Con la reciente promulgación de la ley Marco sobre Ciberseguridad, sumado a la ley sobre Delitos Informáticos del año 2022, no cabe duda que los temas informáticos han llegado para quedarse. La ciberseguridad es una de las bases para una economía segura y promueve, además, el emprendimiento digital, entre otras cosas. De hecho, pregúntese usted mismo si en el último tiempo ha habido un aumento importante de requerimientos sobre ciberseguridad por parte de sus proveedores y clientes.
La Ley N° 21.459, sobre delitos informáticos, modifica la ley de responsabilidad penal de las personas jurídicas incorporando en su catálogo ocho delitos informáticos. Lo anterior no responde a una decisión antojadiza del legislador, sino que recoge una recomendación expresa contenida en el Convenio de Budapest. Dicho convenio es el primer tratado internacional que busca hacer frente a los delitos informáticos mediante la armonización de leyes entre naciones. En su artículo 12 señala que cada parte deberá adoptar las medidas legislativas que resulten necesarias para que pueda exigirse la responsabilidad a las personas jurídicas por los delitos informáticos.
Es positivo que los delitos informáticos se incorporen a la responsabilidad de las empresas, ya que al estar considerados de esa manera en diversas normativas internacionales, su comprensión y evaluación como parte de un Programa de Compliance, por autoridades internacionales, será más fácil.
Respecto de los delitos mismos, son ocho tipos penales los que se incorporan. Se trata de (i) ataque a la integridad de un sistema informático, (ii) acceso ilícito, (iii) interceptación ilícita, (iv) ataque a la integridad de los datos informáticos, (v) la falsificación informática, (vi) receptación de datos informáticos, (vii) fraude informático y (viii) abuso de dispositivos.
Algunas consideraciones relevantes. Con la tipificación del fraude informático, ahora este tipo de delito ya no se verá a través de la figura del fraude común, que hoy en día resultaba bastante insuficiente debido a los constantes avances tecnológicos. Asimismo, las penas por la comisión de fraude informático, en cuanto sea cometido por un funcionario público, son las más altas asignadas por la ley para este grupo de delitos.
Por otra parte, respecto de la probabilidad o incidencia de ciertos delitos al interior de las empresas, esto dependerá del giro y operación de cada una; sin embargo, distinguimos como especialmente riesgosos para las compañías la figura del acceso ilícito y la receptación de datos informáticos.
Por último, si bien los delitos informáticos no son algo nuevo, la novedad tiene que ver con su
incorporación en la ley de responsabilidad penal de las personas jurídicas; por lo tanto, la manera de
aproximarse, desde el punto de vista del compliance, será a través de la identificación de los riesgos de
comisión de estos delitos, desde el interior de la organización, implementando controles para prevenir que se cometa alguno de estos ilícitos. De esta manera se podrá demostrar, si llega a suceder algo, que se contaba con los controles adecuados para evitar su ocurrencia y así poder defender a la empresa.
La implementación y monitoreo respecto de un ambiente de control en materias de ciberseguridad en las empresas implica un enorme desafío para implementadores y revisores terceros independientes. Esto, porque al ser un área tan técnica, manejada generalmente por expertos del área de tecnología, la
identificación y generación de evidencia sobre los controles más adecuados es complejo. El talento estará en comprender los ecosistemas de ciberseguridad y aterrizar las revisiones para poder cumplir con los objetivos preventivos de compliance y las exigencias de la ley.
Por Ramón Montero Portilla es director de Operaciones de BH Compliance.
Publicada en El Mercurio Legal
