“Prevenir es mejor que curar” puede que sea una de las frases más viejas que hemos escuchado. Y aunque suele aplicarse con mayor frecuencia en el ámbito médico, hoy aplica más que nunca al mundo corporativo. Por eso, las normas ISO 27.001:2022 e ISO 27.701:2019 se han convertido en manuales de cabecera para las organizaciones que buscan prevenir delitos relacionados con el lavado de activos e incluso faltas graves relacionadas con la seguridad y la privacidad de la información.
“El paso previo al trabajo con un estudio o departamento jurídico es la consultoría legal. Personalmente, me toca hablar más con ingenieros que con otros abogados para entender, por ejemplo, los impactos asociados a comprar o vender un software. Éstos pueden ser relevantes tanto para los clientes como para los proveedores”, explica Matías Rojo, líder de Data Legal Consulting [1].
De hecho, según el abogado, especialista en ciberseguridad y _compliance,_ la Ley 20.393 que establece la responsabilidad penal de las personas jurídicas de derecho privado y empresas estatales incorpora ocho nuevos delitos de carácter informático, que llevaron a muchas organizaciones a modificar sus modelos de prevención. “Es la primera norma legal que consideró el concepto de dato informático, sistema informático, y receptación de datos informáticos, entre otros, y, por eso, las capacitaciones son cruciales no sólo para las áreas informáticas”, comenta el consultor.
Como implementador de las normas 27.001 y 27.701, Matías Rojo, tiene muy claro que la información debe llegar tanto a los directores, como a los encargados de _compliance_; pero también a los gerentes de Administración y Finanzas; a los CISO y a los CTO. “Si las empresas no se protegen frente a los delitos informáticos establecidos en la Ley 20.393, las multas a las que se exponen las empresas pueden llegar hasta las 300 mil UTM en los casos más severos e incluso pueden ser clausuradas”, afirma el abogado de Data Legal Consulting [1].
