Análisis

Desafíos del Compliance ante la modificación de la Ley Nº 19.223 (Ley Nº 21.459 sobre Delitos Informáticos)

Autores: Manuel Galvez, Socio Risk Advisory | Oscar Martínez, Gerente Risk Advisory

El fenómeno de la ciberdelincuencia en las compañías se ha tornado un dolor de cabeza para las áreas de ciberseguridad, puesto que en el último período han incrementado enormemente los ataques informáticos, como, por ejemplo: ransomware (secuestro de datos) o accesos no autorizados y su filtración a terceros, por ejemplo, los sufridos en sectores regulados en nivel Latinoamérica. Ello, no solo ha generado un impacto importante para estas áreas y han tenido que fortalecerse para dar respuesta a estos desafíos, ya que dichos ataques informáticos varias veces pueden implicar un alto riesgo de infracciones de algunas regulaciones y, por ende, la obligación de reporte a Superintendencias o autoridades judiciales, por ejemplo. En este punto, las áreas de cumplimiento se vuelven actores relevantes para afrontar correctamente estas situaciones de contingencia.

Ahora bien, si relacionamos esta situación a los requerimientos de la normativa “Ley Nº 21.459 sobre Delitos Informáticos”, que incorpora de manera expresa a los ilícitos informáticos en los sistemas de cumplimiento de las compañías, el escenario se tornar un poco más complejo

Recordemos, que la Ley Nº 20.393 sobre Responsabilidad Penal de las Personas Jurídicas atribuye responsabilidad a las personas jurídicas en cuanto defecto organizacional, es decir, que debido al incumplimiento de los deberes de dirección y supervisión que tienen los sujetos señalados en el art. 3º de la citada norma, que son relacionada con Alta Dirección o Gerencia de una compañía.

Hay que tener presente, que la eximente de responsabilidad penal (o atenuante, si procediese) se configura en cuanto exista un sistema que permite identificar las actividades, ya sea habituales o esporádicas, que permita la realización o incremento el riesgo de los delitos, entre ellos ahora los informáticos. Es importante, mencionar que la comisión del ilícito debe reportar un interés o provecho para la persona jurídica, expresiones que ha generado complejidades al momento de identificar especialmente en materia informática como se configura este “interés o provecho”; No obstante, a nivel internacional los ejemplos se presentan desde actividades en ciertos mercados competitivos hasta derechamente, ingresar a un sistema de un tercero e inutilizarlo.

Ante este desafío emergente, las organizaciones deben ser capaces de diseñar y adoptar un programa de cumplimiento enfocado a las necesidades del entorno y al perfil de riesgos organizacional para prevenir la ciberdelincuencia, entre los elementos claves a considerar en el programa se encuentran:

  • Identificación: identificar los riesgos en materia de ciberdelincuencia a los que se enfrenta la organización, teniendo en consideración el impacto y la probabilidad de que se materialicen.
  • Prevención: identificados los riesgos, se deben diseñar, implementar y evaluar procedimientos (controles) que protejan a la organización y mitiguen los riesgos identificados.
  • Monitoreo continuo: la eficacia de los controles implementados debe ser monitoreada de forma continua, a objeto de garantizar que los mismos se encuentren operando.
  • Generación de cultura: paralelamente, la Alta Administración y todos los stakeholders de la organización, deben ser capacitados, entregándoles información necesaria para llevar a cabo sus labores de acuerdo con los cambios normativos y con el objetivo de impedir debilidades internas.

Finalmente, la función de Cumplimiento debe poner un foco de atención cada vez más importante en los diversos aspectos asociados a la transformación digital en las compañías, con el objetivo de reducir las potenciales debilidades internas y potenciar las capacidades internas asociadas a la incorporación de diversas tecnologías para operar con un grado de “ciberseguridad” razonable, en entornos cada día más apalancados por la tecnología.

Did you find this useful?