A propósito de la entrada en vigor de la Ley 21.459 para las empresas
Este 20 de diciembre se cumplen seis meses desde que fue publicada en el Diario Oficial la Ley N°21.459, “que establece normas sobre delitos informáticos, deroga la Ley N°19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al Convenio de Budapest” (“Ley de delitos informáticos”). Este plazo marca un hito relevante para las empresas, pues es a partir de tal fecha que los delitos informáticos comienzan a ser parte del artículo 1° de la Ley N°20.393, que determina el catálogo de delitos atribuibles a las personas jurídicas, por lo tanto, podrán ser consideradas como responsables frente a la comisión de éstos en su interior, siempre que les pueda reportar algún beneficio.
La ampliación de este catálogo de delitos ha sido una de las principales novedades legislativas de los últimos años (v.gr. Ley N°21.121, Ley N°21.132, Ley N°21.240, Ley N°21.325, Ley N°21.412, Ley N°21.488). Sin embargo, todas estas iniciativas -salvo por la Ley N°21.121- han tenido en común más bien defectos que virtudes. En efecto, han sido inclusiones menores (un delito o delitos muy de nicho), en las que el reproche penal constituía un refuerzo a una regulación administrativa de mayor relevancia, y con defectos importantes de técnica legislativa (ausencia de pena corporativa que hace inaplicable el delito a las empresas hasta la actualidad).
La entrada en vigor de la Ley N°21.459 debe leerse de manera diferente por las empresas, pues supondrá un cambio relevante para los modelos de prevención del delito, muy similar al que generó en su momento la Ley N°21.121, cuando incorporó al catálogo de delitos corporativos figuras como la administración desleal o la corrupción entre particulares. Los impactos de los novísimos delitos informáticos son muchos, pero quisiéramos resaltar los principales desde la perspectiva de compliance.
El primer cambio relevante es que, al igual que la tipificación de la corrupción entre particulares, estamos ante delitos “nuevos”, es decir, delitos que comenzarán a ser aplicados por nuestros tribunales de manera paralela a personas naturales y jurídicas, sin jurisprudencia previa que aquilate la aparente dureza de la descripción legal. Esta característica llama a las empresas a utilizar criterios conservadores a la hora de sus evaluaciones de riesgos en materia de delitos informáticos. Conceptos como “acceso ilícito” a un sistema informático, “perturbación informática”, “daño informático” y sobre todo que se entenderá por “receptación informática”, requerirán de un proceso de interpretación judicial que tomará un tiempo. En el espacio intermedio, las empresas deberían considerar que acceso indebido es similar o cercano a acceso ilícito, y, por tanto, reforzar el uso de sistemas de accesos con buenos criterios de seguridad, solo por mencionar un efecto importante en los procesos de evaluación de riesgos.
El segundo cambio relevante es que, al igual que algunas figuras delictivas de reciente vigencia, como el delito de administración desleal, los delitos informáticos pueden ocurrir e impactar el centro o “core” del negocio. La digitalización acelerada provocada por la pandemia, con el recurso al teletrabajo con medios computacionales personales, ha provocado un aumento explosivo de los riesgos de seguridad de la información que esta nueva normativa solamente viene a reconocer. ¿Qué implica esto? Que las empresas utilizan los recursos digitales en todas sus áreas, y, por tanto, el foco inicial en TI deberá ser luego expandido a áreas como las de personas, marketing, business inteligence, CRM, operaciones, sostenibilidad, compras, solo por mencionar algunas que hemos tenido la oportunidad de evaluar en estos meses iniciales de la norma.
Por último, el tercer cambio se emparenta con la posible entrada en vigor como norma del denominado Proyecto de Ley de Delitos Económicos, actualmente en el Congreso Nacional. Nos referimos al problema de administrar un volumen importante de ilícitos que deben ingresar a los modelos de prevención del delito.
La nueva Ley 21.459 considera la incorporación teórica a la responsabilidad penal de las empresas de las ocho figuras que se describen más abajo. Este es el mayor ingreso de tipos penales a los modelos de prevención del delito desde la publicación de la versión original de la Ley N°20.393, lo que implica que las empresas deben duplicar, en teoría, sus matrices de riesgos. Sin embargo, y como viene siendo comentado en diversos foros de compliance a propósito del proyecto de ley citado, la incorporación de un delito a un sistema de prevención de riesgos supone un proceso previo de autoconocimiento para tomar una “meta-decisión” consistente en definir cuáles de los tipos penales afectan realmente sus operaciones y cuales no, pues respecto de estos últimos no van a tomar medidas de prevención. Esta evaluación propia del manejo de riesgos (solo se manejan los riesgos con impactos relevantes y probabilidad de impacto más o menos probable), supondrá una gestión renovada de los riesgos penales que, hasta la fecha, por lo exiguo del catálogo, podían ser gestionados por delito y no por riesgo. Los delitos informáticos serán un buen ensayo para definir los riesgos penales que deben ser cautelados por la empresa, una preparación necesaria para el mundo probable que plantea la eventual publicación del proyecto de ley sobre delitos económicos.
En resumen, la Ley 21.459, requerirá de varios ajustes a procesos operacionales y novedosos análisis legales que supondrán importantes desafíos para las empresas. De todos ellos, entender la nueva regulación, en extremo técnica, para conseguir que procesos habituales y del “core” del negocio puedan ajustarse a los nuevos controles que implicará, y la creación de un real modelo de gestión de riesgos y no de sumatoria de delitos en sus sistemas de reportería y manejo de controles, nos parecen los principales a destacar.