¿Cómo anticiparse para evitar millonarias multas producto del desconocimiento?
“Prevenir es mejor que curar” puede que sea una de las frases más viejas que hemos escuchado. Y aunque suele aplicarse con mayor frecuencia en el ámbito médico, hoy aplica más que nunca al mundo corporativo. Por eso, las normas ISO 27.001:2022 e ISO 27.701:2019 se han convertido en manuales de cabecera para las organizaciones que buscan entre otros, prevenir delitos relacionados con el lavado de activos e incluso faltas graves relacionadas con la seguridad y la privacidad de la información.
Matías Rojo, líder de Data Legal Consulting, explica: ‘El paso previo al trabajo con un estudio o departamento jurídico es la consultoría legal. Personalmente, me toca hablar más con ingenieros que con otros abogados para entender, por ejemplo, los impactos asociados a comprar o vender un software. Éstos pueden ser relevantes tanto para los clientes como para los proveedores’.
De hecho, según el abogado, especialista en ciberseguridad y compliance, la Ley 20.393 que establece la responsabilidad penal de las personas jurídicas de derecho privado y empresas estatales incorporó ocho nuevos delitos de carácter informático que implicaron modificar los modelos de prevención en muchas organizaciones. Destaca el vocero: ‘Es la primera norma legal que consideró el concepto de dato informático, sistema informático, y receptación de datos informáticos, entre otros, y, por eso, las capacitaciones son cruciales no sólo para las áreas informáticas’.
Como implementador de las normas 27.001 y 27.701, Rojo, tiene muy claro que la información debe llegar tanto a los directores, como a los encargados de compliance; pero también a los gerentes de Administración y Finanzas y a los CISO y a los CTO. Indica: ‘Si las empresas no se protegen frente a los delitos informáticos establecidos en la Ley 20.393, las multas a las que se exponen las empresas pueden llegar hasta las300 mil UTM en los casos más severos e incluso pueden llegar a ser clausuradas’.