| Si bien es cierto que la pandemia causada por el Covid -19 llegó a nuestro territorio de manera gradual, los sectores productivos no dimensionaron las implicaciones y consecuencias que actualmente vivimos, esto nos demuestra que la mayoría de las empresas no habían aprendido de las lecciones vividas en otras emergencias, omitiendo la prevención de riesgos y el impacto que se tendría en caso de que se interrumpieran de manera indirecta las actividades laborales, comerciales y económicas. Esto toma relevancia cuando hablamos de temas laborales, seguridad de la información y protección de datos personales, ya que las empresas no se encontraban preparadas para migrar sus actividades a las nuevas modalidades de Home Office (trabajo desde casa) y no habían visualizado a corto o mediano plazo a transformación que debían adoptar para la oferta de sus productos o servicios a través de las nuevas tecnologías; esto invariablemente incluyó la adopción abrupta de nuevas modalidades de trabajo con sus colaboradores, debiendo adecuar la manera y lugar en donde se desarrollarían sus actividades, exponiendo de manera significativa el origen, destino, alcances y posibles respaldos no autorizados que se pudiera generar de la información alojada en los equipos de cómputo que los trabajadores se llevaron a casa, corriendo y aceptando el riesgo de manera paralela de perder de manera parcial o total la confidencialidad y seguridad de documentos de la compañía. En algunos casos las empresas tuvieron que recurrir a solicitar a sus trabajadores que hicieran uso de sus equipos personales, en los que seguramente se descargaron aplicaciones y software especializado a cargo de la empresa, accediendo a cuentas institucionales y posiblemente enviaron estados financieros, bases de datos, documentos internos, cotizaciones, contactos e información de trabajadores, clientes o proveedores, inclusive estas acciones han sido realizadas mediante cuentas de correos electrónicos personales, lo cual complica el poder generar una trazabilidad de responsabilidades. Un caso notable que denota la falta de conocimiento de los usuarios para cuidar y proteger su información y la de las empresas en las que colaboran ha sido el tema de la adopción espontánea de plataformas como zoom[1], la cual ha sido usada por las empresas para el control y seguimiento de sus objetivos, incluyendo en ocasiones conversaciones que incluyen temas confidenciales. Esto nos genera algunas reflexiones sobre la manipulación que algún tercero ajeno a la empresa pudiera realizar de esta información de manera mal intencionada o inclusive un colaborador, buscando la obtención de un beneficio propio, estas consideraciones atienden a que existe una alta probabilidad de que alguno de sus colaboradores se vuelva víctima de algún tipo de delito cibernético[2]( aquellos actos ilícitos cometidos a través de las tecnologías de la información y comunicaciones) como puede ser usurpación de la identidad, fraude, descarga de malwere (virus), pishing y pharming (manipulaciones a los usuarios para hacer creer que un sitio web o información es de confianza) ya que dichos actos se comenten constantemente a través del envío de los constantes engaños presentes cotidianamente en aplicaciones web, de mensajería instantánea, correo electrónico o alguna red social. Esto toma importancia cuando observamos que México es parte de los primeros números en la lista mundial en la comisión de ciberdelitos (dado que afecta a uno de cada cuatro mexicanos[3]), lo que, vinculado a un desconocimiento de la norma de los riesgos y las responsabilidades a los que se encuentran diariamente expuestos los particulares y las empresas agravan las consecuencias en las que se podrían verse inmersos con diversas autoridades, sin olvidar la responsabilidad penal de las personas jurídicas en las que se podrían ver involucrados. Estos hechos pueden ser previsibles por las empresas, si tomaran la conciencia, y compromiso necesario para implementar adecuados sistemas de gestión y control interno que identifiquen los riesgos legales que se encuentran intrínsecos en sus operaciones (Compliance), siendo de gran importancia y utilidad en estos temas la inclusión de políticas y una normativa interna, como pueden ser los códigos de ética, políticas de teletrabajo, la formalización de convenios de confidencialidad, cartas de resguardo de equipo, identificación y uso de aplicaciones que garanticen la seguridad la información, protocolos para el uso, acceso y resguardo de información, entre otros. Es importante destacar que dichos documentos deber ser realizados y apegados a los resultados de un análisis de riesgo previo, en el cual se deberán tener identificados los diversos tipos de estos, tomando en cuenta la probabilidad de que un hecho suceda por el impacto que puede generar a la empresa, el cual puede ser de naturaleza operacional, económico o inclusive reputacional, atendiendo las características y actividades comerciales que cada empresa realice y que puedan generar consecuencias legales en el ejercicio de un derecho o en el cumplimiento de diversas obligaciones incluyendo las estipuladas en la ley. |
María Ernestina Cardos Peña
| Licenciada y Maestra en Derecho por la Universidad Nacional Autónoma de México (UNAM), con Diplomado en Derecho Corporativo por el Instituto Tecnológico Autónomo de México (ITAM), es Legal Partner del despacho Tavares & Tavares Law Firm y coordinadora del área corporativa de la firma. |
Fuentes.
[1] Cruz, Ariadna, Millones de cuentas zoom se venden en la red, 14 de abril 2020, Visto el 07 de mayo de 2020. Artículo disponible en https://www.eluniversal.com.mx/techbit/millones-de-cuentas-de-zoom-se-venden-en-la-dark-web
[2] Requielme Rodrigo, Un ciberdelito es un delito es un ciberdelito, 25 de abril 2018, El economista, Visto 07 de Mayo de 2020 https://www.eleconomista.com.mx/gestion/Un-ciberdelito-es-un-delito-es-un-ciberdelito-20180425-0060.html
[3] Forbes Staff, 5 de Mayo de 2019, Revista Forbes, Visto 7 de Mayo 2020 https://www.forbes.com.mx/cibercrimen-afecta-a-uno-de-cada-cuatro-mexicanos-segun-aseguradoras/
