Dr. Francisco Bedecarratz publica columna titulada «Desafíos del compliance informático» en El Mercurio Legal en coautoría

15 mayo 2024

En el contexto empresarial moderno, lo relativo al compliance informático ha adquirido una
relevancia sin precedentes. La promulgación de la Ley Nº 21.595, sobre delitos económicos, ha
marcado un antes y un después en la responsabilidad penal de las personas jurídicas,
alineando a Chile con tendencias internacionales que buscan responsabilizar a las entidades
también por aquellos actos realizados en el marco de sus actividades.
Este cambio normativo, si bien busca fortalecer la responsabilidad empresarial por los riesgos
delictivos generados en el marco de sus operaciones de negocios, plantea desafíos significativos en términos de cumplimiento normativo en el contexto de la prevención de
delitos informáticos tipificados en la Ley N° 21.459.
Uno de los cambios más significativos introducidos por esta normativa es la expansión de la
responsabilidad penal organizacional a cualquier delito cometido “en el marco de sus
actividades”. Esto amplía considerablemente el espectro de riesgos que deben ser gestionados por la empresa, pues ya no solo se trata de evitar ser víctima de actos delictivos externos, sino también de prevenir que desde la propia organización se inicien ataques hacia terceros, por ejemplo, usando su infraestructura tecnológica. Esta ampliación implica que toda empresa debe desarrollar un entendimiento más profundo y exhaustivo de todas las operaciones que ocurren bajo su techo, lo cual no solo incrementa la carga administrativa, sino que también exige una revisión constante y meticulosa de sus procesos internos, para asegurar que no se convierta en fuente de actividades criminales.
Por otro lado, las normas técnicas de gestión del riesgo, como las pertenecientes a la serie ISO
27.000, a menudo vistas como un estándar valioso para el compliance en seguridad de la
información, presentan limitaciones significativas en este nuevo marco legal.
Estas normativas están diseñadas primordialmente para combatir riesgos de ciberseguridad o seguridad de la información que pueden ser externos, como infiltraciones o ataques a los
sistemas, e inclusive internos, como amenazas dentro de la organización. La ISO 27001 y otros
framework conocidos en la materia pueden ser enfoques sólidos para proteger los activos de
información de una empresa contra amenazas externas, pero encuentran sus limitaciones
particularmente sobre cómo prevenir que esos mismos activos se utilicen internamente de
manera inapropiada para fines delictivos.
Es importante mencionar que, acorde a la recientemente creada Ley Nº 21.663, marco de
ciberseguridad, dentro de las competencias que tiene la Agencia Nacional de Ciberseguridad se encuentra el dictar estándares generales y reglas técnicas que aquellas organizaciones que son servicios esenciales, como los declarados operadores de importancia vital, deben cumplir. Sin embargo, aún está por aclarar la idoneidad y aplicabilidad que dichos estándares tendrán respecto de las demás organizaciones impactadas por los riesgos que abarca la reciente Ley de Delitos Económicos.
Este vacío normativo y de aplicación práctica coloca a las empresas en una posición precaria.
Por un lado, deben adherirse a estándares que acreditan su compromiso con la seguridad
informática; por otro, necesitan desarrollar internamente políticas y procedimientos que
contemplen un espectro más amplio de riesgos, incluyendo aquellos originados por sus propias actividades. Esto requiere un enfoque de compliance tanto desde un enfoque tradicional como a nivel informático, que no solo implemente medidas de seguridad externas, sino que también fomente una cultura organizacional donde la ética y la legalidad sean partes integrales de todas las operaciones empresariales.
En conclusión, el compliance informático en la era de la Ley Nº 21.595 exige una
reconfiguración de las estrategias de gestión de riesgos no solo de parte de aquellos que
tradicionalmente abordan las áreas de cumplimiento, sino que desde un enfoque integral de
riesgos informáticos o de ciberseguridad.
Las empresas deben ahora operar bajo un modelo dual de protección que no solo se defienda de las amenazas externas, sino que también prevenga la generación interna de riesgos delictivos. El foco debe estar especialmente en la coordinación de controles que permitan articular y mitigar riesgos de manera transversal, sin generar al mismo tiempo un doble esfuerzo en la organización. Este desafío no solo es técnico, sino profundamente ético y
organizacional, y requiere de un compromiso continuo y consciente con la mejora y adaptaciónconstante de los sistemas de gestión de riesgos a la realidad operativa y legal vigente.