Entra en vigor Ley de Ciberseguridad en Ecuador para blindar infraestructura crítica y datos personales
El 22 de mayo entró en vigor la Ley Orgánica para el Fortalecimiento de la Ciberseguridad en Ecuador, que establece un marco jurídico especializado para proteger la infraestructura crítica, los sistemas de información y los servicios esenciales frente al aumento de amenazas y ataques cibernéticos.
Tras casi dos años de debates, y dos meses después de que la Asamblea Nacional se allanara al veto parcial presentado por el presidente Daniel Noboa, el Legislativo aprobó el texto definitivo de la ley de ciberseguridad con 83 votos a favor, y posteriormente remitió la norma al Registro Oficial para su promulgación.
La nueva ley de ciberseguridad introduce cambios en varias normas ecuatorianas, como la Ley Orgánica de Telecomunicaciones, que fortalece obligaciones de protección de redes, infraestructura crítica y gestión de incidentes de ciberseguridad; así como la Ley Orgánica de Protección de Datos Personales, que ahora articula medidas de protección de datos con estándares y mecanismos de seguridad digital y respuesta ante incidentes.
Dentro de las modificaciones también se encuentran otras leyes, como la Ley Orgánica de Transformación Digital y Audiovisual, que con la nueva legislación incorpora obligaciones y lineamientos de ciberseguridad dentro de los procesos de digitalización del Estado y servicios digitales.
Respecto a la Ley Orgánica de Educación Intercultural, se añaden contenidos sobre seguridad digital, riesgos en línea y uso responsable de tecnologías dentro de la educación. A la Ley Orgánica de Comunicación se le introducen disposiciones relacionadas con seguridad de la información y responsabilidades en entornos digitales.
Recomendamos: Ecuador presenta su política pública para el desarrollo ético de la IA
Al Código Orgánico Integral Penal (COIP) se le ajustan aspectos vinculados a delitos informáticos y aclara excepciones para actividades autorizadas de ciberseguridad, como pruebas de penetración o auditorías éticas.
De acuerdo con el Ministerio de Telecomunicaciones y de la Sociedad de la Información (Mintel), la nueva ley pretende consolidar una arquitectura moderna de gobernanza digital, establecer estándares nacionales de seguridad digital y definir mecanismos de prevención, gestión y notificación de incidentes cibernéticos. Destacó que también promueve la coordinación interinstitucional para responder a amenazas que afecten servicios esenciales y activos digitales estratégicos.
Por otro lado, la normativa aclara que no constituyen delito las actividades de acceso, prueba o evaluación realizadas con autorización expresa del titular de un sistema cuando tengan fines de verificación o fortalecimiento de la seguridad informática y se ejecuten conforme a los procedimientos establecidos por la ley y su normativa técnica.
Con estas modificaciones, la ley orgánica de ciberseguridad amplía y fortalece definiciones relacionadas con infraestructura crítica digital, ciberespacio, ciberataques, activos digitales, incidentes y riesgos de ciberseguridad, incorporando conceptos alineados con estándares internacionales y nuevas dinámicas de amenazas digitales.
Asimismo, el texto legal introduce principios de responsabilidad compartida en materia de protección digital y cuenta con un alcance que comprende a entidades públicas que administren servicios esenciales o infraestructura crítica digital, así como a prestadores de servicios digitales y organizaciones privadas cuya actividad tenga impacto directo en la continuidad de servicios estratégicos.