Son innumerables las regulaciones sectoriales que buscan implementar sistemas de gestiones de riesgos asociados a la seguridad de la información. La NCG 461, por ejemplo, establece que las memorias anuales de las sociedades anónimas abiertas deben informar cómo se gestionan los riesgos relacionados con protección de datos personales y ciberseguridad.

Dichas regulaciones prescriben un rol activo del directorio, la identificación de activos y riesgos, las medidas destinadas a aminorarlos y los respectivos controles. Sin embargo, el elemento primordial para que estos sistemas de gestión sean efectivos es la educación, la cual no solo debe abarcar los riesgos y políticas asociadas a la ciberseguridad, sino también, identificar los activos de la compañía, también los intangibles, y los perjuicios por paralización que puede significar una intrusión a los sistemas de la compañía. Asimismo, el sistema implementado debe contemplar las correspondientes sanciones a los colaboradores que infrinjan las políticas y procesos determinados. De lo contrario, el mayor riesgo será el factor humano.

Los delitos informáticos recientemente publicados se incorporan como nuevos tipos respecto de la responsabilidad penal de las personas jurídicas. Esto es otra razón más para concientizar a los colaboradores de una empresa. Especial preocupación merece el delito de receptación el cual castiga al que comercialice, transfiere o almacene, a cualquier título, datos informáticos, conociendo o no pudiendo menos que conocer el origen ilícito.

¿Somos capaces de garantizar el origen lícito de los datos que almacenamos? Pensemos que una práctica habitual es que un vendedor transite entre empleadores con bases de datos de clientes, lo cual ocurre porque, por una parte, dichos datos no son considerados como un activo de la compañía y por la otra, no se reconoce como una práctica reprochable.

 

* Macarena Gatica es socia de Alessandri Abogados y lidera el área de Tecnología, Medios, Telecomunicaciones y Protección de Datos de la firma.

Tiene más de quince años de práctica legal y cuenta con amplia experiencia en las áreas de tecnología, protección de datos, ciberseguridad y comercio electrónico.

Ha trabajado en proyectos con empresas de diversas industrias: financiera (Grupo Security, Bci), valores (DCV), retail (Tricot), alimenticia (Agrosuper), educación (Aiep), seguros (Vida Security), salud (Bupa), automotriz (Derco), tecnología (Masterbase), entre otras.

Se caracteriza por entregar más que una asesoría: un acompañamiento en un proceso de adecuación a nuevos estándares, determinando riesgos normativos con una clara orientación al negocio del cliente.

Ha sido invitada a comisiones legislativas en el Congreso chileno, específicamente durante la tramitación del proyecto de ley sobre datos personales.

 

/ Artículos relacionados

Ciberseguridad en el metaverso: desafíos reales en un mundo virtual

Ley Fintech y la importancia de tratar la ciberseguridad en Chile

Alessandri Talks: Tendencias digitales en Chile

Avances en materia de cibercrimen: Chile adhiere al convenio de Budapest

Los ciberataques masivos más importantes de 2022