La responsabilidad por la ciberseguridad en la empresa en Argentina[1] es compartida, transversal, de todos los interesados internos y externos.

Desde el empleado de menor categoría, pasando por toda la nómina de la organización, por los técnicos del departamento interno de tecnología de la información y de las comunicaciones (en la práctica llamado IT), llegando hasta la alta dirección (director ejecutivo, Chief Executive Officer, o CEO; director de operaciones, Chief Operating Officer, o COO, etcétera) y la administración legal (usualmente directores y gerentes por ser las sociedades anónimas y las sociedades de responsabilidad limitadas los tipos más usados por las empresas), y extendiéndose incluso a los proveedores externos que tengan relación con la cuestión, en cada caso conforme con y en la medida de las diferencias de sus roles y responsabilidades, todos son responsables por la ciberseguridad de la empresa y pueden verse alcanzados por las consecuencias legales de los incidentes de ciberseguridad.

Los ciberataques, directos o a la cadena de suministro, no solo pueden paralizar las operaciones de una empresa, sino también destruir o filtrar datos propios y de terceros, “secuestrar” los mismos, apoderarse de bienes, etcétera, menoscabando la reputación empresaria y creando significativas contingencias por las sanciones administrativas, las penas por delitos, y los daños y perjuicios que se puedan producir a terceros afectados.

La ciberseguridad ya no se limita a simplemente contar con sistemas antivirus o cortafuegos y ha trascendido las fronteras de los departamentos internos de IT para requerir una labor conjunta de muchos actores. Esta perspectiva exige que la ciberseguridad sea un aspecto más de la política de cumplimiento (o compliance) y de la responsabilidad social empresaria, y no solo abordada por la simple implementación de alguna solución técnica.

La responsabilidad transversal y compartida por la ciberseguridad debe formalizarse en una política de ciberseguridad, adecuadamente elaborada de acuerdo a los riesgos y estructura de cada organización y los distintos roles que se involucren en su cumplimiento.

1) Los distintos roles internos de una política de ciberseguridad

a) El departamento de IT

El departamento interno de IT debe ser el arquitecto técnico de la política de ciberseguridad, su ejecutor, y el personal de primer respuesta ante un incidente.

Sus responsabilidades incluyen, entre otras:

• Identificación: identificar el estado de los sistemas de la empresa, vulnerabilidades y riesgos de ciberseguridad que los acechen;
• Protección: diseñar, implementar y mantener actualizados los aspectos técnicos de la política de ciberseguridad, poniendo en ejecución un sistema continuo de vigilancia de los sistemas de la empresa 24 x 7 x 365;
• Detección: realizar pruebas continuas para identificar nuevas vulnerabilidades y actualizar y mejorar los sistemas técnicos de defensa, supervisar constantemente los sistemas en busca de actividades sospechosas o anomalías, etcétera;
• Respuesta:desarrollar planes de y brindar la primera respuesta ante incidentes de ciberseguridad, procurando contener y mitigar el impacto, aislando sistemas comprometidos y aplicando medidas correctivas para evitar la propagación del ataque;
• Recuperación: recuperar los sistemas y datos afectados, asegurando que las operaciones se reanuden con la mayor rapidez, seguridad y contención de daños posible.

Además, el departamento interno de IT debe brindar asesoramiento técnico periódico y suministrar informes sobre el estado de la política de ciberseguridad al directorio o gerencia y a la alta dirección, como un elemento más de la diligencia y buenas prácticas de la gobernanza  en ciberseguridad.

b) El departamento de legales

El soporte legal no debe ser solo reactivo en caso de un incidente de ciberseguridad, sino ser el arquitecto legal de la política de ciberseguridad, puente entre las soluciones técnicas y las normas legales, asegurando que las políticas de ciberseguridad cumplan con las regulaciones legales y normativas y sean legalmente defendibles.

Sus funciones abarcan, entre otras:

• Identificación:confrontar las particularidades de cada empresa con las leyes y normativas aplicables a la ciberseguridad, tanto a nivel nacional (por ejemplo, la Ley de Protección de Datos Personales N° 25.326 en Argentina[2], la Ley de Delitos Informáticos N° 26.388) como internacional (por ejemplo, las normativas NIS2 y DORA de la Unión Europea), identificando las medidas de seguridad exigidas, las obligaciones específicas de notificación de incidentes de ciberseguridad,  las posibles sanciones, responsabilidades penales, y responsabilidades por daños y perjuicios, etcétera;
• Prevención: traducir los requisitos normativos y regulatorios aplicables en el diseño legal de la política de ciberseguridad, comprensible y aplicable para toda la empresa y sus proveedores. Esto implica trabajar estrechamente con el departamento de IT para asegurar que las implementaciones técnicas cumplan con las exigencias legales;
• Extensión de la política de ciberseguridad a los contratos con los proveedores: redactar cláusulas de ciberseguridad para ser incluidas en las condiciones generales de contratación y/o en los contratos particulares con los proveedores cuyas prestaciones puedan estar vinculadas o comprometer la ciberseguridad de la empresa, estableciendo responsabilidades contractuales claras y obligaciones para mantener indemne a la empresa ante violaciones de la política de ciberseguridad por los proveedores.  Esto es crucial dado que gran parte de los incidentes de ciberseguridad tienen origen en la cadena de suministro. Sobre el particular, podrá exigirse a los proveedores, entre otras obligaciones, cumplir con requisitos mínimos de seguridad, obligaciones de notificación de incidentes, derechos de auditoría para la empresa, cláusulas de indemnización y limitación de responsabilidad claras en caso de incumplimiento de las políticas de ciberseguridad, obligaciones de destrucción o devolución de datos al finalizar el contrato, etcétera;
• Gestión legal de incidentes de ciberseguridad:desarrollar y participar en el plan de respuesta a incidentes de ciberseguridad, asesorando sobre las obligaciones legales de notificación a autoridades y afectados, la gestión de la evidencia forense, la comunicación pública (para mitigar el daño reputacional y legal), y la preparación para posibles litigios o investigaciones regulatorias[3];
• Desarrollo de políticas laborales específicas de ciberseguridad: traducir la política general de ciberseguridad en políticas laborales específicas de conducta en ciberseguridad para notificar a los empleados de la empresa, estableciendo en forma clara y precisa el comportamiento que se espera en materia de ciberseguridad, las permisiones y prohibiciones, y las eventuales consecuencias legales de los incumplimientos, tanto para la empresa como para el dependiente infractor;
• Asesoramiento a la gobernanza sobre las responsabilidades legales y diligencia requerida en materia de ciberseguridad.

c) La gobernanza: alta dirección y administración legal de la empresa

Aquí es donde reside la responsabilidad última por la ciberseguridad.

Si bien la administración legal de la sociedad y la alta dirección no pueden estar personalmente en el diseño y en la ejecución de las políticas, tampoco pueden delegar por completo la responsabilidad por la ciberseguridad.

Las tendencias regulatorias globales en la Unión Europea, como el Reglamento General de Protección de Datos (GDPR) y, de manera más explícita, la Directiva NIS2, han puesto en cabeza de la gobernanza distintas obligaciones en materia de ciberseguridad.

En la Argentina, los directores y gerentes de las sociedades tienen un deber legal de diligencia bajo el estándar del “buen hombre de negocios”, y responden ilimitada y solidariamente hacia la sociedad, los accionistas y los terceros, por el mal desempeño de su cargo, así como por la violación de la ley, el estatuto o el reglamento y por cualquier otro daño producido por dolo, abuso de facultades o culpa grave (Ley General de Sociedades Nº 19.550, artículos 59 y 274),

Por lo tanto, la gobernanza de las sociedades deberá preocuparse para que se elabore una adecuada política de ciberseguridad, se mantenga la misma actualizada y se controle su cumplimiento mediante mecanismos efectivos. Sobre el punto se debe destacar que la normativa societaria argentina permite que las sociedades anónimas asignen responsabilidades individuales en el directorio (por ejemplo, en materia de ciberseguridad) y, en estos casos, la imputabilidad se limitará y hará atendiendo a dicha asignación,  siempre que el estatuto conteniendo la misma o la decisión de la asamblea que haya designado a los directores que han de velar por la ciberseguridad hayan sido inscriptas el Registro Público.

Para salvaguardar su responsabilidad y poder defender su diligencia, los directores y gerentes y la alta dirección deben requerir y recibir de los departamentos internos de IT y de legales informes periódicos sobre el estado de la ciberseguridad en la empresa, actualización de la política de ciberseguridad, potenciales amenazas, incidentes de ciberseguridad registrados, etc.

El incumplimiento del establecimiento de una robusta gobernanza en ciberseguridad expone a los directores, gerentes y alta dirección a ser pasibles de acciones de responsabilidad por daños y perjuicios, por parte de la sociedad, de sus accionistas y socios y de los terceros perjudicados por incidentes  de ciberseguridad.

La instrucción para que la empresa cumpla con normas y estándares de la industria, como las normas ISO 27001, los marcos NIST, etc., son demostrativos de buenas prácticas y diligencia en materia de ciberseguridad y pueden contribuir a la defensa de la gobernanza ante incidentes de ciberseguridad.

d) Los empleados de la empresa

Todos y cada uno de los empleados de la empresa son la primera línea de defensa ante las amenazas de ciberseguridad y un factor clave en el éxito de las políticas que se establezcan.

Por lo tanto, es esencial:

• Conciencia:todos los empleados deben conocer las políticas de ciberseguridad de la empresa;
• Formación continua:los empleados deben recibir formación periódica y actualizada sobre las amenazas y cómo identificarlas y evitarlas;
• Cumplimiento de las políticas de ciberseguridad:todos los empleados deben obligarse a actuar conforme con las políticas de ciberseguridad de la empresa, y estar claramente notificados de las consecuencias que sus incumplimientos pueden producir sobre su relación laboral o su responsabilidad civil. En este sentido, debe destacarse que, además de las normas generales de responsabilidad civil del Código Civil y Comercial de la Nación, el artículo 87 de la Ley de Contrato de Trabajo Nº 20.744 establece que el trabajador es responsable ante el empleador de los daños que cause a los intereses de éste, por dolo o culpa grave en el ejercicio de sus funciones.

2) La contratación de terceros especializados: la ciberseguridad como servicio

Muchas veces las empresas carecen de los departamentos internos de IT o de legales o, en tantas otras, evalúan que es preferible y más eficiente encomendar a terceros especializados las numerosas tareas que implican las buenas prácticas y obligaciones legales en materia de ciberseguridad que hemos revistado en las secciones anteriores.

a) La contratación de empresas especializadas

Los esfuerzos constantes que se requieren para estar al tanto de los cambios y evoluciones en las amenazas de ciberseguridad, la actualización permanente de los métodos técnicos de prevención, y la necesidad de establecer sistemas de vigilancia 24 x 7 x 365, hace que, muchas veces, las capacidades de los departamentos internos de IT se vean superadas.

Para responder a estos desafíos existen en el mercado empresas especializadas que solo prestan ciberseguridad como servicio, con sistemas modulares para satisfacer todas las necesidades, y que están más capacitadas y disponen de todos los medios y recursos necesarios para que la política de ciberseguridad sea efectivamente diseñada y cumplida.

b) Los asesores legales externos

Para aquellas empresas que no puedan o no quieran tener un departamento legal interno o no deseen involucrar al mismo en la política de ciberseguridad, contar con asesores legales externos especializados es crucial para tender el ya mencionado “puente” entre las soluciones técnicas y el cumplimiento normativo.

En Castro Sammartino & Pierini estamos preparados para asesorar a su empresa como su departamento legal externo, asesorándoles como un servicio en todos los aspectos legales atinentes a la política de ciberseguridad.

Conclusión

La pregunta de quién es la responsabilidad por la ciberseguridad en la empresa en Argentina tiene entonces esta respuesta: es una responsabilidad compartida que recae en toda la organización, siendo los directores y gerentes y la alta dirección los responsables últimos de la ciberseguridad.

El asesoramiento técnico y legal, interno o externo, emergen como los arquitectos de la política de ciberseguridadque es responsabilidad de la gobernanza de la empresa mandar a elaborar, ejecutar y controlar.

No espere a que un ciberataque ocurra para actuar, hágalo ya empleando los medios  de su propia organización o recurra a profesión ales externos para asistirlo en la formulación e implementación de una adecuada política de ciberseguridad.

                                               Mario E. Castro Sammartino

[1] Repasamos las obligaciones legales de las empresas en materia de ciberseguridad en ésta publicación de nuestro Blog Legal: ¿Qué deben saber las empresas sobre ciberseguridad en Argentina?

[2] Sobre las obligaciones legales de las empresas en materia de datos personales, se puede consultar la siguiente entrada en nuestro Blog Legal: Protección de datos personales en Argentina: algunas cuestiones que las empresas deben conocer

[3] Algunas recomendaciones adicionales sobre cómo responder ante un incidente de ciberseguridad pueden encontrarse aquí: ¿Cómo actuar ante un ataque informático? Sugerencias para protección de datos propios y de terceros

Nuestras publicaciones expresan exclusivamente la opinión de su autor y no constituyen consejo ni opinión legal sobre caso alguno. De necesitarlo debe consultar con su abogado de confianza.

Si desea información sobre cuestiones legales de interés o consultar sobre su caso particular, por favor, suscríbase a nuestro Blog Legal o contáctenos a su conveniencia.