Actualizada a mediados de 2022, la nueva norma sobre delitos informáticos deroga la Ley N° 19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al Convenio de Budapest. Los expertos coinciden que la ley anterior estaba muy atrasada respecto al avance de las Tecnologías de la Información.
Ley 21.459: Modernizando la legislación en delitos informáticos
La promulgación de la nueva Ley de Delitos Informáticos N° 21.459 viene a adecuar la legislación al mencionado Convenio de Budapest, primer tratado internacional respecto de delitos cometidos a través de Internet y otras redes informáticas, que trata en particular el fraude informático, pornografía infantil, delitos de odio y violaciones de seguridad de red.
Con la presencia de esta ley, las empresas analizan el impacto y cómo enfrentar la adecuación del sistema de gestión de seguridad de la información (ISO 27001), o de sus políticas y normas, que regulan el uso y protección de la información de la compañía, idealmente con la asignación de presupuesto de la alta dirección.
Para dar una idea general, se citan algunas acciones:
- Analizar la tipificación de delitos de la ley y luego relacionarlos en el contexto de los procesos, políticas y procedimientos de la empresa.
- Actualizar las políticas de seguridad de la información, que incluye la ciberseguridad, alineadas a la nueva Ley 21.459.
- Capacitar en forma prioritaria a los directivos, gerentes y el área de Tecnologías de la Información, y usuarios que manejan información confidencial y bases de datos. Sobre todo, en el intercambio con terceros se debe revisar las prácticas que podrían generar incumplimiento de la ley.
- Revisar si se efectúan controles sobre privilegios de acceso, registros de logs, entre otros, que permitan demostrar o indagar sobre algún delito informático.
- Si en la compañía existe el Rol de Oficial de Seguridad de la Información, será este el que lidere estas acciones, si no podría ser el auditor interno el encargado.
Estas acciones son las mínimas a emprender, ya que incluir medidas adicionales depende del giro y de los sistemas implementados en la empresa. El cumplimiento de la ley requiere un trabajo en equipo y transversal a todas las áreas de la organización.
¿Por qué es importante esta ley para las empresas?
La Nueva ley de delitos informáticos en Chile es crucial para el entorno empresarial por varias razones significativas. Su importancia para las empresas se puede resumir en los siguientes puntos:
- Mejora la seguridad cibernética y la protección de datos: Esta ley actualiza el marco legal para combatir más efectivamente los delitos informáticos, lo que resulta en un ambiente digital más seguro para las operaciones comerciales. Al incrementar las medidas de seguridad, las empresas pueden proteger mejor su información sensible y la de sus clientes, reduciendo el riesgo de ataques cibernéticos y brechas de datos.
- Fomenta la confianza de clientes y socios: Al adaptarse a una legislación más rigurosa en materia de delitos informáticos, las empresas pueden demostrar su compromiso con la seguridad cibernética. Esto no solo refuerza la confianza de los clientes en la protección de sus datos, sino que también fortalece las relaciones con socios y proveedores que valoran altamente la seguridad y la conformidad legal.
- Establece claridad legal y reduce riesgos legales: La ley proporciona un marco legal más claro y detallado respecto a lo que constituye un delito informático, así como las penalizaciones correspondientes. Esto ayuda a las empresas a comprender mejor sus obligaciones legales y a implementar políticas y procedimientos adecuados para cumplir con estas normativas. Como resultado, se minimizan los riesgos legales asociados con actividades informáticas y se promueve un entorno de negocios más seguro y regulado.
La Ley N° 21.459 es fundamental para las empresas en Chile porque les proporciona las herramientas y el marco legal necesario para combatir los delitos informáticos de manera efectiva, protegiendo así sus activos, reputación y relaciones comerciales.
Impacto en la Responsabilidad Penal Corporativa: Desafíos y obligaciones para las Empresas
En el ámbito de la responsabilidad penal de las empresas, los delitos informáticos que introduce la nueva ley se incorporarán al catálogo de delitos de la Ley 20.393, que establece la responsabilidad penal de las personas jurídicas, siempre y cuando hayan sido cometidos en su provecho o interés directo o indirecto y haya sido consecuencia del incumplimiento de los deberes de dirección y supervisión.
La inclusión de esta nueva variedad de delitos a la Ley 20.393 impone a las empresas deberes de monitoreo, actualización y mejora continua que medirán su reacción y la forma en que los mecanismos de prevención y cumplimiento fueron puestos al día en relación con estos nuevos riesgos de naturaleza informática.
Cabe recordar que los delitos informáticos al interior de la empresa configuran la responsabilidad penal de la organización, no aquellos delitos que afecten a clientes, pero que fueron cometidos por terceros que no pertenecen a la empresa.
Delitos informáticos y responsabilidad empresarial: Riesgos y mitigaciones cruciales
Entre los delitos que establece la Ley 21.459, se debe prestar especial atención el delito de receptación informática (Art. 6°): un ejecutivo o controlador de la empresa no puede desconocer ni simular desconocimiento sobre el origen de una nueva base de datos o la agregación de nueva información.
Cuando resulta muy evidente que una base de datos no pudo haber provenido sino a través de un delito informático, se produce la responsabilidad penal de la empresa por receptación. Por ello, es importante el levantamiento de riesgos y el establecimiento de controles de mitigación de riesgo, como podría ser una auditoría preventiva y una vigilancia permanente sobre las bases de datos y la agregación de nueva información.
Otro delito que instaura la nueva ley al que las empresas deben prestarle atención es el delito de fraude informático (Art. 7°). El inciso segundo establece que se considerará también autor al que, conociendo o no pudiendo menos que conocer la ilicitud de la conducta descrita en el inciso primero, facilita los medios con que se comete el delito.
Cuando la ley se refiere a “facilita los medios con que se comete el delito”, lo hace de una forma que puede interpretarse de manera bastante amplia. El término “los medios” puede abarcar desde un documento adulterado creado por personal de la empresa a través del cual se comete el fraude informático, o también podría ser el espacio físico de la empresa o la computadora que la empresa asigna a ese personal, entre otros”.
En síntesis, según remarca la Coordinación Nacional de Ciberseguridad, entre los delitos que contempla esta nueva ley se encuentran:
- Acceso ilícito.
- Interceptación ilícita.
- Ataque a la integridad de los datos informáticos.
- Falsificación informática.
- Receptación de datos informáticos.
- Fraude informático.
El accionar de las empresas
Dentro de las normas procesales en la nueva ley, se destaca el deber de preservación provisoria de datos informáticos y la reserva de la diligencia (Art. 18 Ley 21.459) de 90 días prorrogable hasta 180 días.
Por lo tanto, para efectos de la gestión de riesgos y las medidas de prevención que deben adoptarse según el Art. 4° de la Ley 20.393, las empresas deben implementar medidas de mitigación que permitan reducir este tipo de conductas, tales como:
- La incorporación de personal especializado relacionado con el área de Tecnologías de la Información de la empresa.
- Considerar las normas internacionales (ISO) de estandarización sobre la materia.
- Incorporar medidas que identifiquen y gestionen los riesgos que pueden afectar a la compañía.
En síntesis, la implementación de la Ley 21.459 en Chile obliga a las compañías a realizar las acciones para asegurar su cumplimiento, de manera de protegerse eficazmente contra riesgos cibernéticos.