n de seguridad de datos personales; la Iniciativa pretende que una organizaci贸n sea sancionada tambi茅n al actualizar la definici贸n de incidente cibern茅tico prevista en la ley, dando lugar a la violaci贸n del principio non bis in 铆dem. • No es id贸neo ni adecuado que esta ley regule medidas de resarcimiento en los t茅rminos planteados ya que esto solo supondr谩 una carga sumamente onerosa para las organizaciones, sin que pueda demostrarse un efectivo cumplimiento de las resoluciones. Debe privilegiarse el uso de v铆as legales id贸neas como la v铆a civil para reclamar da帽os y perjuicios o bien, los medios previstos en la normatividad de datos personales.
Sostener reuniones de trabajo con las comisiones dictaminadoras. • Actualmente la Iniciativa est谩 en estudio de las comisiones de Seguridad Ciudadana, as铆 como Ciencia, Tecnolog铆a e Innovaci贸n, y para opini贸n de las de Defensa Nacional y de Presupuesto y Cuenta P煤blica de la C谩mara de Diputados del Congreso de la Uni贸n. Es por ello por lo que se solicita respetuosamente a los presidentes de dichas comisiones se lleven a cabo reuniones de trabajo con las c谩maras, asociaciones y organismos firmantes donde puedan expresarse las preocupaciones y propuestas de todos los sectores.
|