El libro aborda uno de los desafíos más urgentes y complejos de nuestro tiempo: la protección de los activos de información y de los datos personales en un entorno crecientemente digital, interconectado y vulnerable. En una sociedad donde la información es poder y los riesgos tecnológicos se transforman día a día, esta obra ofrece una guía esencial para comprender el nuevo ecosistema jurídico que regula la seguridad digital.
Con un enfoque claro, sistemático y profundamente actual, el texto realiza un análisis integral del marco normativo chileno en materia de ciberseguridad —desde la reciente Ley Marco de Ciberseguridad N° 21.663, la Ley N° 19.628 de Protección de la Vida Privada, hasta la Ley N° 21.459 sobre Delitos Informáticos—, integrando a su vez los principales estándares internacionales (como la familia ISO 27000) y experiencias comparadas relevantes a nivel global.
A través de cinco capítulos estructurados, el autor examina de manera rigurosa y pedagógica:
- Los conceptos fundamentales de ciberseguridad, activos de información y gestión de riesgos.
- El marco jurídico general y sectorial aplicable en Chile, junto con el rol de los organismos fiscalizadores.
- El alcance y las proyecciones de la Ley Marco de Ciberseguridad, en un contexto de gobernanza digital.
- La protección de los datos personales como activo crítico de información y derecho fundamental.
- La criminalidad informática y los ciberdelitos emergentes, como hacking, phishing, ransomware y otros ataques cibernéticos, con su correspondiente tratamiento penal.
- Más que una simple descripción normativa, Ciberseguridad y Derecho construye un puente entre el Derecho y la tecnología, ofreciendo a abogados, ingenieros, académicos, estudiantes y profesionales del sector público y privado una herramienta práctica y analítica para enfrentar los desafíos de la era digital.
En tiempos de transformación digital acelerada, esta publicación se convierte en una referencia ineludible para comprender cómo el Derecho responde —y debe responder— a la velocidad, magnitud y complejidad del avance tecnológico, proponiendo soluciones concretas y una visión estratégica sobre la protección de la información, la responsabilidad jurídica y la prevención del delito informático.
CAPÍTULO PRIMERO
CIBERSEGURIDAD, ACTIVOS DE INFORMACIÓN, ESTÁNDARES ISO Y OTROS TÓPICOS
A. Sobre la ciberseguridad y la seguridad de la información. La ciberseguridad holística
B. El rol esencial de Internet, tanto para la comisión de ciberataques como para el desarrollo de la ciberseguridad
C. Los Activos de Información (AI)
D. Los estándares ISO 27001 y ss. Un referente ineludible
E. Del análisis y la gestión de riesgos en general
F. Vulnerabilidades, ataques informáticos o ciberataques e incidentes de ciberseguridad
G. Inteligencia artificial versus ciberseguridad
H. Ciberseguridad y blockchain
I. Ciberseguridad en la nube del cloud computing
J. Los Marcos de Ciberseguridad, de Privacidad y las directrices de autenticación de identidades digitales del NIST
K. ENISA, la European Union Agency for Cybersecurity o Agencia de la Unión Europea para la Ciberseguridad
L. La importancia de las auditorías de sistemas
M. La importancia de la gestión y la gobernanza de datos para la ciberseguridad
CAPÍTULO SEGUNDO
CIBERSEGURIDAD Y DERECHO. VISIÓN DE CONTEXTO
A. Generalidades. La Ley N° 21.663 (referencia)
B. El marco jurídico para la ciberseguridad en la Administración del Estado. Referencia
C. Marco regulatorio (i) para las Instituciones Financieras y (ii) para las empresas fintec. Las normas de la CMF y las Leyes N° 20.009, N° 21.521 y N° 21.663 (referencias)
D. Directrices de la CMF sobre gestión de riesgo operacional y ciberseguridad en materia de seguros. NCG N° 454
E. Ley N° 19.799. Criptografía, firma electrónica avanzada y autenticación de documentos electrónicos
E.1 Falta de seguridad y no adecuación al Derecho Público en el uso de certificados de PKI en el SRC.
E.2 Falta de seguridad y no adecuación al Derecho Público del sistema www.firmagob.cl
E.3 Falta de seguridad y no adecuación al Derecho Público de la FEA en línea - Decreto N° 24 del 2019
E.4 Uso válido de certificados digitales para la emisión y firma de DTE (facturas) en el Portal MiPyme del SII
F. Bloque de posibles responsabilidades legales asociadas a la ciberseguridad. Sobre la responsabilidad civil en general y particular
G. Derecho Comparado. La Ley de Gestión de la Seguridad de la Información y Ciberseguridad (FISMA) de EEUU y los Reglamentos de Ciberseguridad de la UE
CAPÍTULO TERCERO
EL MARCO JURÍDICO GENERAL DE LA LEY N° 21.663
A. Generalidades y Políticas Nacionales
B. El caso del Banco Santander. Acceso indebido a credenciales y datos personales
C. El antecedente previo de la Ley N° 21.663: el NIS 2 de la Unión Europea
D. Contexto, objeto y estructura del articulado de la Ley N° 21.663 de abril del 2024
E. Los Principios fundantes de la Ley N° 21.663
F. Roles esenciales de la norma. Operadores de Importancia Vital y Prestadores de Servicios Esenciales (artículos 4°, 5° y 6°)
G. Obligaciones de ciberseguridad. Deberes generales y específicos de los OIV (artículos 7° y 8°)
H. Clasificación administrativa de los incidentes de ciberseguridad
I. Marco jurídico (referencia). Ley, Reglamento e Instrucción General sobre reportes de brechas o de incidentes de ciberseguridad (artículos 9° y 27°)
J. Los incidentes de efecto significativo, el tratamiento de DP y las direcciones IP
K. De la reserva de información en el sector público en materia de ciberseguridad
L. Incumplimientos, infracciones y sanciones
CAPÍTULO CUARTO
CIBERSEGURIDAD Y PROTECCIÓN DE DATOS PERSONALES. EL MARCO JURÍDICO ESPECIAL DE LAS LEYES N° 19.628 Y N° 21.663
A. Generalidades
B. Sobre el tratamiento de DP y las obligaciones de los responsables y encargados. La importancia del deber de secreto, confidencialidad o reserva en materia de SGSI y tratamiento de DP
C. Derecho de supresión de DP ejercido mediante el concatenamiento de información en los bloques del blockchain
D. Análisis y gestión de riesgos en materia de PDP en particular. Las específicas evaluaciones de impacto o PIAS
E. Normas ISO 27701, especialmente referida a “privacidad” y a “protección de DP”
F. El RGPD del 2016 y su influencia directa en la Ley N° 19.628
G. Acceso ilícito a las credenciales de autenticación en el iter criminis del delito de phishing (referencia)
H. Especiales cuestionamientos jurídicos a las definiciones contractuales y bancarias acerca de la responsabilidad por el uso y la confidencialidad de una password o clave de acceso
I. Tratamiento de DP sensibles y biométricos con fines de autenticación de ID. Ley N° 21.734 y facultades de la PDI
J. Normas jurídicas expresas y particulares aplicables a los RDP en calidad de prestadores de servicios esenciales y operadores de importancia vital. Ley N° 21.663
K. Derecho Comparado: ciberseguridad para los sistemas de IA aplicados al tratamiento de DP en Colombia
L. Derecho Comparado: estándares de ciberseguridad y privacidad sugeridos por el MINTIC (Colombia)
M. Derecho Comparado: estándares o medidas de ciberseguridad de los ficheros automatizados que contengan datos personales, contenidos en los Reglamento o Real Decreto 994/1999 y el Real Decreto 1720/2007 (España)
N. Derecho Comparado: el Habeas Data como mecanismo procesal para auditar e instar por el cumplimiento de los deberes de seguridad en el tratamiento de DP (Argentina)
CAPÍTULO QUINTO
RESPONSABILIDAD PENAL DERIVADA DE LA COMISIÓN DE DELITOS INFORMÁTICOS. HACKING Y PHISHING
A. Sanciones jurídico-penales a los ciberataques
B. De los delitos informáticos en general
C. Los delitos informáticos, el Convenio de Budapest y la cibercriminalidad en la Ley N° 21.459. Referencia
D. El específico delito de hacking. El delito blanco no sancionable penalmente
E. El Ransomware
F. Robo de Identidad digital y phishing, desde la perspectiva del Derecho Penal
