San José, 20 nov (elmundo.cr) – Podríamos estar frente a una nueva UPAD con el proyecto 23.292, Ley de ciberseguridad de Costa Rica, que pretende concentrar exclusivamente en un órgano de carácter político, no técnico, el manejo y regulación de la información pública y privada del país.
En el artículo 20 de dicha iniciativa se plantea que la rectoría en el manejo de la ciberseguridad recaiga en el Ministerio de Ciencia, Innovacción, Tecnología y Telecomunicaciones (Micitt), que es un órgano político, en lugar de recaer en un órgano técnico como lo sería la Superintendencia de Telecomunicaciones (Sutel).
Este proyecto forma la Agencia Nacional de Ciberseguridad, la cual no gozaría de independencia funcional, técnica, ni presupuestaria, sino que las políticas públicas de ciberseguridad serían manejadas con criterios políticos del gobierno de turno, lo cual da acceso a la información y control de la misma al Gobierno.
Cabe recalcar que algunas instituciones han manifestado su oposición a este proyecto, como es el caso del Tribunal Supremo de Elecciones (TSE), quien planteó que la centralización de toda la información en un órgano político resulta un peligro para el país y su soberanía.
“El suministro de dicha información y el acopio de ésta en un ente centralizado adscrito al Poder Ejecutivo, en criterio de los expertos en seguridad de la información de este Tribunal, no es conveniente y representa un riesgo, pues podría dejar en estado de vulnerabilidad información sensible de la infraestructura crítica en el ejercicio de las tareas sustantivas de estos organismos y en detrimento de su independencia y autonomía”, indica.
De igual forma, el TSE apunta que el proyecto es inconstitucional pues atenta contra la división de poderes como principio fundamental del ordenamiento jurídico al concentrarse el poder en el Ejecutivo.
“El proyecto de ley presenta vicios de constitucionalidad al provocar, en la práctica, que la autonomía constitucionalmente garantizada a este tribunal se diezme. La administración propia de nuestros sistemas informáticos, así como el mantener en reserva nuestros protocolos y acciones de seguridad en esta materia son manifestaciones de la independencia que tiene este Órgano frente a cualquier otro Poder del Estado”, indican.
Además, hace hincapié en que “la iniciativa en los términos propuestos, resulta inconstitucional por ser contraria al principio constitucional de separación de poderes y supone un detrimento a la independencia”. Finalmente agrega que “pondría en riesgo la atención de servicios sustanciales que brinda el Tribunal Supremo de Elecciones”.
Por su parte, la Corte Suprema de Justicia también se opone a este proyecto argumentando que puede impactar y debilitar la seguridad institucional, ya que “el Poder Judicial podría perder el gobierno y control de su plataforma tecnológica en temas se ciberseguridad, un riesgo que ante la situación actual de automatización del Poder Judicial, sería de alto impacto para la institución, ya que tendría dependencia directa de estos órganos y se debilitaría el presupuesto institucional”.
El Instituto Tecnológico de Costa Rica se opone a este proyecto de ley, indicando que “atenta contra la autonomía universitaria ya que amenaza la libertad presupuestaria de la institución”.
Mientras que el Departamento de Estudios, Referencias y Servicios Técnicos de la Asamblea Legislativa llama la atención al acceso a la información privada que podría tener la Agencia Nacional de Ciberseguridad.
Por lo que recalca que “si la intención es que esta Agencia pueda intervenir activamente en las acciones o políticas de seguridad de las diferentes instituciones (tal como se deriva de lo explicado en la exposición de motivos), debe tomarse en cuenta que ello produce un riesgo significativo de inconstitucionalidad, puesto que estas imposiciones lesionarían la autonomía o independencia que tiene las diversas instituciones, como los Poderes del Estado o las instituciones autónomas (artículo 188 de la Constitución Política)”.
“Si bien es cierto, la Sala Constitucional ha interpretado que la ley puede establecer algunas acciones que deben ser de acatamiento de las instituciones o entes que tiene autonomía o independencia, ello no lleva a aceptar que un órgano ministerial tenga la posibilidad constitucional de imponer criterios a tales instituciones o entes, que interfieran en sus atribuciones administrativas (lo que incluiría el manejo presupuestario)”, manifestaron.
De igual forma comentan que “todo el articulado debe ser revisado desde esta óptica, con el fin de evitar que las potestades o funciones de la Agencia Nacional de Ciberseguridad, lesione la independencia o autonomía de las instituciones que conforman el Sector Público”.
“El segundo aspecto de constitucionalidad sobre el que se quiere llamar la atención es el acceso a información privada, que podría tener la Agencia Nacional de Ciberseguridad. La preocupación radica en la posibilidad de que este órgano tenga acceso a información reservada, en el marco de las verificaciones o pruebas que le correspondería hacer de las infraestructuras críticas, especialmente de su seguridad”, comentan.
Cabe destacar que “es posible inferir que puede haber ejercicios que supongan imponerse de estos datos o información, pese a que el mismo texto declara que la privacidad de la información es uno de sus principios rectores. Lo cierto es que plantea la realización de ejercicios de ciberseguridad (artículo 22) que podrían generar el acceso a información privada, como podría ser la información de salud o bancaria”.