Cuando reviso el marco de riesgos de una organización, hay una pregunta que casi nadie tiene contestada de entrada: ¿sabes cuáles de las conductas que hoy gestionas como “mala práctica interna” son, además, delitos tipificados? La Ley 26.388 trazó esa línea hace más de quince años. Y sin embargo sigue viviendo, en la mayoría de los marcos de gobierno, como un asunto que se delega al área legal y no como lo que también es: un insumo directo para el diseño de controles.
Trabajo en gobierno, riesgo y cumplimiento, no en derecho penal. Por eso no me interesa repasar la ley artículo por artículo, sino mirarla desde el lugar donde se vuelve relevante para quien gestiona una organización: el momento en que una conducta deja de ser una falta a la política interna y pasa a ser un hecho que el Código Penal contempla. Desde el marco hacia la operación, entonces: qué reformó la 26.388, qué controles de tu programa quedan tensionados cuando esas conductas se cruzan, y qué tiene que tener previsto tu gobierno de riesgos para no improvisar el día que ocurra.
¿Qué regula la Ley 26.388 y por qué le importa a tu marco de gobierno?
La Ley 26.388, sancionada en 2008, no es una ley aislada: reformó el Código Penal argentino para incorporar los llamados delitos informáticos. En lugar de crear un estatuto separado, equiparó conductas del mundo digital a figuras penales y agregó otras nuevas. Entre las principales: el acceso ilegítimo a un sistema o dato informático (artículo 153 bis), la violación de comunicaciones electrónicas como el correo (artículos 153 y 155), el fraude informático mediante manipulación de sistemas (artículo 173, inciso 16), el daño informático, que abarca alterar o destruir datos y distribuir programas dañinos (artículos 183 y 184), y la distribución de material de abuso sexual infantil por medios electrónicos (artículo 128).
Para un responsable de seguridad o de cumplimiento, lo que importa no es tanto la pena como el hecho de que la ley le puso nombre penal a un conjunto de conductas que tu programa ya conoce con otro vocabulario. Lo que llamas “compartir credenciales”, “acceso indebido”, “manipulación de un sistema” o “introducción de malware” tiene, desde 2008, una segunda lectura. Esa doble naturaleza, falta interna y delito, es exactamente lo que obliga a sentar la 26.388 en la mesa del gobierno de riesgos y no solo en el escritorio del abogado.
Conviene una aclaración de criterio antes de avanzar: el encuadre penal de un hecho concreto es trabajo de especialistas en derecho. Mi terreno, y el de cualquier responsable de GRC, es otro. Es asegurar que la organización tenga los controles, las políticas y los registros que correspondan para que esa conducta sea menos probable, quede documentada cuando ocurre y pueda gestionarse sin que la empresa quede expuesta por improvisar.
De la política de uso aceptable al riesgo penalizado: ¿qué controles quedan tensionados?
La utilidad práctica de la 26.388 para el gobierno de riesgos aparece cuando se la lee al revés. En vez de preguntar “qué castiga la ley”, conviene preguntar “qué control mío atiende cada una de estas conductas”. Ahí la norma deja de ser un texto legal y se vuelve un mapa de exposición.
El cruce es directo. Cada conducta que la ley contempla tiene, del lado de la organización, un control que la previene o la detecta, y una pieza de concienciación que la sostiene. Cuando ese control falla o no existe, el hueco que se abre no es solo operativo; puede tener consecuencias penales para personas concretas y reputacionales para la organización.
| Conducta que contempla la Ley 26.388 | Riesgo organizacional típico | Control y concienciación que lo atiende |
|---|---|---|
| Acceso ilegítimo a sistemas o datos (art. 153 bis) | Credenciales compartidas, accesos no revocados tras una baja, escalamiento de privilegios | Gestión de accesos, revisión periódica de permisos, política de uso aceptable y concienciación sobre no compartir credenciales |
| Fraude informático (art. 173, inc. 16) | Manipulación de sistemas para defraudar, fraude del CEO, alteración de registros | Segregación de funciones, doble validación de operaciones sensibles, concienciación sobre ingeniería social y solicitudes urgentes |
| Daño informático y programas dañinos (arts. 183 y 184) | Introducción de malware, borrado o alteración de datos, sabotaje | Gestión de cambios, copias de respaldo, control de software, concienciación sobre adjuntos y ejecutables |
| Violación de comunicaciones electrónicas (arts. 153 y 155) | Interceptación o divulgación indebida de correos y mensajes | Clasificación de la información, política de confidencialidad, control de reenvíos, concienciación sobre manejo de datos de terceros |
La tabla no agota la ley, pero ordena la conversación. Lo que muestra es que la 26.388 casi nunca exige un control nuevo: exige que los que ya tienes funcionen y, sobre todo, que puedas demostrar que existían y se comunicaron. La Ley 25.326 de protección de datos impone esa lógica de evidencia de manera explícita; la 26.388 la impone de manera indirecta, a través del riesgo de que una conducta de tu organización termine analizada bajo el Código Penal.
¿Qué tiene que tener documentado tu organización?
Si una conducta puede leerse en clave penal, la pregunta de gobierno es siempre la misma: ¿qué tenía la organización para prevenirla y qué puede mostrar de eso? Tres bloques de documentación resuelven la mayor parte de los casos.
El primero es la política de uso aceptable, vigente, comunicada y aceptada de forma verificable. No alcanza con que exista en una carpeta. Tiene que decir con claridad qué está permitido y qué no respecto del acceso a sistemas, el uso de credenciales, el manejo de información de terceros y la instalación de software. Y tiene que poder probar que cada colaborador la conoció y la aceptó, contra qué versión y en qué fecha.
El segundo es la evidencia de concienciación. Que la gente sepa que ciertas acciones, además de violar la política interna, son conductas que la ley contempla como delito cambia el cálculo de quien podría cometerlas y protege a quien podría incurrir en ellas por desconocimiento. Ese conocimiento, para ser un control de verdad, tiene que estar registrado: quién se capacitó, sobre qué contenido, cuándo y con qué resultado. El riesgo humano sigue siendo el factor que más incidentes origina, y la concienciación es el control que actúa antes de que la conducta ocurra.
El tercero es el registro técnico de los controles de acceso y de cambios: logs de acceso, gestión de privilegios, trazabilidad de modificaciones. Este bloque suele ser el más sólido en las organizaciones maduras y el más débil en las que crecieron rápido sin formalizar su gobierno.
Plataformas como SMARTFENSE resuelven el segundo bloque por diseño: cada aceptación de política, cada finalización de un módulo y cada aprobación de una evaluación queda registrada con fecha, autenticación del usuario y versión del contenido. Para un responsable de cumplimiento, eso convierte la concienciación de una buena intención en un control que se puede auditar. En la sección de recursos de cumplimiento hay material adicional sobre cómo articular el marco legal con el programa de concienciación.
¿Cuándo denunciar es una decisión de gobierno, y no solo legal?
Acá conviene ser precisa sobre el límite de mi rol. La decisión jurídica de iniciar una acción penal, cómo formularla y con qué encuadre, corresponde al área legal y a los especialistas que la organización designe. Lo que sí es una decisión de gobierno, y por lo tanto debe estar prevista antes del incidente, es el criterio y el proceso que llevan a esa instancia.
Una organización sin ese criterio definido improvisa en el peor momento. Frente a un acceso ilegítimo o un fraude interno, las preguntas se acumulan: ¿quién decide si esto escala al plano penal?, ¿con qué umbral?, ¿quién preserva la información mientras se decide?, ¿a qué área se notifica primero? Si esas respuestas se construyen sobre la marcha, la organización pierde tiempo, pierde trazabilidad y muchas veces pierde la posibilidad de actuar.
El gobierno de riesgos no resuelve el caso penal. Define quién decide, bajo qué criterios y con qué información disponible. Eso se documenta en un procedimiento de gestión de incidentes que contemple, además de la respuesta técnica, la ruta de decisión cuando un hecho podría tener implicancia penal. El “cómo” jurídico queda en manos de quien corresponde; el “cuándo se activa y quién lo activa” es responsabilidad de gobierno.
El límite entre lo disciplinario y lo penal
Buena parte de los hechos que la 26.388 contempla nacen puertas adentro. Un colaborador que accede a un sistema para el que no tiene autorización, que reenvía información confidencial o que manipula un registro está, al mismo tiempo, incumpliendo la política interna y realizando una conducta que la ley penal contempla. Distinguir esos dos planos es una de las tareas más delicadas del gobierno de riesgos.
El plano disciplinario lo resuelve la organización con sus propias herramientas: la política, el reglamento interno, las consecuencias previstas para cada incumplimiento. El plano penal excede a la organización y se rige por la ley y por la actividad de quienes la aplican. Confundirlos genera dos errores opuestos y los dos costosos. Tratar como simple falta interna algo que la ley contempla como delito puede dejar a la organización expuesta. Tratar como caso penal cada incumplimiento menor desgasta el clima de trabajo y satura al área legal con hechos que se resolvían con un control mejor diseñado.
La salida está en el criterio previo, no en lo jurídico. Una matriz que clasifique los tipos de incidente según su gravedad y defina, para cada nivel, qué respuesta corresponde y quién la decide, evita esa confusión. Funciona como instrumento de gobierno más que como documento legal, y le da a la organización un lenguaje común para decidir con cabeza fría lo que, en caliente, casi siempre se decide mal.
Continuidad de negocio tras un incidente con implicancia penal
Un incidente que cruza al plano penal no termina cuando se contiene técnicamente. Empieza, en realidad, una etapa que muchas organizaciones no tienen mapeada: la convivencia entre seguir operando y sostener un proceso que puede extenderse en el tiempo. Preservar información sin frenar la operación, comunicar a las partes adecuadas sin alimentar el ruido, y mantener el servicio mientras se gestiona el caso son desafíos de continuidad, no de respuesta a incidentes.
Por eso insisto, cada vez que reviso un marco, en que la 26.388 no se gestiona el día del hecho. Se gestiona antes, en el diseño de los controles, en la claridad de las políticas, en la trazabilidad de la concienciación y en un procedimiento que contemple la posibilidad de que un incidente escale. Una organización que llega preparada a ese momento no solo reduce su exposición: protege su capacidad de seguir funcionando, que es, en el fondo, de lo que se trata el gobierno de riesgos.
La articulación entre marco legal y cultura de seguridad no es exclusiva de Argentina. La ley marco de ciberseguridad en Chile y el debate regulatorio en toda la región empujan en la misma dirección: tratar la concienciación como un control formal y no como una actividad de relleno. El cumplimiento normativo entendido como compromiso sostenido es la mejor descripción de hacia dónde va la exigencia.
¿Qué conviene llevarse de la Ley 26.388 para el gobierno de riesgos?
La Ley 26.388 lleva más de quince años vigente, y su mayor utilidad para una organización está en que ofrece un mapa de las conductas que el marco de gobierno tiene que atender con controles concretos, políticas claras y evidencia de que ambos existen, mucho más que en el temor a la pena.
La pregunta que vale la pena llevarse no es si tu organización podría sufrir un delito informático, porque la respuesta es que sí. Es si tu gobierno de riesgos tiene previsto qué controles lo previenen, quién decide cuando un hecho escala y qué puede demostrar la organización el día que tenga que responder. Si esas respuestas hoy se construyen sobre la marcha, ese es el trabajo a hacer. Y se hace para sostener la confianza de clientes, reguladores y dirección, que es la condición de fondo de la continuidad del negocio, mucho más que para esquivar una sanción.
Deja un comentario