Lección 2

CIBERSEGURIDAD

Distingue aspectos legales de la seguridad de la

información.

Reservados todos los derechos Instituto Superior de Artes y Ciencias de la Comunicación S.A. No se permite copiar, reproducir, reeditar, descargar,
publicar, emitir, difundir, de forma total o parcial la presente obra, ni su incorporacióna un sistema informático, ni su transmisión en cualquierformao por
cualquier medio (electrónico, mecánico, fotocopia, grabación u otros) sin autorizaciónpreviay por escritode Instituto Superior de Artes y Ciencias de la
ComunicaciónS.A. La infracción de dichos derechos puede constituir un delito contra la propiedad intelectual.
Lección 2 | Ciberseguridad 02

Índice

Introducción 04
1. Leyes y normativas nacionales 05
1.1. Ley 19.233 de delitos informáticos 05
1.2. Ley 19.628 sobre protección de datos 07
1.3. Ley 19.799 de firma digital y documentación electrónica 08
1.4. Ley 19.628 sobre protección de la vida privada 09
1.5. Política nacional de ciberseguridad en Chile 13
1.6. Proyecto de ley de ciberseguridad 13
1.7. Contrato de confidencialidad 14
2. Normas internacionales 15
2.1. Convenio de Budapest 15
Comentario final 16
Referencias 17
Lección 2 | Ciberseguridad 03

Aprendizajes
esperados
• Utiliza los aspectos legales, objetivos de la
gestión de la seguridad en organizaciones
para realizar los procesos de auditoría a
servicios TI.
Lección 2 | Ciberseguridad 04

Introducción
El derecho es parte importante de la gestión de la seguridad de la información. Esta afirmación es
considerada real por unos y falsa por otros, judicialmente hablando, ya que existe una corriente
que señala que todo debe ser normado mediante una ley, y otra que las leyes no son necesarias. Se
tiende a pensar que el equilibrio es una buena base. Queda abierta la invitación para meditar sobre
estos aspectos legislativos con más detalle, ya que no solamente involucran aspectos penales, sino
que también lo hacen en la legislación civil, laboral, juzgado de policía local, entre otras materias.

Muchos de los pueblos modernos más civilizados han sentido la

necesidad de codificar sus leyes. Se puede decir que ésta es una
necesidad periódica de las sociedades.

Andrés Bello (1781-1865)

Lección 2 | Ciberseguridad 05

1. Leyes y normativas nacionales

En esta lección se verán temas legislativos de diferentes áreas de la seguridad de la información,
partiendo por las normas de actual uso como lo son en materia de datos, documentación electrónica,
delitos en materia informática, además de las normas internacionales y los avances que debe tener
nuestro país en el corto y largo plazo.

1.1. Ley 19.233 de delitos informáticos

De lo primero que hablaremos será de la ley de delitos informáticos, ya que es la más antigua de las
tres que abordaremos en esta materia, es del año 1993 y tiene cuatro artículos que abordaremos a
continuación.

Para poder comprender lo que es un delito informático debemos tener en cuenta en primer lugar qué
es un delito y para ello encontramos la definición del artículo 1º del Código Penal chileno el cual
señala: “Delito es toda acción u omisión penada por la ley”. Por otro lado, hay que tener en cuenta que
existe una definición doctrinaria de delito que es “toda acción u omisión típica, antijurídica y
culpable conminada con una pena”. Se recomienda indagar más acerca de esta definición para tener una
mayor claridad en lo que se refiere.

Reflexión
En derecho doctrina se refiere a lo señalado por los entendidos del derecho.
Lección 2 | Ciberseguridad 06

Dicho lo anterior y tomando en consideración lo señalado, Es posible indicar que el delito informático
como definición jurídica actual no existe. A su vez, se podrá apreciar que en cada una de las normas
que se encuentran en vigencia, no se define de manera clara el delito informático.

No obstante, cada una de las normas actuales definen delitos que se dan en ambientes lógicos y físicos
sobre activos de la información y, por otro lado, algunas definiciones que sin ser delitos pueden
ser causales de alguna infracción a las normas.

Finalmente, en las normas actuales, solamente se permite la persecución penal de las personas
naturales, ya que en la ley en estudio recién se está tratando considerar la posibilidad de establecer
penas a las personas jurídicas.

Cuando nos referimos a las personas naturales estamos hablando de cualquier individuo sin importar
su edad, sexo, estirpe y condición; con relación a las personas jurídicas, esto se refiere a una persona
creada por el legislador capaz de ser representada judicial y extrajudicialmente.

En lo general esta ley en relación con el dolo (definido el dolo como la intención de obtener un resultado,
es decir, definición penal, y no como su definición del Código Civil que es inferir daño), y que se refiere
al que maliciosamente o con un ánimo de apoderarse, realice las acciones u omisiones de destruir,
inutilizar, impedir obstaculizar o modificar, usar, conocer, interceptar, interferir, alterar, dañar, revelar.
difundir.
Siendo, por tanto, el sujeto activo del delito una persona natural que realiza una acción u omisión
sobre activos de la información, esto se observa en el sentido que se señala que estos son en un sistema
de tratamiento de la información, pero no se hace cargo si estos activos son físicos o lógicos,
quedando, por lo tanto, a juicio de quien aplica la norma, y comprensión de esta materia. Por
ejemplo: el acto de destruir un sistema puede darse en el mundo físico. La destrucción de dichos
servidores recaería como un delito del artículo 1º, y recae sobre un activo físico el cual contiene la
información del activo lógico custodiado, por lo que es relevante estudiar esta materia a cabalidad para
entender que existen delitos tanto en el ambiente físico como lógico.
Lección 2 | Ciberseguridad 07

1.2 . Ley 19.628 sobre protección de datos

Esta es una norma muy importante cuya última modificación fue mediante la Ley 20.575 de fecha
17 de febrero de 2012. En ella se establecen definiciones importantes dentro de las cuales se
destacan las siguientes:

• Almacenamiento de datos: la conservación o custodia de datos en un registro o banco de datos.

• Bloqueo de datos: la suspensión temporal de cualquier operación de tratamiento de los datos

almacenados.

• Comunicación o transmisión de datos: dar a conocer de cualquier forma los datos de carácter
personal a individuos distintos del titular, sean determinadas o indeterminadas.

• Eliminación o cancelación de datos: la destrucción de datos almacenados en registros o

bancos de datos, cualquiera fuere el procedimiento empleado para ello.

• Modificación de datos: todo cambio en el contenido de los datos almacenados en registros o

bancos de datos.

• Registro o banco de datos: el conjunto organizado de datos de carácter personal sea

automatizado o no y, cualquiera sea la forma o modalidad de su creación u organización,
que permita relacionar los datos entre sí, así como realizar todo tipo de tratamiento de datos.

• Tratamiento de datos: cualquier operación o complejo de operaciones o procedimientos

técnicos, de carácter automatizado o no, que permitan recolectar, almacenar, grabar, organizar,
elaborar, seleccionar, extraer, confrontar, interconectar, disociar, comunicar, ceder, transferir,
transmitir o cancelar datos de carácter personal, o utilizarlos en cualquier otra forma.

Es importante esta norma, ya que si bien es cierto no establece delitos informáticos en ella, sí lo
hace por analogía. Se pueden aplicar las definiciones que esta contiene tales como: la comunicación de
datos, el bloqueo (que se trata de un ataque DDoS), entre otros. Se pueden desprender más términos
en base a estos, siendo, por lo tanto, una norma de relevancia en materias de ciberseguridad.
Lección 2 | Ciberseguridad 08

1.3 . Ley 19.799 de firma digital y documentación electrónica

La importancia de esta ley radica en lo que entenderemos por documentación electrónica y, por lo
tanto, con eso nos da un margen para entender la legalidad de los procesos, la firma digital y las
autoridades certificadoras de la misma.

En relación a las definiciones, estas se encuentran en el artículo 2 de la ley, por lo que

solamente se señalará las que se han considerado importantes, a saber:

• Documento electrónico: toda representación de un hecho, imagen o idea que sea creada,
enviada, comunicada o recibida por medios electrónicos y almacenada de un modo idóneo para
permitir su uso a posterior.

• Firma electrónica: cualquier sonido, símbolo o proceso electrónico, que permite al receptor de
un documento electrónico identificar al menos formalmente a su autor.

• Firma electrónica avanzada: aquella certificada por un prestador, que ha sido creada usando
medios que el titular mantiene bajo su exclusivo control, de manera que se vincule únicamente
al mismo y a los datos a los que se refiere, permitiendo la detección posterior de cualquier
modificación, verificando la identidad del titular impidiendo que desconozca la integridad del
documento y su autoría.

Con ello nos podemos percatar de la importancia que tiene un documento electrónico, el cual para
efectos legales tiene la exigencia de que debe estar almacenado de tal forma que permita su uso a
posterior, mientras que la firma electrónica es aquello que nos permita reconocer a lo menos al autor,
por lo que el uso de un correcto KDC (Key Distribution Center) en una empresa puede servir para tener
una firma electrónica al interior de la empresa, pero cuando estamos en presencia de la necesidad de
certificar al autor del documento, esta firma debe estar certificada por una autoridad certificadora en
la forma y el fondo de lo que señala la Ley 19.799.

Recuerda que
¿Quiénes pueden usar la firma electrónica? Todas las personas pueden usar firma
electrónica. ¿Quiénes deben usar firma electrónica? Aquellos casos en que la misma
ley exige una formalidad.

Por ejemplo, una factura, un contrato especial como el contrato de confidencialidad, que si bien es
cierto la ley no lo obliga, requiere que si va a ser firmado de manera electrónica se identifique
inequívocamente a las partes firmantes, lo que se traduce en la necesidad de usar firma electrónica
avanzada, no por el imperio de la ley, sino por la necesidad de que eventualmente se requiera
identificar al firmante de manera inequívoca ante un tribunal por incumplimiento de este.
Lección 2 | Ciberseguridad 09

1.4 . Ley 19.628 sobre protección de la vida privada

Partiremos haciendo una diferenciación de que es la vida privada respecto de la vida laboral, así las
cosas, la Ilustrísima Corte Suprema de Chile en su sentencia de la causa rol 5.234/2005 al hablar de
este tema argumenta

"(...) etimológicamente intimidad proviene del latín intimus que significa lo más recóndito, interior,
secreto, profundo, interno. Aquella parte personalísima o reservada de una persona o cosa. Por su
parte la expresión privacidad, deriva del latín privatus, sinónimo de particular, propio, individual y
personal. En general son numerosas las definiciones que se han formulado respecto de aquello en que
consiste el derecho a la intimidad, las que en su mayoría lo conciben como un poder de exclusión, como
una manifestación de la libertad en el sentido negativo, como el derecho a ser dejado en paz, solo y
tranquilo. En la actualidad, se impone una concepción respecto de la intimidad, que pone el énfasis en
su carácter de derecho humano y libertad fundamental que arranca de la dignidad de la persona. En tal
sentido, se le ha definido como aquel ámbito de libertad necesario para el pleno desarrollo de la
personalidad, que debe quedar preservado de injerencias ilegítimas y que constituye el presupuesto
necesario para el ejercicio de otros derechos y para la participación del individuo en sociedad. (Pilar
Gómez Pavón, La intimidad como objeto de protección penal, Editorial Akal S.A. Madrid, 1989, páginas
35 y siguientes.); 11º) Que, dentro del recinto laboral, constituido por el ámbito de actividad propio de
los empleados, los trabajadores tienen derecho a la privacidad o intimidad, manifestándose ello en el
deseo de, como en el caso de autos, se mantenga en la esfera laboral y sindical las actividades
realizadas por ellos, sin que en él se permita la intromisión de terceros. Lo anterior puede ser
compatibilizado con la existencia de un sistema de vigilancia y protección en el recinto laboral, pero
éste no debe estar desviado de los fines que justificaron su instalación;"

Por lo tanto, la separación de la vida laboral de la vida privada es el primer obstáculo que se debe
sortear al momento de realizar un monitoreo de las actividades laborales de un trabajador, con
insumos entregados por la empresa.
Lección 2 | Ciberseguridad 10

Una vez sorteado este punto, tenemos observar lo que señala el código laboral respecto de las
revisiones ya que en este sentido el Código del Trabajo en su artículo 154 en lo que respecta al
reglamento interno, en lo que nos compete podemos señalar que:

a) (Nº 5) Las obligaciones y prohibiciones a que estén sujetos los trabajadores; las cuales deben estar
por escrito y como lo veremos en la siguiente letra;

b) (Nº9) Las normas e instrucciones de prevención, higiene y seguridad que deban observarse en la
empresa o establecimiento; de lo que podemos desprender que necesariamente debe incorporarse en
el texto normativo de la empresa, es decir en el Reglamento Interno de Higiene y Seguridad; c) (Inciso.
final) Las obligaciones y prohibiciones a que hace referencia el número 5 de este artículo, y, en general,
toda medida de control, sólo podrán efectuarse por medios idóneos y concordantes con la naturaleza
de la relación laboral y, en todo caso, su aplicación deberá ser general, garantizándose la
impersonalidad de la medida, para respetar la dignidad del trabajador; lo que nos deja claramente
establecido que su aplicación debe ser general, además de garantizar la impersonalidad de la medida,
es decir, no debe tener un carácter discriminatorio.

Se abre la posibilidad de realizar controles sobre los trabajadores ocupando programas y medidas
intrusivas como por ejemplo la implementación de SIEM, NOC, SOC, revisiones programadas, entre
otras. Pero la empresa debe respetar los derechos del trabajador en el sentido de la privacidad y
reserva de los datos, la no manipulación de los archivos, entre otros que puedan afectar la vida privada
del trabajador.

En relación a la privacidad y la reserva de toda la información que se tenga en conocimiento en función

de la relación laboral, tenemos que aclarar que estos derechos se encuentran en el artículo 154 bis, del
Código del Trabajo.

Con eso podríamos entender que hay cosa juzgada y está dicha la última palabra, y podría ser así, ya
que a mayor abundamiento en el artículo 160 del Código del Trabajo se contemplan ciertas causales de
terminación del contrato de trabajo que pudieren ser aplicables para la materia en cuestión, tales
como: 1) falta de probidad del trabajador en el desempeño de sus funciones (N°1 letra a); 2)
negociaciones que ejecute el trabajador dentro del giro del negocio y que hubieren sido prohibidas por
escrito en el respectivo contrato por el empleador (N°2); 3) así como la causal de incumplimiento grave
de las obligaciones que impone el contrato (N°7).

En este contexto la Dirección del Trabajo en el ORD. Nº3441/72 nos dice respecto de la instalación de
un programa en el computador de la empresa para monitoreo y ejecución de comandos remotos, lo
siguiente:

“En lo referido a requisitos específicos a respetar por programas computacionales como el que justifica
vuestra consulta, cabe señalar que:

a) Debe avisarse previamente al trabajador del control a distancia del computador de aquel,
indicándole la justificación del control, debiendo cumplir con igual exigencia al terminar dicho control;

b) En caso alguno, so pretexto de finalidades que justifiquen el control empresarial por medio del
referido programa computacional, podrá verificarse una intromisión en archivos personales del
trabajador alojados en el computador que le proporcione su empleador.
Lección 2 | Ciberseguridad 11

Ahora bien, en lo que se refiere a los resultados obtenidos con la implementación y empleo del
programa computacional WIN VNC, en aquellos eventos en que su utilización se tolere según lo ya
razonado, es posible establecer ciertos criterios generales que dicen relación con el contenido
esencial de derecho a la intimidad del trabajador, a saber:

a) Debe garantizarse la debida custodia y almacenamiento de la información que revele el control

generado a partir de la utilización del programa computacional WIN VNC;

b) Los trabajadores deberán tener pleno acceso a los archivos que contengan la información
obtenida -en los casos tolerables de tal control- del computador que el empleador le tiene asignado,
cuando se le haya aplicado el referido programa computacional;

c) En cuanto a la gestión de los datos contenidos en tales archivos, en el caso de lo señalado en la

letra anterior, deberá garantizarse la reserva de toda la información y datos privados del trabajador
o que pudieran revelar determinados aspectos de su vida privada, como ideología, orientación sexual,
credo religioso, etc.;

d) Deberá garantizarse la reserva de los datos contenidos en tales archivos, excluyendo de su

conocimiento a toda persona distinta al empleador y al trabajador, salvo naturalmente que la
grabación sea requerida por organismos con competencia para ello. Lo anterior, de conformidad al
artículo 154 bis, del Código del Trabajo, que consagra un verdadero habeas data en materia laboral, y

e) Resulta del todo ilícito alterar o manipular el contenido de tales archivos;

Que, con todo, lo razonado precedentemente no se puede suponer en modo alguno que, tanto
el computador que el empleador pone a disposición de sus trabajadores, como el uso de
internet y correo electrónico, deben ser utilizados para los fines dispuestos por el empleador,
derivados de las obligaciones contenidas en los respectivos contratos de trabajo.”

No obstante, resulta del todo relevante señalar que, en ese sentido se debe analizar también el fallo
del Juzgado de Letras del Trabajo de Valparaíso, Chile, que en la causa RIT NºT-8-2009 la cual señala:

“Al respecto es preciso tener presente que el correo electrónico provisto por la empresa es una
herramienta de trabajo, que ésta pone a disposición del trabajador como consecuencia de la relación
laboral que les une, sin que pueda olvidarse el derecho de propiedad que tiene el empleador sobre
esa herramienta. En consecuencia, el empleado está obligado a utilizarlo conforme a la finalidad con
que le fue provisto, de tal manera que estos sistemas de correo electrónico sólo deben ser utilizados
para actividades de la empresa, no debiendo utilizarse para transmitir hacia fuera información
relacionada con la propiedad exclusiva de ella”.

Pero como nunca está dicha la última palabra, es posible percatarse de que la Excelentísima Corte
Suprema, mediante la causa Rol N°52-2009, de fecha 12 de enero de 2009, indica que “el
empleador podría conocer los correos enviados desde el servidor de la empresa, pero siempre
que se cumpla como requisito previo que ello sea regulado en el reglamento interno en forma
expresa”.
Lección 2 | Ciberseguridad 12

Por lo que se concluye de lo anterior que, aquello que es de propiedad de la empresa puede ser revisado en
la medida que se cumpla, especialmente que exista una reglamentación escrita que sustente la medida,
como un anexo al reglamento de Higiene y Seguridad sobre Ciberseguridad, con notificación a los
trabajadores.
Pasando a qué es lo que se puede revisar, es del todo claro cuando se habla del hardware entregado al
trabajador (computador, teléfono, entre otros), pero la confusión se da en los datos que tienen que ver
con el tráfico y los correos electrónicos.
Es posible señalar en general que respecto de los correos electrónicos para entender la
jurisprudencia, debemos saber por un lado quién escribe el correo y por otro cuál es su servidor o
buzón y poder separarlos, pero realizar un vínculo entre ambos Raymond Samuel “Ray” Tomlinson, en
el año 1971 se le ocurrió colocar un símbolo @ para poder separar el nombre del usuario con el
servidor, esto para Leandro Gurruchaga en el libro Colección Temas del Derecho Laboral (Editorial
Errepar, año 2009), es “el símbolo arroba (@), que en inglés significa at (en), hace de nexo entre ambos
elementos (cuenta y dominio), y significa que la cuenta de correo del usuario “pertenece” a un determinado
dominio”, por lo tanto, el dominio del correo pertenece a un servidor identificado posterior al arroba
y, quien conocido como el emisor es quien se nombra antes del arroba.

Entonces e s p o s i b l e hacer la primera gran diferencia entre el correo personal y laboral. Por regla
general el correo laboral es que tiene como dominio el nombre de una empresa, mientras que el
correo de otro servidor corresponde, por regla general, a comunicaciones dentro del rango de la vida
personal.
Y si el correo es de dominio de la empresa, aparentemente esta puede disponer arbitrariamente de
dicho correo, ya que es la empresa quien entrega a una persona determinada un correo electrónico
para que cumpla una función específica dentro de la organización. Es más, al observar lo que
señala Carlos Alberto Livellara en El uso debido de las facultades de control del empleador del correo
electrónico e Internet frente a la ley 26.388, Argentina, 2009, Colección Temas de Derecho Laboral,
Editorial Errepar, p. 178 y ss. “la manera de evitar que el monitoreo laboral devenga en el delito de violación
de comunicación electrónica es reglamentando el funcionamiento de las herramientas de manera tal
que se elimine la legítima expectativa de privacidad de la que, en principio, goza ese tipo de
comunicación”.
Por lo tanto, a la luz de los antecedentes es válido decir que, como primera medida, antes de
implementar controles en línea que digan relación con la revisión de hardware o cualquier control que
permita intervenir de cualquier manera un correo electrónico, se debe realizar una reglamentación
interna que transparente los controles y permita a la persona, que eventualmente será intervenida.
Saber con certeza y con anterioridad que se realizarán revisiones de los activos de la información de la
empresa y que las comunicaciones que se realizan mediante su correo electrónico son observadas o
vigiladas por otras personas y cuál es la finalidad de esa fiscalización, cuyo objeto es evitar que los
activos de la empresa se vean afectados por el mal uso a la herramienta que se le entrega al trabajador
y con ello evitar multas onerosas por interferir en la vida privada de un trabajador.

Ello con la finalidad de que el trabajador siempre esté al tanto de las medidas que tomará la empresa,
cómo las implementará y la forma en que se fiscalizará el cumplimiento de las medidas para proteger
no solamente a una persona, sino a todos los trabajadores de la empresa.

Estas reglamentaciones comienzan a regir a lo menos 30 días después de colocar en conocimiento a

los trabajadores, sindicatos y a los comités paritarios existentes en la empresa, a quienes se les debe
entregar copia de lo reglamentado o de las modificaciones realizadas en dichos reglamentos.
Lección 2 | Ciberseguridad 13

1.5. Política nacional de ciberseguridad para Chile

La Política Nacional de Ciberseguridad está basada en tres pilares fundamentales: prevención,
protección y persecución; como prioridades estratégicas en el ámbito de la seguridad publica en el
ciberespacio.

El ciberespacio presenta requisitos indispensables para su existencia, como son la disponibilidad de

energía y redes de comunicación, ambos elementos requeridos para que se pueda efectuar la
interconexión digital y el traspaso de información entre las máquinas de generación y/o procesamiento
de información. Por esta razón, es que aborda diferentes ámbitos de las actividades de una
organización.

De este modo, los fenómenos que amenazan la ciberseguridad tienen que ser entendidos como parte
de un continuo de situaciones que afectan a las organizaciones, cada una con sus propias
características, tratamiento y métodos de resolución y las que requieren de una estrategia sólida y
permanente en el tiempo.

A raíz de ello es que se creó el CSIRT del gobierno, del cual se puede encontrar más información en
[Link] como así mismo se han creado decretos y algunas leyes que aún se
encuentran en trámites legislativos los cuales esperamos su pronta aprobación.

1.6. Proyecto de ley de ciberseguridad

El nuevo proyecto de ley actualmente se encuentra desde el 12 de marzo de 2020 en el segundo
trámite constitucional, y sin urgencia. En los archivos adjuntos de la lección se puede apreciar que dicho
proyecto ha sufrido varias modificaciones respecto de su mensaje inicial por parte de S.E. el Presidente
de la República. Por lo que a la fecha no se tiene claridad de los delitos que finalmente este proyecto
va a sancionar, dicho esto, solamente lo mencionaremos como parte del estudio y se dejará el
adjunto para quienes busquen profundizar en la materia.

Dentro de los aspectos más discutidos están aquello relacionados con el hacking ético, ya que si bien es
cierto hay que proteger los activos de la información de los hackers, no es menos cierto que evitar las
técnicas de intrusión con fines éticos puede significar que se desincentive la investigación y, por lo
tanto, aumenten los ataques de día o, entre otras cosas de relevancia.
Lección 2 | Ciberseguridad 14

1.7. Contrato de confidencialidad

En lo general cuando se habla de un contrato se hace referencia a lo que dice el Código Civil en su
artículo N°1438: “contrato o convención es un acto por el cual una parte se obliga para con otra a dar,
hacer o no hacer alguna cosa. Cada parte puede ser una o muchas personas”, esa es la norma
general de un contrato, por lo que un contrato de trabajo sería un acto por el cual una parte se obliga a
realizar el trabajo y la otra a pagar el precio del mismo.

En el contrato de trabajo se establecen diferentes situaciones como, por ejemplo:

• Horarios de trabajo.
• Fechas de inicio de entrega.
• Multas por incumplimiento de plazos.
• Datos de las partes.
• Otros.

Pero el contrato de confidencialidad no busca normar la realización del trabajo, sino que asegurar la
confidencialidad del trabajo realizado, dentro de lo mínimo que debe tener es lo siguiente:

• Datos de las partes.

• Cuáles son las prohibiciones de uso de la información (académico, comercial, en charlas, entre otras).
• Multas asociadas al no cumplimiento.
• Delitos que pueden ser invocados

En caso de no existir un acuerdo de confidencialidad significa que quien realizó un trabajo queda
liberado de responsabilidad de hablar, escribir o comentar lo que realizó, como lo realizó, las
conclusiones a las que arribó, entre otras que estime.
Lección 2 | Ciberseguridad 15

2. Normas internacionales
2.1. Convenio de Budapest
Para hablar del Convenio de Budapest primero hay que tener claridad de lo que es la territorialidad de
la ley la diferencia entre convenio y tratado.

Enlace de interés
Convenio de Budapest ratificado por Chile en el año 2017.

Link del recurso

[Link]

Si bien es cierto que el derecho positivo no señala de manera tajante qué es la territorialidad de la ley,
no es menos cierto que el Código Civil señala dos cosas a saber: la primera es que en su artículo 14
dice que la ley es obligatoria para todos los habitantes de la república, nacionales o extranjeros; la
segunda es del artículo 16 el cual indica que los bienes que están en Chile se sujetan a las leyes
chilenas aunque los dueños vivan en el extranjero, poniendo la excepción de los contratos, pero
nuevamente señala que estos contratos para cumplirse en Chile deben arreglarse a las leyes chilenas.

Por otro lado, se debe separar la diferencia entre convenio internacional y tratado internacional.
Ambos son acuerdos firmados entre dos o más Estados, pero existen dos grandes diferencias: la
primera dice relación con las formalidades exigidas, el convenio es menos formal que el tratado; la
segunda es que, respecto de recurrir a las cortes internacionales de justicia, en este caso solamente
los tratados pueden recurrir a las cortes internacionales de justicia no los convenios.

Sabiendo esto es posible desprender que el Convenio de Budapest al ser un convenio tiene menos
formalidades que un tratado y no es vinculante en materia penal. Es más, de la sola lectura de este
podemos desprender que se apela a la buena voluntad de los estados convenientes, señalando frases
como los estados parte adoptarán las medidas legislativas, que es lo que actualmente Chile está
realizando, adoptar las medidas legislativas.
Lección 2 | Ciberseguridad 16

Comentario final
En esta lección se ha revisado, en términos generales las normas actuales de ciberseguridad y su
ámbito de aplicación. No obstante, también hay que señalar que aún existen temas de la ciberseguridad
que se encuentran lejos de estar siendo normados como, por ejemplo: temas forenses, responsabilidad
penal de las personas jurídicas, delimitación de delitos, entre otras materias que son recomendables
indagar con mayor profundidad.
Lección 2 | Ciberseguridad 17

Referencias
Código Penal (2020). Publicado en el Diario Oficial el 12 de noviembre de 1874. Ministerio de Justicia
Recuperado de:
[Link]

Decreto con Fuerza de Ley 1 (2000). Fija texto refundido, coordinado y sistematizado del Código Civil; de
la Ley Nº 4.808, Sobre Registro Civil; de la Ley Nº 17.344, que Autoriza Cambio de Nombres y Apellidos;
de la Ley Nº 16.618, Ley de Menores; de la Ley Nº14.908, sobre Abandono de Familia y Pago de
Pensiones Alimenticias, y de la Ley Nº16.271, de Impuesto a las Herencias, Asignaciones y Donaciones.
Publicada en el Diario Oficial el 30 de mayo de 2000. Ministerio de Justicia. Recuperado de:
[Link]

Decreto 83 (2017). Promulga el Convenio sobre la Ciberdelincuencia. Publicado en el Diario Oficial el 28

de agosto de 2017. Ministerio de Relaciones Exteriores. Recuperado de:
[Link]

Decreto con Fuerza de Ley 1 (Ley 19.223 (1993). Tipifica figuras penales relativas a la informática
Publicada en el Diario Oficial el 7 de junio de 1993. Ministerio de Justicia. Recuperado de:
[Link]

Ley 19.628 (1999). Sobre protección de la vida. Publicada en el Diario Oficial el 28 de agosto de 1999.
Ministerio Secretaría General de la Presidencia. Recuperado de:
[Link]

Ley 19.799 (2014). Sobre documentos electrónicos, firma electrónica y servicios de certificación de
dicha firma. Publicada en el Diario Oficial el 12 de abril de 2002. Ministerio de Economía, Fomento y
Reconstrucción. Recuperado de:
[Link]
 PARA REFERENCIAR ESTE DOCUMENTO, CONSIDERE:
IACC (2020). Aspectos legales de la Seguridad de la Información. Ciberseguridad. Lección 02.