Chile | ¿Son legales los grupos de WhatsApp laborales? Una advertencia útil ante la nueva ley de datos personales en Chile

Chile | ¿Son legales los grupos de WhatsApp laborales? Una advertencia útil ante la nueva ley de datos personales en Chile

El uso de canales informales como WhatsApp, aunque extendido, no exime del cumplimiento normativo

Con la entrada en vigencia, a partir del 01 de diciembre de 2026, de la nueva Ley sobre Datos Personales en Chile, muchas empresas están revisando sus prácticas cotidianas.

En esta oportunidad queremos centrar nuestra mirada en el ámbito laboral, por los efectos que ello conllevará para las organizaciones y el ejercicio de las legítimas facultades del empleador.

Así, una situación que puede pasar desapercibida, pero que requiere de análisis, es el uso de grupos de WhatsApp entre trabajadores. ¿Es legal? ¿Qué pasa si se usa el número personal del trabajador sin su consentimiento? Un reciente caso en Europa entrega respuestas útiles, y que pueden ser aplicables a nuestro ordenamiento, dado los principios y estándares consagrados en la nueva ley.

La Agencia Española de Protección de Datos (AEPD) sancionó con 42.000 euros a una empresa por agregar el número personal de una trabajadora a un grupo de WhatsApp corporativo sin contar con su consentimiento.

La compañía alegó que lo hacía para fines laborales y que incluso había adoptado buenas prácticas (como el uso de móviles corporativos con medidas de seguridad), pero esto no fue suficiente. La sanción fue impuesta en el marco del Expediente N.º EXP202310848, recientemente publicado por la AEPD.

Lo anterior, a pesar de que en una primera instancia se había declarado inadmisible la reclamación, bajo la conclusión preliminar de que el actuar de la empresa habría sido conforme a derecho, acogiendo sus argumentos de defensa que: “la práctica de la empresa hasta la fecha en esta materia ha sido prudente y garantista toda vez que los grupos de WhatsApp solo incluyen empleados de la empresa”.

Continúa mencionando que no se agregó “a ningún tercero y que los datos personales de los miembros que son objeto de tratamiento necesario se refieren exclusivamente al nombre y apellidos de los miembros y a su número móvil, así como a su intervención en determinadas tareas y proyectos de la empresa, es decir, a los mínimos indispensables”.

Frente a ello, la reclamante interpuso un recurso cuya resolución es clara: no basta con que el tratamiento de datos tenga un fin útil o práctico para la empresa. Para que sea lícito, debe apoyarse en una base jurídica válida (como el consentimiento o la ejecución de un contrato), lo que no se cumplía en este caso.

Es importante mencionar que el uso del número personal no puede forzarse, ni siquiera si se justifica por razones operativas o por falta de equipos, según queda de manifiesto en el Fundamento de Derecho V de la resolución:

A este respecto, cabe señalar que la infracción afecta a un principio básico del tratamiento de datos personales, como es el que dicho tratamiento cuente con una base de legitimación. En el presente caso consta, asimismo que, a pesar de que la reclamante manifestó expresamente su deseo de no seguir utilizando su teléfono personal para cuestiones laborales, el mismo fuera utilizado de nuevo con ese objetivo”.

Esta sanción anticipa un debate que será central bajo la futura legislación chilena: el respeto al principio de licitud en entornos laborales. La nueva ley exigirá que las empresas puedan justificar, documentar y limitar adecuadamente cada tratamiento de datos personales. El uso de canales informales como WhatsApp, aunque extendido, no exime del cumplimiento normativo.

¿Qué deben hacer las empresas en Chile respecto a la protección de datos personales en el ámbito laboral?

  • Evitar usar números personales de trabajadores sin consentimiento claro y documentado.
  • Implementar protocolos escritos sobre herramientas de comunicación interna.
  • Entregar equipos corporativos cuando se requiera comunicación constante por mensajería.
  • Evaluar los riesgos asociados a estos tratamientos, especialmente en términos de privacidad y seguridad.

El caso mencionado deja una lección clave para las empresas chilenas: la gestión de datos personales en el entorno laboral debe planificarse con el mismo rigor que cualquier otro proceso corporativo.

En un escenario donde WhatsApp se ha convertido en una herramienta laboral de facto, la nueva legislación chilena exigirá pasar de la informalidad al cumplimiento. La clave estará en documentar las decisiones, minimizar los riesgos y la implementación anticipada de buenas prácticas.

Para más información sobre estos temas pueden consultar a:

Jorge Arredondo | Socio en Albagli Zaliasnik  | jarredondo@az.cl

Yoab Bitran | Director Grupo Compliance en Albagli Zaliasnik | ybitran@az.cl

Antonia Nudman | Asociada Senior Grupo IP, Tech and Data, en Albagli Zaliasnik | anudman@az.cl

Podcast “Rule the Rules” – Temporada 2 Episodio 2: Ignacio Letelier, Gerente Legal, Compliance y Relaciones Internacionales

Podcast “Rule the Rules” – Temporada 2 Episodio 2: Ignacio Letelier, Gerente Legal, Compliance y Relaciones Internacionales

En este segundo episodio, Yoab Bitran, Director del grupo Compliance de Albagli Zaliasnik, conversó con Ignacio Letelier, Gerente Legal, de Compliance y de Relaciones Institucionales en Verisure Chile, quien a pesar de su juventud, ha asumido un rol clave liderando tres frentes estratégicos dentro de la organización.

Ignacio nos comparte su visión sobre cómo navegar estos tres roles de forma efectiva, marcando pauta desde lo legal, transmitiendo una cultura de cumplimiento desde el modelo de prevención, y manteniéndose siempre cerca del negocio.

También abordamos los principales riesgos de su industria y cómo enfrentarlos en un entorno que exige flexibilidad y adaptación constante, especialmente frente a desafíos emergentes como la inteligencia artificial. Su mensaje es claro: hay que evolucionar con el negocio y fluir con las nuevas tecnologías de forma natural.

 

Guía sobre Protección De Datos Personales en América Latina

Guía sobre Protección De Datos Personales en América Latina

Compliance Latam publicó la Guía Comparada sobre Protección de Datos Personales, una herramienta colaborativa que mapea en profundidad desafíos y aprendizajes de diferentes jurisdicciones de la región.

Con el objetivo de crear un punto de partida para analizar la implementación de políticas de protección de datos en la región, la plataforma Compliance Latam publicó la Guía Comparada sobre Protección de Datos Personales. El documento, que reúne los principales estándares, avances legislativos y desafíos regulatorios de múltiples jurisdicciones latinoamericanas, demuestra que la privacidad, el cumplimiento y la competitividad no están en esferas separadas, sino que complementan como pilares de una gestión empresarial sostenible y responsable.

Según el informe, el reto de las empresas que operan en América Latina es transversal: traducir el cumplimiento normativo en valor de negocio y hacerlo parte del ADN organizacional.

“La guía nació como respuesta a las necesidades de los equipos legales y de cumplimiento, y fue creada por firmas líderes de la región que forman parte de la red Compliance Latam. El disparador inicial fue identificar los avances normativos en materia de protección de datos para luego brindar una mirada integral en cada una de las jurisdicciones. Esto lo hicimos con el mismo espíritu que convoca a la red: crear valor para nuestros clientes mediante la colaboración activa de todos los integrantes”,  comparte Rodrigo Albagli, socio del despacho chileno Albagli Zaliasnik

Estándares desiguales, enforcement debilitado y un denominador común: llevar la privacidad al corazón de la cultura organizacional

Pese a las diferencias institucionales entre los países estudiados, hay un denominador común en el que todos coinciden: la protección de la privacidad como un derecho fundamental.

“En todas las jurisdicciones se reconoce que los datos personales deben ser tratados de acuerdo con principios clave como legalidad, transparencia, minimización de datos y confidencialidad. Asimismo, reconocen la importancia de los derechos de los titulares, como el acceso, rectificación, cancelación y oposición (ARCO). Estos principios buscan garantizar que el tratamiento de datos sea siempre adecuado, relevante y proporcional al propósito para el que fueron recolectados y que los individuos tengan control sobre sus propios datos”, señala Marlyn Narkis, socia del despacho panameño MDU Legal.

Ahora bien, podría decirse que la principal brecha no está en el diseño de las leyes, sino en su implementación.

Yoab Bitran, director del grupo de Compliance de Albagli Zaliasnik, advierte que la región arrastra un problema estructural: falta de enforcement.

“Si bien varios países cuentan con nuevas regulaciones en línea con mejores estándares globales, tenemos muy pocos casos y muy pocas sanciones. Lo que genera cambios es la aplicación más que la promulgación; sin aplicación, no hay cambio real”, remarca el experto.

En ese sentido, destaca que la institucionalidad es un activo que diferencia a países como Chile, Uruguay o Costa Rica, que muestran mayor previsibilidad jurídica.

“Por regla general, el compliance solo puede avanzar cuando existe Estado de derecho, institucionalidad y libertad. Por lo tanto, existe una correlación tácita: aquellos países que tienen mayores dificultades en estas materias, son los que están más atrasados en términos de compliance”, explica.

En el caso puntual de Chile, el abogado reconoce que el avance normativo es un modelo para toda la región, pero que el país trasandino no escapa a la realidad de otros países en cuanto a su aplicación.

“Las propias autoridades encargadas de fiscalizar y perseguir infracciones o delitos han solicitado mayores recursos, tanto humanos como económicos, para poder llevar a cabo su labor. En cuanto a institucionalidad y entorno de negocios, Chile sigue manteniendo cierto nivel de liderazgo regional y continúa liderando en la mayoría de los rankings”, comenta Bitran.

Compliance más allá de las fronteras

Según Marcelo Coimbra, socio fundador del despacho brasileño FCR Law, la Guía Comparada sobre Protección de Datos Personales permite anticipar riesgos, tomar decisiones fundamentadas y adaptar políticas de compliance a múltiples jurisdicciones.

“Para las compañías con operaciones transnacionales, contar con esta referencia comparativa facilita no solo la expansión, sino también una gestión proactiva del cumplimiento normativo en un entorno legal desafiante y diverso. La expansión regional solo es viable si hay gestión proactiva del cumplimiento, y esa es la base de la seguridad jurídica que exigen los inversores y las empresas globales”, afirma.

Leon Weinstok, director del despacho costarricense BLP, añade que “el desafío es lograr un modelo eficiente de protección de datos que respete los derechos de las personas, que dialogue con estándares internacionales y que sea aplicable a la realidad operativa de cada país”.

Cultura organizacional, la gran aliada

Los miembros de la red Compliance Latam coinciden en que el verdadero desafío no es legal, sino cultural. Entonces, ¿cuál es el rol de las firmas legales a la hora de acompañar la implementación de programas de cumplimiento?

Esteban Dávila, asociado sénior del despacho ecuatoriano Bustamante Fabara, sostiene que el rol de los despachos jurídicos debe ser estratégico, no solo normativo.

“Nuestra función es traducir la protección de datos en reputación, competitividad y confianza. Por eso, debemos enfocarnos en traducir normas en valor empresarial, impulsar el liderazgo desde la alta dirección, diseñar un programa de gobernanza de datos pragmático y promover una cultura de datos”, considera.

Desde su experiencia, Dávila cree que los estudios jurídicos deben explicar cómo la protección de datos personales no sólo mitiga riesgos legales, sino que también fortalece la reputación y confianza del mercado, genera ventajas competitivas sostenibles y alinea la gestión de datos con objetivos comerciales.

“Los estudios jurídicos debemos sensibilizar y capacitar al C-level, posicionando la privacidad como un tema estratégico. Esto implica, por ejemplo, participar en comités de gobierno corporativo, presentar análisis de impacto legal alineados con KPIs del negocio y mostrar precedentes regulatorios que evidencien la responsabilidad directa de los altos ejecutivos”, recomienda.

Salvador Bartolomé, socio del despacho español Bartolomé & Briones, coincide en que las firmas legales tienen un rol clave como facilitadores y promotores de una cultura de cumplimiento normativo y de protección de datos dentro de las organizaciones.

Para el experto, el rol de los estudios jurídicos implica tender un puente entre lo real y lo legal: “La labor de las firmas legales no solo debe limitarse al asesoramiento legal, sino que debe tener en cuenta aspectos prácticos, organizativos y estratégicos propios de cada organización, necesarios a fin de asegurar que se cumpla con la normativa vigente, facilitando la aplicación práctica de las políticas de cumplimiento y protección de datos”.

¿Por qué los datos personales ya no son un activo invisible?

En la economía digital, los datos personales son más que datos, son capital reputacional, riesgo regulatorio y ventaja competitiva.

“El compromiso de la alta dirección no es opcional, pero sigue siendo uno de los puntos más débiles del ecosistema empresarial en América Latina. Sensibilizar, formar y convencer al liderazgo ejecutivo es parte de la tarea de los equipos legales y de compliance”, refuerza Yoab Bitran. 

Queda claro: si la privacidad no entra en la agenda estratégica, difícilmente logrará consolidarse como valor corporativo.

Fuente: LexLatin

El Salvador | Ley de Fomento de la Inteligencia Artificial y Tecnologías

El Salvador | Ley de Fomento de la Inteligencia Artificial y Tecnologías

El 25 de febrero de 2025, la Asamblea Legislativa aprobó la Ley de Fomento de la Inteligencia Artificial y Tecnologías (en adelante, la «Ley IA«). Su objetivo es impulsar el desarrollo, la investigación y la aplicación de la inteligencia artificial (en adelante, «IA«) en El Salvador, fomentando la innovación y asegurando su uso responsable para contribuir al avance tecnológico y el crecimiento económico del país. La Ley IA aplica a todas las personas naturales o jurídicas involucradas en la investigación, desarrollo y aplicación de la inteligencia artificial, así como a quienes recopilen, almacenen y procesen datos para estas actividades. 

Principios fundamentales. Los principios claves que rigen la Ley IA son: transparencia y explicabilidad, equidad e inclusión, seguridad y privacidad, responsabilidad y rendición de cuentas, y sostenibilidad ambiental.  

Creación de la Agencia Nacional de Inteligencia Artificial (ANIA). Para garantizar la correcta implementación de la Ley IA, se crea la Agencia Nacional de Inteligencia Artificial (“ANIA”), una institución autónoma adscrita a la Presidencia de la República. Sus principales funciones incluyen: 

  • Supervisar el cumplimiento de la Ley IA y gestionar el Marco Integral de Evaluación de Riesgos para sistemas que manejen datos confidenciales o personales. 
  • Administrar el Registro Nacional de Desarrollo, Innovación y Aplicación de IA. 
  • Fomentar alianzas público-privadas para el desarrollo de IA. 
  • Colaborar con el Ministerio de Educación para integrar la IA en los programas educativos. 
  • Emitir normativas técnicas de seguridad junto con la Agencia de Ciberseguridad del Estado (ACE). 

Libre Participación. Las personas naturales y jurídicas, tanto nacionales como extranjeras, tendrán la libertad de realizar directamente o participar en el desarrollo, investigación, entrenamiento e implementación de la IA y tecnologías similares en El Salvador.   

Registro y Salvaguardas. Las personas o entidades que hagan uso exclusivo de datos de dominio abierto o de su propiedad en proyectos que no busquen fines comerciales o de uso público deberán inscribirse en el Registro Nacional de Desarrollo, Innovación y Aplicación de IA para poder acceder a las salvaguardas de la ley, tales como: 

  • Uso autorizado de datos de dominio abierto para fines de investigación, sin prejuicio de recibir imposición de medidas cautelares o judiciales como limitantes; siempre y cuando, dicho uso respete la legislación aplicable. 
  • Exoneración de responsabilidad en entornos experimentales, siempre que dichas actividades no sean desplegadas comercialmente ni afecten los derechos de los usuarios. 
  • No se establecerá responsabilidad por el mal uso de IA por terceros, siempre que se hayan seguido los estándares de seguridad, ética y operatividad establecidos. 
  • Los modelos de IA (ponderaciones, datos de entrenamiento, resultados, etc.) no estarán sujetos a condiciones de licencia restrictiva que limiten la competencia, innovación o investigación. Ninguna entidad privada podrá imponer condiciones, salvo que dichas restricciones se encuentren expresas en la legislación salvadoreña. 

Si las actividades se encuentran relacionadas con funciones públicas o áreas supervisadas, deberán cumplir también con las normativas técnicas de seguridad establecidas por ACE y otras entidades competentes. 

Evaluación de riesgo de la IA y tecnologías similares. La ANIA implementará un marco integral de evaluación de riesgos que equilibre la innovación tecnológica con la seguridad pública y el bienestar social. Su cumplimiento será obligatorio únicamente para sistemas que manejen datos confidenciales, reservados o personales según la legislación vigente. Este marco será flexible para adaptarse a nuevos estándares y clasificaciones internacionales de seguridad. 

Responsabilidad en el ciclo de vida de la IA o tecnologías similares. Las partes involucradas en el ciclo de vida de la IA, incluyendo desarrolladores, implementadores, proveedores de servicios y usuarios finales, deberán asumir la responsabilidad correspondiente a su rol para garantizar un uso ético y seguro de estos sistemas. Los desarrolladores deberán diseñar soluciones que cumplan con los estándares técnicos y éticos establecidos. Por su parte, los implementadores serán responsables de su correcta aplicación y del cumplimiento de las normas de seguridad. En el caso de los proveedores de servicios, deberán garantizar una infraestructura segura, y los usuarios finales deberán emplear los sistemas de IA de manera responsable, respetando su propósito y alcance. 

Decisiones Automatizadas y Derecho a Impugnación.  Cuando se utilice la IA comercialmente o para acceder a derechos o servicios dentro de la república, se estará en la obligación de informar al usuario de sí, la decisión fue adoptada directamente por la IA o fue impulsada por esta. Además, se establecerán mecanismos para que los ciudadanos puedan impugnar dichas decisiones ante una persona natural competente, quien podrá confirmar, modificar o revocar la resolución. 

Protección de Datos Personales y Seguridad. El uso de datos personales en el desarrollo de IA deberá cumplir con la Ley de Protección de Datos Personales y con las normativas de seguridad emitidas por la ANIA y ACE. 

Protección de la propiedad intelectual en el desarrollo de IA. La propiedad intelectual de la IA, incluidas patentes, derechos de autor y secretos industriales, pertenece exclusivamente a su creador. En proyectos colaborativos, los derechos deben definirse mediante acuerdos previos. Los algoritmos, bases de datos y sistemas de IA desarrollados en el país están protegidos por la ley, prohibiéndose su uso o divulgación sin autorización del propietario. 

Libre Competencia y Desarrollo de IA de Código Abierto. Se prohíbe la imposición de restricciones arbitrarias en el desarrollo de IA de código abierto; igualmente, se fomentará la participación internacional en proyectos de IA, garantizando la colaboración y el acceso a innovaciones tecnológicas. 

Este decreto está sujeto a posibles modificaciones antes de su publicación en el Diario Oficial. La Ley IA entrará en vigencia ocho días después de su publicación en el Diario Oficial. 

Ecuador | Consultas Absueltas por la Superintendenica de Protección De Datos Personales

Ecuador | Consultas Absueltas por la Superintendenica de Protección De Datos Personales

ASPECTOS RELEVANTES: 

La Superintendencia de Protección de Datos Personales (“SPDP”), ha dado un paso trascendental al publicar sus primeras cinco resoluciones en respuesta a las consultas del público. Esta iniciativa marca un hito importante en la evolución del sistema de protección de datos personales del país, ya que establece precedentes interpretativos que ayudarán, tanto a ciudadanos como a organizaciones, a comprender mejor sus derechos y obligaciones en esta materia. Los temas tratados en las consultas son los siguientes:

  • Reconocimiento de Buenas Prácticas en Protección de Datos.
  • Proceso de Verificación de la Designación del Delegado de Protección de Datos (“DPO”).
  • Aplicación del uso del Código Dactilar en Nombramientos de Representantes Legales.
  • Trazabilidad de Tarjetas de Implante y su tratamiento.
  • Documentos Notariales y Acceso a Terceros.

RESUMEN DE LAS CONSULTAS DE LA SUPERINTENDENCIA 

  1. Consulta 01: 2024- Reconocimiento de Buenas Prácticas en Protección de Datos: 

Consulta: Actualmente, la SPDP no ha establecido procedimientos ni normativa para el reconocimiento de buenas prácticas contemplado en la tercera disposición transitoria de la Ley Orgánica de Protección de Datos Personales (“LOPDP”). No existen criterios definidos, requisitos documentales, cronogramas o ventajas específicas para su obtención. ¿Cuál es el procedimiento aplicable para responsables y encargados del tratamiento que buscan obtener el reconocimiento por buenas prácticas?; ¿Qué consecuencias concretas o beneficios tangibles se derivan de la obtención del reconocimiento de buenas prácticas?

ronunciamiento: La Superintendencia no puede emitir un pronunciamiento sobre este tema hasta que se publique la regulación correspondiente. Se sugiere presentar una nueva consulta una vez que la normativa haya sido emitida.

  1. Consulta 02: 2024- Proceso de Verificación de la Designación del Delegado de Protección de Datos: 

Consulta: Actualmente, no se ha implementado un sistema formal para validar el nombramiento del DPO. La normativa vigente no especifica los procedimientos, requisitos documentales ni fechas límite para este proceso de verificación. ¿Existirá un procedimiento de verificación orientado al control de cumplimiento de dicha obligación?; ¿Cuáles son los documentos y evidencias que deberán presentarse para sustentar el cumplimiento de la obligación?

Pronunciamiento: Si bien aún no se ha emitido la normativa correspondiente, la obligación de designar un DPO según la LOPDP debe cumplirse, independientemente de que no exista aún una normativa específica sobre el proceso de verificación.

  1. Consulta 03: 2024- Aplicación del uso del Código Dactilar en Nombramientos de Representantes Legales: 

Consulta: ¿Se afecta el derecho a la protección de datos de carácter personal, previsto en el artículo 66, numeral 19 de la Constitución de la República, por la disposición reglamentaria del uso del código dactilar junto al número de cédula de ciudadanía para la emisión de nombramientos de representantes legales de las sociedades controladas por la Superintendencia de Compañías, Valores y Seguros?

Pronunciamiento: El código dactilar constituye un dato biométrico sensible según la LOPDP. Su requerimiento es excesivo dado que el número de cédula es suficiente para identificar al representante legal. Esta exigencia contradice los principios de necesidad, proporcionalidad y minimización de datos, por lo que se recomienda eliminar este requisito para proteger adecuadamente los datos personales.

  1. Consulta 04: 2024- Trazabilidad de Tarjetas de Implante y su tratamiento: 

Consulta: ¿Cuál es el proceso de tratamiento de datos personales que deben seguir los establecimientos de salud, fabricantes, y/o titulares de registros sanitarios en relación con la trazabilidad de las tarjetas de implante?

Pronunciamiento: El procesamiento de esta información exige el estricto cumplimiento de los principios establecidos en la LOPDP, junto con la obtención del consentimiento informado por parte del titular de los datos. La recopilación y manejo de información debe limitarse exclusivamente a aquellos datos que sean indispensables para asegurar la trazabilidad efectiva de los dispositivos médicos. Este seguimiento tiene como objetivo fundamental permitir la rápida identificación y ubicación de los dispositivos médicos implantados cuando se presenten situaciones adversas que puedan comprometer la salud del paciente.

  1. Consulta 05: 2024- Documentos Notariales y Acceso a Terceros: 

Consulta: ¿Debe un notario entregar copias, testimonios o compulsas de documentos a cualquier persona?

Pronunciamiento: Conforme al artículo 40 de la Ley Notarial, cualquier individuo tiene el derecho de solicitar copias de escrituras públicas. No obstante, para cumplir con lo establecido en la LOPDP, es aconsejable obtener el consentimiento de los titulares para el tratamiento de sus datos personales cuando se presten servicios notariales. Asimismo, las personas externas que deseen acceder a escrituras públicas no están obligadas a formalizar un contrato con el titular ni con el notario, quien, en este contexto, actúa como responsable del tratamiento de los datos.

Uruguay | Lanza su Estrategia Nacional de Ciberseguridad hacia 2030

Uruguay | Lanza su Estrategia Nacional de Ciberseguridad hacia 2030

Recientemente, Uruguay presentó su Estrategia Nacional de Ciberseguridad (ENC) para el período 2024-2030, desarrollada por AGESIC, en colaboración con diversos sectores. Tiene como objetivo crear un ciberespacio seguro, abierto y resiliente, a la vez que promover el desarrollo sostenible y proteger los derechos de los ciudadanos.

La ENC se basa en ciertos principios, entre los que destacan la gestión proactiva de riesgos, la colaboración nacional e internacional, y el fortalecimiento de la resiliencia digital. Estos principios se traducen en ocho pilares claves, que abarcan desde la gobernanza y el marco normativo, hasta la ciberdefensa y la cultura de ciberseguridad.

Gobernanza

La estrategia busca establecer mecanismos para la coordinación y supervisión de políticas de ciberseguridad, definiendo roles y responsabilidades claras. Además, apunta a definir un modelo de gobernanza multinivel que distribuya responsabilidades entre niveles estratégicos, tácticos y operativos.

Marco normativo

Se actualizará la normativa para prevenir y reaccionar ante incidentes de ciberseguridad, asegurando que el marco normativo nacional esté en concordancia con los estándares y obligaciones internacionales. La estrategia fomenta un marco legal que promueva la colaboración entre el sector público y privado para fortalecer la ciberseguridad nacional.

Ciberdelitos

La ENC busca fortalecer las capacidades para prevenir y perseguir delitos cibernéticos, promoviendo la cooperación internacional. Uruguay se adherirá al Convenio del Consejo de Europa sobre la Ciberdelincuencia. Además, se fomentará el desarrollo de carreras de especialización vinculadas a la temática de ciberdelitos.

Ciberdefensa

La estrategia apunta a consolidar la ciberdefensa nacional, mejorando la respuesta a incidentes que afecten infraestructuras críticas. Se establecerán protocolos para la coordinación entre organismos vinculados a ciberdefensa y se analizarán las estructuras y mecanismos de ejecución a través de un Comando Conjunto de Ciberdefensa bajo la órbita del Ministerio de Defensa.

Infraestructuras de información crítica

Se identificarán las infraestructuras de información crítica del país y los actores involucrados en su gestión. La estrategia busca incrementar y fortalecer las capacidades de monitoreo y detección de incidentes en las infraestructuras de información crítica. Además, se analizarán las interconexiones y dependencias entre estas infraestructuras para evaluar el alcance e impacto de potenciales incidentes de ciberseguridad.

Cultura de ciberseguridad

Se promoverán buenas prácticas y comportamientos seguros en el uso de tecnologías de la información. Incluye la implementación de campañas masivas y focalizadas de concientización en ciberseguridad dirigidas a toda la población. También se promoverá el uso de identificaciones digitales fuertes y firmas digitales para proteger la identidad en línea.

Ecosistema e industria

La ENC impulsa un ecosistema de ciberseguridad competitivo, fomentando la innovación y la colaboración entre sectores. Se promoverán esfuerzos para la investigación, desarrollo e innovación en ciberseguridad, especialmente en tecnologías emergentes. Además, se prevé crear un catálogo de productos y servicios de ciberseguridad provistos en el país.

Política internacional

Uruguay establecerá un equipo diplomático a cargo de gestionar los temas vinculados a la ciberseguridad del país. La estrategia coordinará con las instituciones nacionales competentes la política exterior de Uruguay para el ciberespacio y reforzará la participación del país en espacios regionales e internacionales relevantes en materia de ciberseguridad.

Esta estrategia representa una oportunidad para que el sector tecnológico se alinee con las mejores prácticas en ciberseguridad, proteja los datos y fomente la confianza de los usuarios, impulsando la resiliencia digital y el crecimiento económico.