inicia sesión o regístrate.
La pandemia, en términos tecnológicos, marcó un antes y un después. La posibilidad de realizar trámites de manera remota, y el famoso "home office", obligó a las empresas a amigarse con el "mundo cyber".
A su vez, la realidad descripta implicó que las entidades comiencen a almacenar y gestionar de manera remota infinidad de datos propios, de sus usuarios, clientes y proveedores. En efecto, este tipo de información constituye, hoy en día, un nuevo tipo de activo en el patrimonio, empresarial que incrementa día a día su valor.
Ese escenario obligó a las empresas a madurar de golpe en materia informática y a buscar cómo protegerse a ellas mismas y a sus clientes o usuarios frente a ciberataques que buscan tomar el control, desestabilizar, dañar o exfiltrar información de un sistema informático.
Vemos que, según un reporte global de Fortinet sobre ciberataques en América Latina, Argentina lidera el ranking con un total de 10 mil millones de intentos en 2022, un crecimiento del 200% con respecto a 2021. Las formas más comunes de ciberdelincuencia se centran en el "ransomware" (secuestro de datos) y el "phishing" (obtención de información confidencial de los usuarios de forma fraudulenta).
Frente a dicho panorama, coincidimos en que, hoy en día, los ataques cibernéticos y los fraudes tendientes a obtener información relevante configuran un riesgo sumamente probable para las empresas argentinas. Estas últimas no serán las únicas afectadas, porque puede que los efectos colaterales del ilícito perjudiquen a sus usuarios, clientes o proveedores.
Entonces, ¿pueden tener las empresas víctimas de ciberdelincuencia responsabilidad frente a terceros? La respuesta es "sí".
Recordemos que la Ley Civil dispone que toda persona (humana o jurídica) tiene el deber de prevenir los daños que se encuentren en la esfera de su control. A tales fines, se sancionaron recomendaciones y regulaciones (nacionales e internacionales) tendientes a resguardar la integridad y la diligente disponibilidad de cada tipo de información.
Todas estas normas tienen en común la exigencia de que las empresas actúen de manera proactiva. Es decir, pasan de un enfoque reactivo ("oh, tuvimos un incidente de ciberseguridad, veamos qué hacemos") a estar preparados y a tener una planificación previa para evitar perjuicios y posibles consecuencias jurídicas.
Es que, demostrando una actitud previsora y diligente, como así también una correcta aplicación de las normas en materia de datos, las empresas podrán alegar causas exculpatorias de responsabilidad civil. Esto es justamente lo que intenta plasmar la disciplina del "compliance empresarial" (*) al proponer programas de cumplimiento normativo y gestiones de riesgos.
Existen muchas herramientas que pueden ser utilizadas como evidencia de proactividad en procesos judiciales civiles, laborales o penales que, a su vez, requieren del cumplimiento de ciertas formalidades dentro de la organización.
En conclusión, para evitar que se configure la responsabilidad empresarial por los efectos nocivos de un ciberataque, es importante diseñar un sistema de prevención acorde a la normativa y que resulte aplicable al tipo de información gestionada. De esta manera, la persona jurídica podrá acreditar que realizó todas las acciones posibles para evitar el daño a indemnizar.
Por lo tanto, ¿pueden las empresas víctimas de ciberdelincuencia liberarse de la responsabilidad frente a terceros? La respuesta también es "si".
* Compliance es un conjunto de procedimientos para identificar, clasificar y prevenir los riesgos operativos y legales.