Por Daniel Peña Valenzuela, socio Peña Mancero Abogados
Los ciberataques se han convertido en un enemigo cada vez más usual para las empresas; tarde o temprano los sistemas de información pueden ser objeto de intrusiones, robo y secuestro de información, entre otros. Para enfrentar de manera efectiva un ciberataque no solamente se debe contar con capacidad técnica también con herramientas legales que permitan prevenir, reaccionar, mitigar e incluso recobrar los perjuicios causados.
El ciberataque ocurre en el momento menos esperado y es una situación de crisis. Es un atentado a los activos de la empresa, a su reputación y en muchos casos sus efectos pueden ser devastadores.
Para prevenir un ataque se recomienda tener una políticas de seguridad de la información, a la medida de los riesgos que se evalúen para cada empresa. Estas políticas deben ser conocidas y puestas en práctica de manera efectiva así como una revisión de contratos laborales para incluir cláusulas de ciberseguridad que disminuyan las opciones de ingeniería social que aprovechan los cibercriminales. También se aconseja revisar las cláusulas contractuales con los proveedores tecnológicos para tener claro los deberes y obligaciones en seguridad digital.
La reacción requiere un diagnóstico legal que complemente el informe ciberforense en particular con la clasificación desde el punto de vista legal de la información comprometida (por ejemplo si hay secretos empresariales o información confidencial comprometida) así como una interacción del equipo jurídico en el comité de crisis y en la coordinación con las directivas sobre el plan de acción.
La mitigación de los efectos del incidente digital depende de dos factores, si la empresa es regulada o tiene supervisión del gobierno se debe determinar la forma de notificación tanto a las entidades públicas como a los clientes. De manera transversal, la notificación a la Superintendencia de Industria y Comercio-Delegatura de Protección de Datos en caso de que datos personales estén comprometidos previene multas y sanciones. También es pertinente revisar el componente legal del plan de continuidad que permita a la empresa seguir funcionando en el día a día de sus actividades, previniendo por ejemplo el incumplimiento de contratos.
La indemnización de perjuicios es un asunto que ha cobrado importancia así como la denuncia penal de los hechos acaecidos. La investigación por parte de la Fiscalía en caso de delitos informáticos que sean consecuencia del ciberataque puede servir para esclarecer los hechos y también se puede solicitar la indemnización de daños y perjuicios incluso en el ámbito internacional si se logran conocer los autores de los ciberataques.
En conclusión, el ámbito jurídico no se debe desconocer en las distintas etapas previas, concomitantes y posteriores a la ocurrencia de un ciberataque pues es importante que la información de la empresa y terceros, en particular clientes y usuarios, así como los derechos involucrados queden a salvo en lo posible o si hay consecuencias dañinas se puedan mitigar o lograr la sanción a los culpables.
Agosto 2023