Muchos son los cambios que se han producido en la normativa a raíz de la nueva era digital y numerosos los retos que esto trae consigo. Basta con ver los titulares de los últimos años, donde múltiples empresas de renombre internacional como BBC, Moveit, Boots, Facebook y Uber se han visto perjudicadas por ataques cibernéticos y, en algunos casos, sus administradores han sido declarados responsables por estas fallas de seguridad.
Si bien en el pasado esta responsabilidad se consideró inexistente dada la falta de claridad sobre las obligaciones de los administradores en este ámbito, fallos recientes y una mayor claridad en las obligaciones de los administradores en este sentido demuestran lo contrario.
Algunos casos emblemáticos son la condena impuesta al director de seguridad de Uber y las acciones iniciadas por la Comisión Federal de Comercio (FTC, por sus siglas en inglés) contra el CEO de Drizly por los fallos en la seguridad que llevaron a que la información de más de 2,5 millones de clientes quedará descubierta.
Resulta novedoso en este último caso que la FTC encontró que la compañía investigada no implementó medidas de seguridad básicas, guardó información crítica en una plataforma no segura y negligentemente dejó de realizar monitoreos a amenazas de seguridad que se presentaron.
Pero lo más llamativo fueron las diferentes medidas que la FTC obligó a poner en práctica, siendo la más curiosa la obligación impuesta al propio CEO (James Rellas) de implementar programas de seguridad —aun en futuras empresas donde trabaje— cuando esta recolecte información personal de más de 25.000 personas.
Viendo estos recientes desarrollos, la pregunta que surge en el ámbito de la responsabilidad de los administradores en la legislación mercantil colombiana es si los mismos pueden ser responsables ante esta nueva amenaza criminal. Lo anterior porque, como es bien conocido, los administradores (incluyendo miembros de la junta directiva) son, a la luz del artículo 23 de la Ley 222, responsables por actuaciones u omisiones en cumplimiento de sus deberes y responsabilidades a su cargo, y están siempre obligados a actuar con diligencia y cuidado de un buen hombre de negocios.
¿Podría entonces un administrador ser declarado responsable por fallas en la seguridad y los perjuicios que se pueden derivar de un ciberataque o robo de datos, a la luz de la normativa actual?
En la legislación estadounidense ya se han derivado responsabilidades por falta de diligencia de la administración de verificar la implementación de sistemas que permitan desviar ataques cibernéticos y el acceso a datos personales.
Así mismo, la Superintendencia de Industria y Comercio (SIC) en Colombia ya se ha pronunciado y ha advertido que los administradores podrán ser declarados responsables por incumplimientos de la Ley de protección de datos, en el marco del principio de responsabilidad demostrada. Por lo anterior, entre sus deberes de diligencia y cuidado, los administradores deben conocer el entorno digital de su empresa y evaluar los riesgos que se pueden derivar de fallas en la seguridad.
Así mismo, están en la obligación de implementar controles internos y establecer políticas de seguridad y, lo más importante, dar cumplimiento a la obligación de informar cualquier fallo de seguridad.
La casuística extranjera ha demostrado que las autoridades regulatorias son más drásticas al castigar la falta de cuidado y diligencia cuando ha existido un comportamiento laxo de los administradores en la protección y mitigación de los riesgos.
La responsabilidad que recae sobre ellos no es menor, ya que podría derivar en acciones de responsabilidad civil o incumplimiento de los deberes fiduciarios. Sin lugar a dudas, la gestión proactiva y diligente en materia de seguridad cibernética cobra cada vez mayor importancia.