VER MÁS
MARKET DATA
<%userdata?.email%>
Editar perfil
Credencial
Salir
(Twitter)
Instagram
Facebook
LinkedIn
YouTube
TikTok
Alto contrasteDesafíos de los directorios en tiempos de ciberseguridad
LUIS ALBERTO ANINAT Socio de Aninat Abogados MARTIN MOIS Socio de Aninat Abogados
Ejercer el cargo de director se ha complejizado progresivamente. Con la entrada en vigencia de la Ley Nº 21.663 Marco de Ciberseguridad, diversas empresas se vieron sorpresivamente incluidas en la nómina de Operadores de Importancia Vital (OIV), propuesta revisada y convertida en definitiva por la Agencia Nacional de Ciberseguridad (ANCI).
Aunque la nómina definitiva de OIV aún podría verse modificada por los recursos administrativos interpuestos, la sola inclusión activa un estatuto regulatorio especial que incide directamente en el estándar de diligencia exigible a cada director, especialmente a la luz del régimen infraccional reforzado aplicable a los OIV, establecido en el artículo 39 de la mencionada Ley Marco.
Entonces, ¿qué debe considerar cada miembro del directorio de una empresa frente a esta calificación?
“Cada director deberá incorporar la ciberseguridad como un riesgo crítico del negocio de un Operador de Importancia Vital (OIV). Y la omisión en el ejercicio de sus deberes podrá dar lugar a responsabolidades civiles individuales”.
Cada director deberá, en ejercicio de su deber de diligencia y cuidado, incorporar la ciberseguridad como un riesgo crítico del negocio de un OIV, exigiendo la adopción de medidas proporcionales a la relevancia sistémica de sus productos y/o servicios. Tendrá, por lo tanto, que informarse adecuadamente, requiriendo antecedentes actualizados sobre el cumplimiento de las obligaciones específicas impuestas por la Ley 21.663, incluyendo sistemas de gestión, continuidad operativa y reporte de incidentes. Supervisará, en la forma definida por el directorio, el debido cumplimiento de las obligaciones específicas de la empresa como OIV, y velará porque se ajusten las políticas de gestión y respuesta a incidentes para evitar puntos débiles en relación con sistemas de gestión y reportería implementados por requerimientos de otras leyes (por ejemplo, la Ley Karin). Finalmente, el director deberá actuar de forma leal, al priorizar el interés social frente a decisiones que puedan minimizar costos de cumplimiento en desmedro de la resiliencia y seguridad que la Ley 21.663 exige a los OIV.
La omisión en el ejercicio de cualquiera de estos deberes, especialmente en una empresa calificada como OIV, puede dar lugar a responsabilidad civil individual del director, en la medida que se configure una actuación negligente o una falta de vigilancia relevante que derive en sanciones, daños patrimoniales o afectación reputacional para la empresa. Y nada hace pensar que, en un futuro, el estatuto infraccional para los OIV pueda quedar incluido en el catálogo de figuras penales consideradas en la Ley 21.595 de Delitos Económicos.
En definitiva, la aprobación de varias leyes durante los últimos años -Responsabilidad Penal de Personas Jurídicas, Delitos Económicos, Delitos Informáticos, Ley Karin, Ley Marco de Ciberseguridad y Ley de Protección de Datos Personales- han ampliado el ámbito de responsabilidad de los directores y ha hecho indispensable que conozcan las consecuencias de infringir estas normas, especialmente porque en base a estos distintos regímenes jurídicos aplicables, un solo incidente puede gatillar la responsabilidad individual del director bajo varios estatutos simultáneamente, tanto civil como penal.
