San José, 21 may (elmundo.cr) – El borrador del decreto del Gobierno que establece el Reglamento para la Gobernanza en Ciberseguridad y la Resiliencia Cibernética de las Instituciones Gubernamentales propone la creación de una Dirección Nacional de Ciberseguridad.
Esta Dirección estaría adscrita al Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt), lo que plantea que en lugar de ser un técnico termine siendo un ente político.
La fundadora de la empresa Tech Secure AI, Magaly Masís, en entrevista con el medio Delfino, indicó que “el Micitt es, obviamente, un ente del Poder Ejecutivo que va a representar una línea de pensamiento político y estratégico. Eso puede poner en riesgo esa objetividad y neutralidad”.
“Por eso, si solo se aborda el tema desde el Micitt y desde el Poder Ejecutivo, sin ninguna otra área externa involucrada en ámbitos de la ciberseguridad, las decisiones en esta materia correrían el riesgo de volverse sesgadas y de tomarse sin el respaldo técnico necesario para garantizar que sean las mejores decisiones para el país”, agregó.
La especialista en Derecho Informático recalcó que “tenemos que pensar más allá del Micitt, que es el que ahorita están proponiendo: se necesita un ente objetivo y técnico que involucre a los sectores que se atienden, garantizando que sea una entidad autónoma y libre de cualquier interés externo”.
“El país ahora tiene una nueva visión en materia de recursos y de presupuestos y por eso es mejor que se piense en una dirección como ente aparte, dotando a ésta de independencia para tomar decisiones técnicas. Por eso es que yo la veo bajo el ala de la Sutel, por la independencia, el entendimiento y la madurez en las decisiones que la Sutel ha tomado en materia de telecomunicaciones, basada en criterios técnicos”, aseguró.
Expertos consultados por EL MUNDO CR, explicaron que en el decreto se observa una amplia delegación de tareas operativas, técnicas, normativas e incluso investigativas, lo que no solo genera inseguridad jurídica, sino que habilita indirectamente al Centro de Respuesta de Incidentes de Seguridad Informática (CSIRT-CR) a intervenir en ámbitos especialmente sensibles, sin habilitación legal expresa ni garantías suficientes respecto a su alcance y límites.
De particular preocupación señalan las funciones como la número 7: “Realizar análisis de ciber inteligencia enfocados en la seguridad contra amenazas cibernéticas”. Este tipo de actividad, por su naturaleza, puede suponer acciones de monitoreo, análisis de tráfico, vigilancia o acceso a información privada sea de personas físicas o jurídicas lo cual potencialmente afecta derechos fundamentales como la intimidad, la privacidad de las comunicaciones y la protección de datos personales, todos ellos garantizados constitucionalmente ( 21, 24 y 28) y desarrollados en legislación específica como la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales (Ley N.º 8968).
Para los expertos ejercer esta función sin marco legal expreso y sin controles judiciales o administrativos adecuados, podría incluso traducirse en actuaciones inconstitucionales o ilegales por parte de la Administración. Lo mismo puede decirse de la función señalada en el inciso 8, referida al análisis forense y su colaboración con autoridades judiciales, la cual plantea interrogantes sobre la cadena de custodia, garantías del debido proceso y límites entre funciones administrativas y judiciales; temas similares a los que fueron duramente criticados cuando el Gobierno de Carlos Alvarado estableció de decreto para la creación de la Unidad Presidencial de Análisis de Datos (UPAD).
Otro señalamiento importante que realizan es que se le delega a este órgano la elaboración de normativa en materia de seguridad de las tecnologías de la información y comunicación. No obstante, se debe resaltar que la generación de normas está delegada directamente a la Asamblea Legislativa y no a dependencias ministeriales como lo sería este órgano.
