La ciberseguridad en la Argentina es un aspecto poco atendido por las empresas, pese a ser un componente crucial de la llamada Responsabilidad Social Empresarial.

Al igual que con el tema de la protección de los datos personales, frecuentemente se desconoce o se descuida el cumplimiento de las obligaciones en materia de ciberseguridad, tanto para prevenir como para mitigar los daños ante incidentes.

Seguidamente, bajo la forma de preguntas y respuestas, trataremos algunas cuestiones legales sobre ciberseguridad en Argentina que las empresas deben conocer.

¿Existen regulaciones legales sobre la ciberseguridad en Argentina?

Sí. Aunque con un tratamiento inorgánico e incompleto, existen algunas regulaciones legales específicas sobre ciberseguridad en Argentina, siendo también de aplicación a la materia ciertas normas generales del derecho común.

¿Hay medidas de seguridad que las empresas deban adoptar para prevenir o mitigar los incidentes de ciberseguridad?

Sí. Por Decisión Administrativa Nº 641/2021 se aprobaron los “requisitos mínimos de seguridad de la información para los organismos del sector público nacional”. Esta normativa establece un listado de directrices, con un detallado desarrollo de obligaciones que deben cumplirse que son una valiosa guía para que el sector privado tome de base en la elaboración de sus propias políticas de ciberseguridad[1].

Además, la implementación de y certificación del cumplimiento de la Norma ISO 27001 sobre seguridad de la información puede ayudar a establecer, mantener y mejorar continuamente el sistema de gestión de seguridad de la información.

Respecto de los datos personales, la Resolución Nº 47/2018 de la Agencia de Acceso a la Información Pública (en adelante, la AAIP) aprobó las medidas de seguridad recomendadas para el tratamiento y conservación de los datos personales en medios informatizados y no informatizados[2].

Es del caso señalar también que ciertas industrias tienen exigencias específicas sobre ciberseguridad como, por ejemplo, finanzas y bancos y salud.

Finalmente, deben tenerse en cuenta las normas generales del Código Civil y Comercial de la Nación (en adelante, el CCCN) sobre responsabilidad civil y de la Ley Nº 24.240 de Defensa del Consumidor, tanto para actuar con diligencia profesional en el desarrollo de la actividad empresaria y prevenir daños, como para responder ante los incidentes de ciberseguridad que se produzcan.

¿Se deben notificar los incidentes de ciberseguridad? ¿A quién?

Sí. Las entidades del sector público nacional y sus proveedores contratados tienen obligaciones de reportar los incidentes de ciberseguridad al Equipo de Respuesta ante Emergencias Informáticas Nacional (CERT.ar), dentro de las cuarenta y ocho horas de tomado conocimiento de su ocurrencia o de su potencial ocurrencia.

La ya mencionada Resolución N° 47/2018 de la AAIP recomienda diversas medidas de gestión de vulnerabilidades, destinadas a la implementación de procesos continuos de revisión que permitan identificar, analizar, evaluar y corregir todas las vulnerabilidades posibles de los sistemas informatizados que traten información, aplicando técnicas de control de la integridad, registro, trazabilidad y verificación. Específicamente para los incidentes de seguridad, recomienda:

• Disponer de un sistema de auditoría de incidentes implementando un sistema de registro que permita realizar un seguimiento ante eventos o acciones de un posible incidente (sistema de logs).
• Sincronizar todos los servidores/equipamiento con un servidor de horario público para asegurar una correcta incidentes de trazabilidad en caso de realizar una auditoría.
• Implementar un proceso de denuncia que permita que los usuarios alerten eventos de seguridad.
• Disponer de un sistema de gestión de incidentes capaz de mostrar fecha de registro, documentación relevante, personas involucradas, activos afectados.

Adicionalmente, el Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal y su Protocolo Modificatorio (aprobados por las leyes Nº 27.483 y Nº 27.699, y también conocidos como Convenio 108 y Convenio 108 modernizado) establece que los responsables del tratamiento deben notificar los incidentes a la autoridad de control.

Finalmente, si el incidente de ciberseguridad afecta a consumidores, debe notificarse a los mismos el problema sufrido.

La notificación inmediata y adecuada de los incidentes de ciberseguridad a las personas humanas y jurídicas que pudiesen verse afectadas es ileludible para tratar de mitigar los potenciales daños y limitar las responsabilidades que pudieren existir.

¿Cuáles son las sanciones y responsabilidades ante incidentes de ciberseguridad?

La Ley de Protección de Datos Personales Nº 25.326 (en adelante, la LPDP) establece sanciones administrativas. Asimismo, los incumplimientos relacionados con la protección de los datos personales pueden dar también a responsabilidades penales y civiles[3].

Por el lado de la protección al consumidor, el Decreto Nº 1798/94, reglamentario de la Ley de Defensa del Consumidor Nº 24.240 (en adelante, la LDC) establece que los proveedores de bienes o servicios que, con posterioridad a la introducción de los mismos en el mercado de consumo, tomen conocimiento de su peligrosidad, deberán comunicar inmediatamente tal circunstancia a las autoridades competentes y a los consumidores mediante avisos publicitarios. Los incumplimientos a esta obligación podrán ser sujeto de las sanciones que fijan las normas de protección al consumidor.

Sobre el punto, se registra un caso dónde la AAIP sancionó a un supermercado por infracciones al régimen de protección de datos personales con motivo de un incidente de ciberseguridad.

La brecha de seguridad se había producido por un ataque informático de la especie conocida como “ransomware” que encripta información. Además, algunos usuarios recibieron posteriormente mails fraudulentos bajo la modalidad conocida como “phishing”.

La AAIP aplicó multa a la empresa considerando que no había adoptado ninguna de las medidas de seguridad que indica la Resolución 47/2018 de la AAIP para prevenir incidentes de ciberseguridad, como así tampoco para la gestión de incidentes, todo lo cual había puesto en riesgo la protección de los datos personales de los titulares de datos en dos ocasiones.

Asimismo, estimó que la empresa, como responsable de tratamiento de datos personales, debió haber proactivamente y reportar a los usuarios afectados que podían ser víctimas de filtraciones de datos personales por el incidente de ciberseguridad, para que éstos pudieran estar prevenidos de posibles maniobras.

Recientemente, por Resolución Nº 126/2024[4], la AAIP aprobó la nueva clasificación de infracciones y el régimen de graduación de las sanciones por infracciones a la LPDP.

¿Existen delitos penales por hechos relacionados con la ciberseguridad?

Sí. Existen delitos que pueden tipificar hechos relacionados con la ciberseguridad como, por ejemplo, los delitos creados por la LPDP, la violación de secretos protegidos por la Ley Nº 24.766 de confidencialidad sobre información, y, fundamentalmente, aquellos incorporados por la Ley Nº 26.388 de delitos informáticos al Código Penal de la Nación (entre otros, daño informático; fraude informático; alteración de pruebas; acceso indebido o hacking; etc.).

Conclusiones

Al igual que con la protección de los datos personales, la cuestión del cumplimiento en ciberseguridad debe ser atendida por las empresas.

A las sanciones administrativas que puedan aplicar los organismos de control de las normativas, pueden agregarse importantes responsabilidades civiles por daños con sustento en las normas generales de responsabilidad del CCCN, tanto preventivas como resarcitorias.

No debe olvidarse que el propio CCCN establece también la responsabilidad de las empresas por hechos de sus empleados, lo que impone la necesidad de extender el control a toda la nómina laboral.

Es entonces fundamental que las empresas elaboren políticas de tratamiento y protección de datos personales y ciberseguridad, adecuadamente asesoradas por profesionales especializados en las cuestiones técnicas y legales que las mismas involucran. Y que notifiquen tales políticas a todos sus empleados, capacitándolos sobre cómo responder ante la ocurrencia de incidentes de ciberseguridad.

                        Mario E. Castro Sammartino

[1] La norma puede consultarse aquí:

https://servicios.infoleg.gob.ar/infolegInternet/anexos/350000-354999/351345/norma.htm

[2] Se pueden revisar en el siguiente vínculo:

https://servicios.infoleg.gob.ar/infolegInternet/anexos/310000-314999/312662/norma.htm

[3] Ver al respecto el siguiente post en nuestro Blog Legal: Protección de datos personales en Argentina: algunas cuestiones que las empresas deben conocer.

[4] https://servicios.infoleg.gob.ar/infolegInternet/anexos/395000-399999/399750/norma.htm

Nuestras publicaciones expresan exclusivamente la opinión de su autor y no constituyen consejo ni opinión legal sobre caso alguno. De necesitarlo debe consultar con su abogado de confianza.

Si desea información sobre cuestiones legales de interés o consultar sobre su caso particular, por favor, suscríbase a nuestro Blog Legal o contáctenos a su conveniencia.