La ciberseguridad como elemento del Compliance Penal

 

En un entorno empresarial donde cada vez se depende más de los ordenadores y del intercambio de información a través de las redes, uno de los aspectos que debe integrar un sistema efectivo de Compliance Penal es un buen esquema de seguridad informática.

 

No son pocos los escándalos que se han presentado recientemente en las empresas por brechas en la seguridad informática, que derivan en responsabilidades para las personas jurídicas no sólo a nivel penal sino también civil o administrativo. Recientemente hemos visto cómo las fallas de seguridad informática deriva en casos como el de Ashley Madison, la cadena de tiendas por departamento Target, o la propia nube de Apple.

 

Y es que la vulnerabilidad se presenta desde distintos actores. Por un lado las empresas deben cuidarse de ser víctimas de ataques externos de personas que buscan acceder a sus datos para obtener un provecho o como parte de un ejercicio de hacking para poner a prueba la seguridad informática (hacking “ético” o malicioso, según el caso). Por el otro debe evitar que su propio personal incurra en infracciones por acción u omisión que pongan en peligro los sistemas.

Ciberseguridad y la protección de datos

 

Uno de los primeros elementos que debe resguardar la empresa son los datos propios y de terceros que maneja, particularmente los datos personales e información sensible que puede generarle responsabilidad conforme lo dispuesto en la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal.

 

Los ficheros de la empresa deben contar con medidas de seguridad ajustadas, y acordes al tipo de información almacenada. En este sentido, para el caso de datos especialmente sensibles, deberán implementarse mecanismos de encriptación, uso de servidores propios, restricción y control de acceso acordes con el nivel de riesgo.

 

Para ello la empresa deberá contar con la asesoría de especialistas en materia de seguridad informática, que determinen cuáles medidas son recomendables y qué herramientas de control se deben implementar. Esto debe necesariamente formar parte del programa de Compliance de la empresa, puesto que se trata de un recurso necesario para establecer una barrera en la prevención de delitos relacionados con datos personales y revelación de información.

 

Delitos de propiedad intelectual e industrial

 

Otro bloque de delitos que representan alto riesgo en tema de seguridad informática son aquellos relativos a la propiedad intelectual e industrial.

 

Por un lado, la empresa debe prevenir que personas no autorizadas tengan acceso a la información almacenada sobre productos o desarrollos propios o de terceros que reposen en sus sistemas, aplicando las medidas mencionadas en el punto anterior.

 

Por el otro, existe el riesgo de que el personal o colaboradores hagan uso de programas o aplicaciones ilegales en sistemas de la empresa, consciente o inconscientemente. Si la empresa obtiene un beneficio de este tipo de actividades (por ejemplo, la utilización de un software descargado ilegalmente para la gestión de las ventas), puede generarse responsabilidad penal para la persona jurídica.

 

Más allá de las sanciones penales, la responsabilidad civil y administrativa en casos de piratería pueden implicar cuantiosas multas, según la Ley 21/2014, de 4 de noviembre, por la que se modifica el texto refundido de la Ley de Propiedad Intelectual, aprobado por Real Decreto Legislativo 1/1996, de 12 de abril.

 

Un programa de Compliance Penal que evalúe las condiciones de la seguridad informática de la empresa, le permitirá tomar las medidas necesarias para prevenir este tipo de riesgos, que cada vez es más tangible.

 

Daños informáticos

 

Otro riesgo que debe mitigarse dentro de las empresas es la utilización de los recursos informáticos propios para actividades delictivas o con el fin de ocasionar daños a terceros.

 

Este riesgo si bien puede ser más evidente en el caso de empresas asociadas al sector tecnológico, también puede perjudicar a empresas más pequeñas. En este sentido, nada impide que desde los ordenadores de una PyME del sector servicios se ejecuten acciones dirigidas a afectar el servidor de su competidor. Y este tipo de conductas puede ocurrir con o sin conocimiento de la alta dirección de la empresa, si no se implementan los controles y el monitoreo adecuado a los sistemas informáticos propios.

 

Estos tres elementos destacan entre los más relevantes en materia de seguridad informática, pero no son los únicos. Hoy en día la tendencia es al incremento de medios informáticos para la comisión de delitos. Quienes los ejecutan corren un menor riesgo y obtienen un mayor beneficio. Por otra parte existe una mayor dependencia a las redes en el manejo de información y ejecución de transacciones.

 

Por lo tanto, en la medida en que las empresas implementen controles internos de seguridad informática, estarán contribuyendo a la mitigación de los mismos y a la eficacia de su programa de Compliance.

Podéis consultarnos sobre temas de seguridad informática y Compliance Penal a través de nuestra dirección de correo info@garberipenal.com o visitar nuestra sección de Delitos Informáticos.

 

Alex Garberí & José Alejandro Cuevas, División de Compliance Penal de «Garberí Penal»