Los invitamos a leer la columna escrita por nuestro socio Antonio Rubilar y directores Francisco Fuentes (Litigio Civil y Arbitraje) e Ivonne Bueno (az Tech), quienes reflexionaron sobre los litigios que surgirán a raíz de la Ley Marco de Ciberseguridad.
Uno de los puntos más relevantes de la ley es la facultad de la Agencia Nacional de Ciberseguridad (ANCI) para calificar a ciertos prestadores de servicios, principalmente esenciales, como Operadores de Importancia Vital (OIV), en base a criterios específicos.
La reciente entrada en vigencia de la Ley Marco de Ciberseguridad (N°21.663) no solo establece nuevos estándares, obligaciones y sanciones, sino que también abrirá la puerta a nuevos litigios en el ámbito administrativo y judicial. Las organizaciones obligadas debieran prepararse desde ya para enfrentar eventuales disputas derivadas de su aplicación.
1. Calificación de Operadores de Importancia Vital
Uno de los puntos más relevantes de la ley es la facultad de la Agencia Nacional de Ciberseguridad (ANCI) para calificar a ciertos prestadores de servicios, principalmente esenciales, como Operadores de Importancia Vital (OIV), en base a criterios específicos. Esta clasificación no es menor: implica mayores exigencias y sanciones más altas que para los servicios esenciales tradicionales, duplicando las multas máximas de 20.000 a 40.000 UTM, en caso de infracción.
Este proceso incluye la emisión de un informe fundado por organismos sectoriales, la emisión y consulta pública de una nómina preliminar de OIV y, finalmente, la resolución. Contra esta decisión, los afectados podrán interponer los recursos administrativos dispuestos en la Ley N°19.880 (reposición, jerárquico, etc.) y el recurso de ilegalidad ante la Corte de Apelaciones de Santiago (ICA) o la del domicilio del reclamante.
En este último caso, tomará gran relevancia para los prestadores de servicios el que pueda decretarse una orden de no innovar (ONI) ante la ICA respectiva, en caso que la resolución definitiva de la ANCI sea la determinación de la empresa como OIV, y existan méritos suficientes para discutirla a través de los recursos dispuestos por la ley. Lo anterior, por cuantos esta solicitud se dispone como la alternativa para “congelar” los efectos de la resolución de la ANCI, mientras se dirime si el prestador es efectivamente o no de importancia vital.
2. Acceso a redes y sistemas informáticos
La ANCI tiene además la atribución de requerir acceso a redes y sistemas informáticos en caso de incidentes de impacto significativo o como parte de su actividad fiscalizadora. Sin embargo, las instituciones privadas podrán oponerse a este acceso, lo que activará un procedimiento especial ante la ICA, donde un ministro designado de la Corte deberá resolver el requerimiento previa audiencia en el menor plazo posible.
Si se otorga la autorización, la entidad afectada podrá apelar, y la causa se agregará con preferencia a la tabla del día siguiente, incluso si es inhábil, lo que demuestra la urgencia que la ley reconoce a estos casos. A modo de ejemplo, esta celeridad la ley se la otorga también al conocimiento de las apelaciones de medidas cautelares personales en sede penal, lo que ratifica la relevancia que el legislador le ha dado a esta materia, de suma sensibilidad para los prestadores de servicios.
3. Sanciones
La ANCI también podrá, a partir del 1° de marzo de 2025, aplicar sanciones. Los afectados podrán interponer los recursos administrativos contemplados en la Ley N°19.880, los que deberán resolverse prontamente en el plazo de 15 días. Asimismo, el recurrente podrá recurrir de ilegalidad ante la ICA de Santiago o la de su domicilio.
En este caso, la Corte podrá disponer la suspensión de la sanción (ONI) si su ejecución pudiera causar un daño irreparable. Luego, ésta solicitará informe a la Agencia, el que deberá ser evacuado en diez hábiles. Posteriormente, la ICA podrá abrir término probatorio según las normas de los incidentes, ver la causa en relación con posibilidad de alegatos en forma preferente y, posteriormente, decidir rechazar o acoger la reclamación, modificar la sanción, dejarla sin efecto o absolver, según corresponda. Contra esta decisión, se puede recurrir ante la Corte Suprema, la que resolverá en cuenta.
Nueva ley, nuevos litigios
Como se puede observar, la Ley Marco de Ciberseguridad no solo fortalece la seguridad de la información de organismos críticos en Chile, sino que también introduce nuevos desafíos en materia contenciosa, especialmente para las Cortes de Apelaciones y Corte Suprema.
La calificación como OIV; las autorizaciones para acceso a redes y sistemas informáticos; y la imposición de medidas sancionatorias, abrirán un nuevo frente entre empresas y la ANCI, que conocerán principalmente nuestros tribunales superiores de Justicia en sede administrativa.
En este escenario, la ciberseguridad ya no será solo un asunto tecnológico y jurídico, sino un campo clave de disputa legal, donde se requerirá no solo asesoría técnica y legal especializada, sino también defensa estratégica en este tipo de contiendas administrativas, con profesionales capacitados y experimentados para enfrentar este nuevo y complejo marco regulatorio.
Punto aparte será la celeridad que, en la práctica, puedan otorgar las Cortes de Apelaciones y la Corte Suprema a estos procesos, atendidas sus cargas de trabajo y la especialidad en estas materias, en donde se espera un rol activo de la Tercera Sala de la E. Corte Suprema en la creación de jurisprudencia para la aplicación de esta ley y sus normas más relevantes.
Columna escrita por:
Antonio Rubilar | Socio | arubilar@az.cl
Francisco Fuentes | Director Grupo Litigio Civil y Arbitraje | ffuentes@az.cl
Ivonne Bueno | Directora az Tech | ibueno@az.cl
