El proyecto de ley pretende ser una respuesta a la oleada de ciberataques que vivió el país este año, pero incluye disposiciones polémicas como el aporte del 1,5% del presupuesto de todas las instituciones públicas (Foto: Katya Alvarado).

País

Ley de ciberseguridad afecta presupuesto e integridad de información del Poder Judicial

 Por Vinicio Chacón | vinicio.chacon@ucr.ac.cr

 11 octubre, 2022

Iniciativa obliga a “todas las instituciones del sector público” a transferirle el 1,5% de su presupuesto a una nueva Agencia Nacional de Seguridad.

No sólo se determinó que afecta la organización y funcionamiento del Poder Judicial -por lo cual su eventual aprobación requeriría de 38 votos en la Asamblea Legislativa- sino que el rechazo en Corte Plena fue evidente al proyecto de Ley de Ciberseguridad de Costa Rica.

Se trata de una iniciativa presentada por cuatro integrantes de la bancada liberacionista -incluida su jefa, Kattia Rivera- y un diputado oficialista, que crea una Agencia Nacional de Ciberseguridad, adscrita al Ministerio de Ciencia, Tecnología y Telecomunicaciones (MICITT) como un centro de operaciones de ciberseguridad, de “gestión preventiva, reactiva y proactiva de amenazas e incidentes”.

Esa Agencia contará con una dirección general y su consejo asesor, además de tres unidades operativas independientes entre sí: el Centro de Intercambio y Monitoreo de Redes (CIMR-CR), el Centro de Respuesta a Incidentes de Seguridad (CSIRT-CR) y el Centro de Inteligencia de Datos en Ciberseguridad (CID-CR).

Muy notoria es la disposición respecto al financiamiento de esa nueva agencia. En el articulo 5 de la propuesta se lee: “Un 1,5% del total de recursos presupuestados por todas las instituciones del sector público, que deberán ser transferidos a la Agencia antes del 30 de enero de cada ejercicio presupuestario”.

El texto añade que, además de cumplir con la regla fiscal, las instituciones que no trasladen los recursos en la cantidad y el plazo establecido, “no podrán asignar presupuestariamente en el siguiente ejercicio económico un monto superior al gasto ejecutado en el año precedente según la liquidación respectiva, hasta tanto se realicen las transferencias adeudadas”.

La magistrada Damaris Vargas, quien elaboró el informe sobre el proyecto conocido en Corte Plena el pasado lunes, dijo coincidir con un criterio previo de la Dirección Jurídica del Poder Judicial en el sentido que afecta la organización y funcionamiento del Poder Judicial.

Añadió que, además de transferir ese 1,5% del presupuesto a la nueva agencia, la iniciativa ordena hacer una “reserva presupuestaria para el manejo idóneo de la ciberseguridad en el Poder Judicial, de acuerdo con lineamientos de esa rectoría”.

Vargas destacó también la disposición de que desde la Dirección de la Agencia se elabora una política nacional que debe ser aprobada por los ministerios de Seguridad, Presidencia y Micitt. “El Poder Judicial estaría sometido a estas autoridades”, acotó

Se establecen muchas obligaciones para el superior jerárquico, que en el caso del Poder Judicial es la Corte Plena. Deberá adoptar medidas de seguridad de la información proporcionales al riesgo y muchas otras funciones como evaluación del riesgo y magnitud del daño que podría resultar de ciberataques, aplicar políticas y procedimientos para reducir riesgos de forma rentable, o evaluar periódicamente los controles de seguridad de la información.

Corte Plena tendría que designar un oficial de seguridad de la información de la institución y se debe realizar evaluaciones bianuales de planes y prácticas de seguridad de la información, que deben ser efectuadas por “un tercero independiente”.

Vargas explicó que ello implica medidas como la designación de funcionarios para tareas afines, “lo que implica nuevos costos para el Poder Judicial, lo que evidentemente afecta su organización”, pues “aunque sean personas externas, vamos a tener que pagarlo con nuestros recursos, esta institución y el resto de las instituciones del país”.

Al detallar por qué el proyecto incide en organización y funcionamiento del Poder Judicial, Vargas en primer lugar subrayó que la nueva agencia “va a ser nuestra rectoría”, ya que el proyecto no sólo establece una serie de responsabilidades para la institución, “para Corte Plena, para la Dirección del OIJ y para el Consejo Superior, sino que obliga a contribuir con el costo de creación y sostenimiento de la agencia nacional de ciberseguridad como parte del presupuesto institucional”.

A ello se suma que esa agencia tendría potestades de coordinación sobre la materia para toda la administración pública, además de que se introduce nuevas funciones a la Dirección del OIJ, como integrante del consejo asesor en ciberseguridad, así como para Corte Plena, con lo cual el Poder Judicial podría ser objeto de sanciones por incumplimientos.

“En consecuencia, se estima que se está ante un claro supuesto de creación o variación sustancial de órganos jurisdiccionales de naturaleza administrativa adscritos al Poder Judicial, en especial la modificación de funciones administrativas de este Poder de la República”, apuntó.

Tras su exposición intervino la magistrada Sandra Zúñiga, quien coordinó la Comisión de Ciberseguridad y Ciberdelincuencia del Poder Judicial y dijo que desde esa instancia se consideró emitir un pronunciamiento para oponerse a este proyecto, “no niego que es precisa una regulación frente a todo este frenesí de ataques cibernéticos que se han disparado en los últimos tiempos”, ponderó, pero añadió que en los términos en que esta redactado el proyecto “es sumamente peligroso”.

“Estaríamos poniendo la seguridad de la información de nuestra institución en manos de terceros y con eso yo jamás podré estar de acuerdo”, aseveró.

Dijo que al Unidad de Seguridad de la Información “ha funcionado tan exitosamente que nosotros a diferencia de otras agencias estatales, hemos podido mantener la seguridad de nuestros registros”.

También criticó que haya que transferir recursos “de nuestro presupuesto muy limitado” a la mencionada Agencia.

“No quisiera que en este informe exista ni el más mínimo comentario que pueda generar la idea de que nosotros avalamos este proyecto”, sentenció.

De seguido, el actual coordinador de esa comisión, Gerardo Rubén Alfaro, expresó que el proyecto “sigue la línea de la promoción de legislación que pretende que desde fuera se incida en las decisiones del Poder Judicial, que es independiente”.

“Me preocupa enormemente que la ley proponga al OIJ como un órgano asesor de la organización central” expresó el magistrado, como también que “me preocupa mucho que haya un órgano rector que va a tener incidencia en decisiones del Poder Judicial”.