Ciberseguridad: cuando la responsabilidad depende de la jurisdicción

La inteligencia artificial y los computadores cuánticos son algunos de los desarrollos tecnológicos que de cara al futuro pueden potenciar el procesamiento de datos, pero también ayudar a los ciberdelincuentes a conseguir con mayor facilidad desencriptar información confidencial.

Eduardo Vilches

En este contexto las empresas se han visto en el desafío de proteger su información, sobre todo ante las nuevas normas de compliance que buscan que los privados tengan protocolos adecuados para enfrentar los crímenes digitales, las que también les imponen cierta responsabilidad en caso de ataques cibernéticos que logren la filtración de información delicada o afecten la infraestructura de un país.

Un ejemplo es lo que ocurrió con la empresa petrolífera Colonial Pipeline en Estados Unidos, la cual sufrió un ciberataque de ransomware en 2021, que llevó al cierre de sus oleoductos, causando una escasez de combustible en el este de Estados Unidos. En respuesta, la Administración de Seguridad de Oleoductos y Materiales Peligrosos (PHMSA) del Departamento de Transporte de Estados Unidos propuso una sanción de US$ 986.400 a Colonial Pipeline por violar la normativa federal de seguridad y no contar con un plan de contingencia satisfactorio ante ransomware.

La situación en Latinoamérica no es uniforme respecto de la responsabilidad penal de las empresas en situaciones que vulnerar la ciberseguridad.

Pablo Contreras Vásquez

En Chile, por ejemplo, los privados se encuentran en un escenario regulatorio complejo, por un lado, está la ley de delitos informáticos y la recién promulgada ley de delitos económicos, las que aumentan el peso de la responsabilidad penal de las personas jurídicas: “Tenemos dos regulaciones muy severas hacia las personas jurídicas que les dicen a las compañías ‘este tema es muy importante, gestione sus riesgos’. Entonces el problema está en cómo se gestionan tales riesgos de forma eficiente y es aquí donde las personas tenemos que hacer un trabajo multidisciplinario”, comentó Eduardo Vilches, asociado senior del área de tecnología, privacidad y medios de Cariola Díez Pérez-Cotapos, durante el webinar “Ley Marco de Ciberseguridad” organizado por la Cámara Chileno Británica de Comercio.

Vilches añadió que tal trabajo multidisciplinario implica ampliar la mirada de las empresas para hacerles entender que la afectación de la confidencialidad e integridad de la información también puede ser un delito informático por parte de la empresa, por lo que las medidas de cumplimiento y de control para reducir ese riesgo se pueden ampliar para cumplir con la ley de responsabilidad penal de las personas jurídicas: “Entonces, estás aprovechando un instrumento y herramientas de control que ya tienes para generar una variable de cumplimiento legal, por una parte, del lado del compliance y además elevas la cultura de la ciberseguridad dentro de la empresa”.

También existe la reforma a la ley de protección de datos personales, todavía en trámite, la cual no obliga a tener un programa de compliance o de prevención de infracciones. “Es algo voluntario, pero la ley incentiva a las empresas para tener un programa de este tipo. ¿Cómo? Se trata de una atenuante en el caso de una infracción: el artículo 54 del proyecto establece que es una atenuante ‘El haber cumplido diligentemente sus deberes de dirección y supervisión para la protección de los datos personales sujetos a tratamiento, lo que se verificará con el certificado expedido’ por la Agencia de Protección de Datos Personales que se creará con este proyecto”, comenta Pablo Contreras Vásquez, investigador especializado en derecho constitucional, protección de datos e inteligencia artificial del Instituto de Investigación y Postgrado de la Facultad de Derecho y Humanidades de la Universidad Central.

Ciberseguridad: falta una agencia que fiscalice a las empresas

Andrés Pumarino

Pero además de la ley de delitos informáticos, la de delitos económicos y la reforma a la ley de protección de datos personales, existe también la Ley Marco sobre Ciberseguridad e Infraestructura Crítica que todavía no ha sido promulgada, la cual establece requisitos mínimos para la prevención y respuesta ante incidentes de seguridad informática, obligaciones para los órganos que la tengan a cargo y la creación de una Agencia Nacional de Ciberseguridad.

Andrés Pumarino, profesor del magíster de ciberseguridad de la Universidad Adolfo Ibáñez, comentó durante el webinar de la Cámara Chileno Británica de Comercio que además de las obligaciones que podría imponer la futura agencia, la Comisión para el Mercado Financiero en su Norma de Carácter General 461, pide que en las memorias anuales de las empresas se mencione las brechas de datos que pudieron haber sufrido, aspectos relativos a medidas de ciberseguridad y consideraciones respecto al tratamiento que el directorio tome sobre el tema.

“El regulador nos está dando por todas partes y todavía no llega ni la Agencia Nacional de la Ciberseguridad, entonces ya esto forma parte de las temáticas que el directorio va a tener que colocar en su agenda, no solamente para verlo en los 20 minutos que les van a dar al oficial de cumplimiento, sino que van a requerir también una capacitación”, añadió Pumarino.

La futura ley de Argentina

Cristian Medina

Cristian Medina, profesor de derecho informático de la Universidad Kennedy y disertante en la diplomatura de derecho digital de la Universidad Blas Pascal, comenta que la Ley de Protección de Datos en Argentina o Ley Habeas Data no contempla de manera exhaustiva las obligaciones que deben tener las empresas privadas y la administración pública sobre la materia: “Lo que hace en realidad es referir que el responsable o usuario de un archivo de datos debe tomar las medidas que sean necesarias para garantizar la seguridad y confidencialidad de los datos, pero la ley actual no les exige que cuenten con un estudio de riesgo o una política de impacto; creo que tiene que ver con la época en que se sancionó —hace 23 años—, cuando empezó a utilizarse el tratamiento de datos automatizados”.

En término de penalizaciones asociadas a la ciberseguridad, la ley contempla que pueden ser multados por ARS 100.000 (unos US$ 285) si no tienen una política de seguridad de la información y sucede algún incidente, lo que Medina considera muy bajo: “No es algo que a las empresas les mueva mucho la aguja con respecto a cumplir o no cumplir. También hay algunas sanciones penales, pero tampoco son muy gravosas porque tienen penas que son menores a los 2 años, en algunos casos, por lo cual son excarcelables y es muy raro que se vea este tipo de penas con la ley que tenemos actualmente”.

A pesar de ello el profesor comenta que existe el proyecto de Ley de Protección de Datos Personales que reforma la Ley Habeas Data, en la que se establecen pautas relativas a ciberseguridad e incidentes, así como a las políticas de información y a la creación de análisis de riesgo. La iniciativa obliga también a planear una política de impacto a las empresas, legisla la figura del encargado de datos y establece la obligación de informar a las autoridades en caso de ataque. Muchas de las ideas fueron tomadas de la Ley de Ciberseguridad de la Unión Europea: “Las sanciones también son mucho más severas, ya que son multas millonarias. Al margen de eso me parece que hay que meditar un poco ahí, también no hay que irse al extremo o puede perjudicar a los negocios”.

Actualización urgente en Perú

Eduardo Linares, abogado del departamento de nuevas tecnologías & compliance en Ontier, explica que en Perú la normativa sobre protección de datos personales entró en vigencia desde el año 2011, lo que permite a la Autoridad Nacional de Protección de Datos Personales (ANPD) fiscalizar a empresas privadas, empresas públicas y personas naturales que manejen bases de datos personales respecto a la implementación de las medidas de protección que manejan.

Eduardo Linares

“Los responsables de los bancos de datos personales deberán, como mínimo, cumplir con las siguientes obligaciones: registrar los bancos de datos ante el Ministerio de Justicia y derechos humanos; obtener el consentimiento de los titulares del dato personales para su tratamiento; informar a los titulares de los datos personales sobre la finalidad del tratamiento, plazo de conversación, transferencia nacional e internacional, entre otros, e implementar medidas de seguridad”, señala Linares.

En términos de multas la Autoridad Nacional de Protección de Datos Personales puede imponer sanciones económicas desde S/ 2.450 (USD 700) hasta S/. 490.000 (US$ 135.000). “Solamente en el año 2022, la ANPD fiscalizó a 317 entidades públicas y privadas, principalmente de los sectores financieros y telecomunicaciones, por el cual el cálculo de multas impuestas fue de S/. 8.000.000 (USD 2.200.000)”.

A pesar de ello, Linares advierte que la normativa necesita una actualización urgente, sobre todo con el continuo desarrollo tecnología: “Las nuevas formas de tratamiento y de recopilación de datos personales, trae consigo que la normativa se encuentre a la par del uso de las nuevas tecnologías. De hecho, a fines del mes de agosto se presentó un Proyecto de Ley sobre la actualización del Reglamento de Ley de Protección de Datos Personales, trayendo consigo el debate y la actualización de los mecanismos de seguridad y de fiscalización por parte de la Autoridad Nacional de Protección de Datos Personales”.

El interés de las empresas por proteger los datos personales

Eduardo Linares considera que las empresas grandes e internacionales que operan en el Perú toman muy en cuenta las medidas a aplicar para el correcto tratamiento de datos personales: “Esto se debe principalmente a dos factores. Primero, que al ser empresas internacionales ya tienen internalizada la importancia del correcto tratamiento de datos personales y, en segundo lugar, que las empresas grandes están en el ojo de la fiscalización por parte de la ANPD. Respecto de las empresas emergentes, aún no toman con mucha importancia las medidas de protección de datos personales. Creo firmemente que todavía, como sociedad, no somos conscientes de la relevancia de nuestros datos personales”.

Desde Argentina, Cristian Medina considera que si bien las empresas no estarían tan preocupadas por las sanciones legales, por no contar con una adecuada protección de datos, sí le darían importancia a la ciberseguridad, debido a las presiones de la normativa internacional: “Muchas de estas empresas no tiene presencia sólo en Argentina, sino que también operan en otros países de Latinoamérica, Europa y Estados Unidos, por lo que se tienen que adecuar a sus regulaciones, a riesgo de perder alianzas estratégicas y clientes. A eso se suma que Argentina se adhirió el año pasado al Convenio 108 del Consejo de Europa sobre el tratamiento de datos por sistemas automatizados, entonces las empresas paulatinamente se empiezan a preocupar por el tema”.

En Chile, por otro lado, en los últimos años las empresas han tendido fuertemente a reforzar sus estándares en ciberseguridad. “Las condiciones actuales de operación exigen instituciones más robustas y preparadas en esta materia. Pero no basta solo con políticas de ciberseguridad: hay que pasar a una gobernanza de datos que sea integral, que resguarde activos de información, que protege datos personales y rinde cuenta ante sus titulares y que desarrolla o aplica tecnología —incluso de IA— con altos estándares éticos y con plena sujeción al ordenamiento jurídico”, opina Pablo Contreras Vásquez.

 
También te puede interesar:
— El Convenio de Budapest y la ciberseguridad en América Latina
— Legislación de ciberseguridad en Latinoamérica: la opinión de las empresas
— Compliance a fundaciones: ¿riesgos de incumplimiento?