La Iniciativa de Ley de Ciberseguridad en discusión actualmente en el Congreso incluye diversas omisiones, redacción confusa, términos ambiguos y hasta nuevas facultades para las fuerzas del orden que podrían poner en riesgo los derechos fundamentales de los mexicanos en términos de seguridad, privacidad y libertad de expresión, afirma en un comunicado un grupo de organismos industriales del sector de telecomunicaciones y tecnologías de la información.
“La Ley que actualmente se discute en el Congreso pone en riesgo la libertad de expresión, la privacidad y el incumplimiento por parte del Estado a la protección de datos personales reconocidos internacional y nacionalmente, los cuales son fundamentales en cualquier entorno digital”, acusa el documento.
Por un lado, los firmantes reconocen como algo positivo que se considere la creación de una política, una estrategia y una agencia nacionales de ciberseguridad, con la participación de un Consejo Consultivo Ciudadano, lo que serviría para establecer bases de colaboración con industria y organizaciones civiles.
Sin embargo, advierten que también existen ausencias, por ejemplo, que no se ha definido el fundamento constitucional que da facultades al Congreso para legislar en materia de ciberseguridad, además de que tiene una redacción confusa para delimitar atribuciones relacionadas con asuntos de seguridad pública y seguridad nacional.
En específico, advierte que no se hace distinción entre la ciberseguridad a nivel privado, y las tareas de seguridad pública y la ciberdefensa que llevan a cabo las fuerzas del orden.
“Las restricciones a los derechos humanos, en particular los de privacidad, libertad de expresión y protección de datos personales, deben ser sometidas a un escrutinio estricto y pasar por la prueba de proporcionalidad”, agrega.
Señala también que existe falta de definiciones para el resguardo de la privacidad de los mexicanos cuando se colabora con agencias extranjeras, así como un catálogo definido respecto a las autoridades competentes para solicitar información privada.
Asimismo, el documento critica la propuesta de creación de un registro nacional de incidentes, al considerar que puede ser desproporcionado, ya que al contener términos vagos y ser demasiado amplia, se presta a “un control excesivo del Estado en detrimento de los derechos fundamentales”.
Por ello, recomienda que “cualquier iniciativa y/o lineamientos en materia de ciberseguridad deben contener y detallar sólidas salvaguardas procesales y de derechos humanos, además de cumplir estándares y prácticas internacionales como son legalidad, necesidad y proporcionalidad”.
Adicionalmente, advierte que se corre el riesgo de ampliar las tareas de vigilancia, espionaje e intervención de comunicaciones de las fuerzas armadas, incluyendo solicitudes a particulares para entrega de información por parte de la “Agencia Nacional de Ciberseguridad” sin salvaguardas para garantizar su cuidado y protección, lo que es una “injerencia indebida e injustificada en los derechos humanos de privacidad y protección de datos personales”.
La entrega de información a autoridades en los términos de la Iniciativa es contraria a lo previsto en la Constitución y la normatividad de protección de datos personales, ya que aquella no plantea los estándares de seguridad de la información que los sujetos obligados (autoridades) habrán de observar a fin de garantizar la integridad, disponibilidad y confidencialidad; situación que puede conducir a violaciones irreparables en los derechos de privacidad y protección de datos personales”.
Y aunque la Ley de Ciberseguridad menciona supuestos derechos digitales que se deberán considerar en su aplicación, el documento de la industria advierte que estos son genéricos, amplios y sin definición precisa, por lo que la Ley debería referirse únicamente a derechos existentes que ya se encuentran regulados por leyes vigentes.
Los firmantes incluyen a la Cámara de Comercio Internacional (ICC) y asociaciones empresariales de la industria tecnológica de México y América Latina: Asociación Latinoamericana de Internet (ALAI), Asociación Interamericana de Empresas de Telecomunicaciones (ASIET), Cámara Nacional de la Industria Electrónica, de Telecomunicaciones y Tecnologías de la Información (Canieti), Asociación Mexicana de la Industria de Tecnologías de Información (Amiti) y la Asociación Nacional de Telecomunicaciones (Anatel).
Recomendaciones para cumplimiento de tratados internacionales y garantizar participación ciudadana
El documento también incluye recomendaciones a integrar a la Ley de Ciberseguridad, tales como vigilar el cumplimiento de tratados internacionales firmados por México como el T-MEC, la necesidad de ratificar el Convenio de Budapest, además de integrar mecanismos que fomenten la capacitación y participación de la población civil en temas de ciberseguridad.
En general, la industria recomienda que la Ley retome un enfoque basado en riesgos, “que contemple el ‘NIST Framework’ identificando las siguientes funciones: i) identificar, ii) proteger, iii) detectar, iv) responder y v) recuperar, con el objetivo de determinar aquellos riesgos de mayor impacto”.
La industria considera que México debe ser “coherente” con los tratados internacionales que ha firmado y se ha suscrito, incluyendo el T-MEC, que prevé el enfoque basado en riesgos, en lugar del modelo actual de “regulación prescriptiva, que enfatiza conductas prohibidas y sanciones”.
La adopción de un enfoque basado en riesgos permitiría que el país pueda adaptarse a la naturaleza cambiante del ciberespacio y de las amenazas, además de cumplir con las mejores prácticas internacionales.
Finalmente, la industria considera que la Ley incluye medidas excesivas que amenazan a la libertad de expresión, tales como la solicitud de dar de baja direcciones IP, aplicaciones, dominios y sitios de Internet, ya que no incluye contrapesos.
Se recomienda que este tipo de acciones se limiten únicamente a casos excepcionales como incitación al terrorismo, actos de apología al odio, instigación al genocidio, trata de personas o pornografía infantil.
Por otro lado, la industria recomienda que México se integre al Convenio de Budapest, al ser un acuerdo internacional con el objetivo de proteger a la sociedad frente a los delitos informáticos y en Internet mediante la elaboración de leyes adecuadas; la mejora de las técnicas de investigación; y el aumento de la cooperación y la transparencia internacional.
FUENTE: dplnews
