El pasado 20 de junio, entró en vigor la nueva Ley de Delitos Informáticos, la que viene a actualizar nuestra legislación no solo respecto a la evolución de las Tecnologías de la Información y la Comunicación, sino también a las actuales exigencias internacionales. En esta columna redactada para Revista Gerencia, el Líder de la Mesa de Ciberseguridad de Chiletec, analiza los cambios que introduce la nueva Ley 21.459 y su impacto sobre las operaciones de las empresas.
Antes del 20 de junio, teníamos muchos vacíos en la Ley 19.223, muy atrasada respecto al avance de las Tecnologías de la Información. Sin embargo, la promulgación de la nueva Ley de Delitos Informáticos 21.459 viene a adecuar nuestra legislación al Convenio de Budapest, primer tratado internacional respecto de delitos cometidos a través de Internet y otras redes informáticas, que trata en particular el fraude informático, pornografía infantil, delitos de odio y violaciones de seguridad de red.
Aunque esta nueva ley ya comenzó a regir, ciertas normas procesales lo harán tras seis meses de la publicación en el Diario Oficial de un reglamento dictado por el Ministerio de Transportes y Telecomunicaciones, suscrito además por el Ministro del Interior y Seguridad Pública.
Si consideramos que ya quedan cinco meses, es muy importante mencionar que las empresas tienen que analizar el impacto y cómo enfrentar la adecuación del sistema de gestión de seguridad de la información (ISO 27001), o de sus políticas y normas, que regulan el uso y protección de la información de la compañía, idealmente con la asignación de presupuesto de la alta dirección.
Para dar una idea general, se citan algunas acciones:
- Analizar la tipificación de delitos de la ley y luego relacionarlos en el contexto de los procesos, políticas y procedimientos de la empresa.
- Actualizar las políticas de seguridad de la información, que incluye la ciberseguridad, alineadas a la nueva Ley 21.459.
- Capacitar en forma prioritaria a los directivos, gerentes y el área de Tecnologías de la Información, y usuarios que manejan información confidencial y bases de datos. Sobre todo, en el intercambio con terceros se debe revisar las prácticas que podrían generar incumplimiento de la ley.
- Revisar si se efectúan controles sobre privilegios de acceso, registros de logs, entre otros que permitan demostrar o indagar sobre algún delito informático.
- Si en la compañía existe el Rol de Oficial de Seguridad de la Información, será este el que lidere estas acciones, sino podría ser el auditor interno el encargado.
Estas acciones son las mínimas a emprender, ya que incluir medidas adicionales depende del giro y de los sistemas implementados en la empresa; en ese sentido, lo que trato de enfatizar es que no hay que esperar a diciembre de este año, debido a que el cumplimiento de la ley requiere un trabajo en equipo y transversal a todas las áreas de la organización.
En el ámbito de la responsabilidad penal de las empresas, los delitos informáticos que introduce la nueva ley se incorporarán al catálogo de delitos de la Ley 20.393, que establece la responsabilidad penal de las personas jurídicas, siempre y cuando hayan sido cometidos en su provecho o interés directo o indirecto y haya sido consecuencia del incumplimiento de los deberes de dirección y supervisión.
La inclusión de esta nueva variedad de delitos a la Ley 20.393 impone a las empresas deberes de monitoreo, actualización y mejora continua que medirán su reacción y la forma en que los mecanismos de prevención y cumplimiento fueron puestos al día en relación con estos nuevos riesgos de naturaleza informática.
Cabe recordar que los delitos informáticos al interior de la empresa configuran la responsabilidad penal de la organización, no aquellos delitos que afecten a clientes, pero que fueron cometidos por terceros que no pertenecen a la empresa. Entre los delitos que establece la Ley 21.459, se debe prestar especial atención el delito de receptación informática (Art. 6°): un ejecutivo o controlador de la empresa no puede desconocer ni simular desconocimiento sobre el origen de una nueva base de datos o la agregación de nueva información. Cuando resulta muy evidente que una base de datos no pudo haber provenido sino a través de un delito informático, se produce la responsabilidad penal de la empresa por receptación. Por ello, es importante el levantamiento de riesgos y el establecimiento de controles de mitigación de riesgo, como podría ser una auditoría preventiva y una vigilancia permanente sobre las bases de datos y la agregación de nueva información.
Otro delito que instaura la nueva ley al que las empresas deben prestarle atención es el delito de fraude informático (Art. 7°). El inciso segundo establece que se considerará también autor al que, conociendo o no pudiendo menos que conocer la ilicitud de la conducta descrita en el inciso primero, facilita los medios con que se comete el delito. Cuando la ley se refiere a “facilita los medios con que se comete el delito”, lo hace de una forma que puede interpretarse de manera bastante amplia. El término “los medios” puede abarcar desde un documento adulterado creado por personal de la empresa a través del cual se comete el fraude informático, o también podría ser el espacio físico de la empresa o la computadora que la empresa asigna a ese personal, etc.
Dentro de las normas procesales en la nueva ley, se destaca el deber de preservación provisoria de datos informáticos y la reserva de la diligencia (Art. 18 Ley 21.459) de 90 días prorrogable hasta 180 días. Por lo tanto, para efectos de la gestión de riesgos y las medidas de prevención que deben adoptarse según el Art. 4° de la Ley 20.393, las empresas deben implementar medidas de mitigación que permitan reducir este tipo de conductas, tales como la incorporación de personal especializado relacionado con el área de Tecnologías de la Información de la empresa, considerar las normas internacionales (ISO) de estandarización sobre la materia, entre otras medidas que identifiquen y gestionen los riesgos que pueden afectar a la compañía.
César Pallavicini Zambrano
Presidente de la Comunidad de Riesgo Operacional y Líder Mesa de Ciberseguridad de Chiletec
Escríbenos y te contactaremos a la brevedad.
