Desde antes de la pandemia derivada del COVID-19 se venía discutiendo el cambio en la cultura de la empresa, sea pequeña o mediana, en miras a realizar su transformación digital y que, dada las nuevas necesidades y peligros derivados de la era digital 4.0, era necesario cambiar la cultura de las empresas, a objeto de tener ahora una “cultura digital”.
Sin lugar a dudas el impulso final para lograr realizar la
transformación digital de las empresas, fue precisamente el COVID-19
puesto que las medidas de seguridad, en materia de salud que se
implementaron por parte de la autoridad, nos obligaron a todos a
adaptarnos al teletrabajo y mudar nuestra vida desde la oficina a
nuestros hogares.
El problema de un cambio así de abrupto es que, si bien podemos
haber conceptualizado y levantado protocolos de tal transformación
digital, sin duda alguna, la cultura de la empresa, arraigada a través de
los años, no cambia de la noche a la mañana, ni siquiera pandemia
mundial mediante..
Peter Drucker considerado el mayor filosofo y consultor en materia
de managment suele señalar que “la cultura se desayuna a la
planificación”. Es así de simple, cambios culturales son procesos que
duran un tiempo, a veces más prolongado que el deseado, en realizarse,
siendo los primeros sujetos dentro de la empresa resistentes a tal
cambio precisamente, los dueños, accionistas y gerentes. ¿Si las cosas
siempre se han hecho así, por que cambiarlas o modificarlas?
Como consecuencia de la mentada pandemia, las empresas se
dedicaron en una primera etapa a apagar los incendios en materia de
personal interno, ventas, líneas de créditos, pago a proveedores, entre
otros, pero no se preocuparon del cambio cultural digital, menos aún,
digámoslo con todas sus letras, de la ciberseguridad en pandemia. Esto
es natural; sufrimos un problema de salud grave a nivel mundial, lo que
prima en el ser humano es el instinto de supervivencia y la
ciberseguridad no era un tema en ese momento.
El problema es que, al igual que el COVID-19, la ciberdelincuencia no nos pregunta si estamos protegidos o no, simplemente nos infecta y esos fueron los problemas que tuvieron muchas empresas al cambiar una VPN segura y protocolos internos dentro de la empresa, al wifi del hogar, sin medidas de protección alguna al momento de trabajar, incluido el uso de los laptops por parte de los hijos para jugar en línea con sus amigos, también presos del encierro. Unido a lo anterior, durante y después de la pandemia, se dictaron leyes que tenía por objeto regular precisamente temas ligados a la ciberseguridad, como lo fueron la Ley de Trabajo a distancia o remoto (conocida como Teletrabajo) y la Ley de Delitos Informáticos.
La ley 21.220 que modificó el código del trabajo en materias de
trabajo a distancia, fue promulgada el 24 de marzo de 2020 y publicada
el 26 de marzo del mismo año, si bien otorgó un periodo de adecuación
para tales empresas, el cual fue de 3 meses, al haberse dictado en
plena pandemia, las empresas en particular, pensaban que la ley no
les afectaba, dado que ellas debían enviar a sus trabajadores a
teletrabajar, en virtud del acto de autoridad, que prohibía el
desplazamiento y fijaba periodos de cuarentena en el país.
Lo cierto es que la ley, de acuerdo a los supuestos que contenía su
tipificación, se aplicaba independientemente de los actos de autoridad y,
dentro de la ley, precisamente se contemplaban protocolos de
seguridad, tanto física, como de ciberseguridad que por cierto, muy
pocas empresas cumplían a esa fecha y siguen muchas actualmente sin
cumplirlas.
Por otro lado, con fecha 20 de junio de 2022 se dictó la ley 21.459 sobre delitos informáticos, la cual derogó la anterior ley 19.223. Dicha ley, que regula los delitos informáticos, dispone desde su artículo 1 al 8, diversos tipos de ciberataques, desde la interceptación, falsificación e, incluso, el fraude informático, muchos de los cuales pueden afectar al factor humano interno de la empresa, pero, también estableció modificaciones a la ley 20.393 sobre Responsabilidad Penal de las Personas Jurídicas, todo lo cual puede terminar, entre otras sanciones, además de las pecuniarias, con la terminación de la persona jurídica en cuanto tal.
Por último, con fecha 17 de agosto del presente, se dictó la ley 21.595 sobre Delitos Económicos, la que comenzará a regir luego de 1 año desde su publicación en el Diario Oficial y que también contiene un tipo relacionado a la ciberseguridad y establece que, los tipos penales descritos en la ley 21.459, serán considerados como delitos económicos si son ejecutados por un agente con cargo de empresa o para beneficio de una.
De igual forma la citada ley sobre delitos económicos modifica el artículo 468 del Código Penal, incorporando otras hipótesis al citado artículo, que habla respecto del que obteniendo un provecho se genere un perjuicio patrimonial, manipulando datos de un sistema informático, utilizando claves confidenciales para acceder a un sistema y, haciendo uso no autorizado de una tarjeta de pago o los datos de la misma.
Como podemos ver, claramente se produce un problema para la empresa hoy, no sólo deben preocuparse de las ventas, de administrar bien el negocio, de mantener número azules, sino que además, debe ir de la mano lo anterior, con el cambio y asentamiento de la cultura digital dentro de la empresa y, por cierto, del cumplimiento a través de las modificaciones a los instrumentos internos de ella, tales como contratos de trabajo, reglamentos de higiene y seguridad, anexos de contrato, contratos con proveedores y protocolos internos en materia de ciberseguridad, para poder dar cumplimiento a la creciente normativa en materia de ciberseguridad que hoy se encuentra vigente en nuestro país.
Recordemos además que está en el último trámite legislativo la ley
sobre datos personales, tan esperada por todos, pero que conllevará
adaptar protocolos internos y establecer medidas tendientes a proteger
los datos, sujeto a estándares distintos a los cuales conocemos a la
fecha, incluida la figura del delegado de protección de datos y, en caso
de no cumplir con la normativa, se verán expuestos a fuertes multas
aplicadas por el regulador.
Nuestro país, en cumplimiento de tratados y acuerdos comerciales
internacionales, ha debido adaptar su normativa interna en materia de
ciberseguridad y datos, con el fin de ser sujeto seguro para países que
hoy son aliados comerciales y así poder seguir comercializando sus
productos y servicios en el mercado internacional pero, todo aquello
conlleva además un cambio importante en la cultura interna de las
empresas, quienes, más allá de cumplir con ciertos clientes, que les
exigían el establecimiento de protocolos internos en materia de
ciberseguridad o datos, pocas veces eso se traducía en una multa o
pago de indemnización, en cambio ahora, estarán sujetos a la aplicación
de una pena, en el caso de la ley de ciberdelitos y delitos económicos y,
a la aplicación de fuertes mutas en el caso de la ley de datos personales.
Por lo anterior, es urgente que tanto los directorios como gerentes de las empresas, se empapen de la cultura digital y legal de esta era digital, la cual, como bien sabemos, no nos pregunta si estamos de acuerdo con el cambio, simplemente arrasa como una ola a quienes no sepan surfearla y no estén dispuestos a adaptarse al cambio, ya no sólo tecnológico, sino que también legal y cultural.