Agustín Allende Larreta
Comisión de Data Privacy & Ética Digital
Recientemente la SEC (Securities Exchange Commission o Comisión de Bolsas y Valores), regulador de la bolsa de valores de EEUU, dictó las reglas definitivas por las cuales se les exige a las empresas emisoras bajo jurisdicción de la SEC a revelar incidentes materiales de ciberseguridad así como a aportar aquella información relevante respecto a la gestión del riesgo de ciberseguridad y estrategia y gobernanza corporativa respecto a estas cuestiones. 1
Esta obligación también alcanza a las emisoras extranjeras, entre las cuales hay muchas empresas de la región así como de nuestro país, que pasan a estar obligados a realizar declaraciones ante la SEC de similar tenor a las emisoras domésticas.
Las emisoras extranjeras deben realizar reportes anuales ante la SEC conocido como el Formulario 20-F (reporte similar al que presentan emisoras americanas bajo el Formulario 10-K) donde se suele acompañar reporte anual o reporte de transición a los cuatro meses de finalizado el año fiscal.
Por su parte existe otra obligación de informar a la SEC aquellos eventos imprevistos materialmente trascendentes, como puede ser un pedido de quiebra, cambios en la cúpula directiva de una empresa, etc. Estas cuestiones son informadas por las emisoras extranjeras a través del formulario 6-K, mientras que las emisoras domésticas a través del formulario 8-K.
Efectuada esta aclaración inicial sobre las obligaciones generales de reporte ante la SEC cabe precisar el nuevo alcance de las obligaciones para las empresas emisoras extranjeras bajo las recientes reglas definitivas de ciberseguridad de la SEC.
Formulario 20-F: Exige a las emisoras extranjeras que brinden declaraciones respecto a la ciberseguridad en sus reportes anuales y que resultan ser el mismo tipos de declaraciones exigidas, por el item 106 de la Regulación S-K ,a las emisoras domésticas.
Formulario 6-K: Se modificó de forma tal que exige a las emisoras extranjeras de titulos valores bajo la SEC la presentación de información respecto a incidentes materiales de ciberseguridad padecidos y que se hayan vuelto públicos o se requiera que se hagan públicos en jurisdicción extranjera a la respectiva autoridad regulatoria del mercado financiero o a los titulares de títulos valores. En dicho reporte ante la SEC, que se deberá presentar prontamente luego que el material informado en el reporte se haya vuelto público, debiendo incluirse los aspectos materiales de la naturaleza del incidente, alcance, tiempo de ocurrencia, así como impacto material sobre la empresa en cuestión.
En tanto que el formulario 8-K, exigible a las emisoras americanas, debe ser presentado dentro de los 4 días de haberse considerado que el incidente es material, y no desde el momento que se toma conocimiento de la ocurrencia del incidente como se computa el inicio del plazo en la mayoría de las regulaciones. Sin embargo la decisión respecto a la materialidad del incidente debe ser tomada sin dilaciones irrazonables.
Asimismo deberán realizarse presentaciones adicionales periódicas para mantengan actualizado el estado de situación respecto al incidente informado. Corresponde advertir que las reglas definitivas no brindan pautas respecto al criterio de definición de la materialidad de un incidente de ciberseguridad.
La definición brindada por la SEC de incidente de ciberseguridad resulta ser bastante amplia. 2
Las referidas exigencias comenzarán a partir del 18 diciembre del corriente año en lo que concierne a informar incidentes materiales de cibereseguridad a través del formulario 6-K, en tanto que las obligaciones de brindar declaraciones bajo el formulario 20-F comenzarán con los reportes anuales correspondientes a años fiscales terminados a partir del 15 de diciembre de 2023 o sea a partir de las presentaciones de esos reportes en 2024.
En virtud de las nuevas obligaciones de reporte dispuestas aquellas emisoras extranjeras sujetas a la jurisdicción de la SEC deberán antes del próximo diciembre o a lo sumo a fines del primer trimestre del 2024:
Independientemente del cumplimiento de las nuevas obligaciones puntuales de reporte de información sobre la gestión de la ciberseguridad a los inversores por parte de las empresas emisoras de titulos valores se vislumbra una tendencia de intensificar y aplicar en forma concreta a la ciberseguridad los criterios aplicables de responsabilidad proactiva y de gestión de riesgos que guían a las regulaciones de nueva generación aplicable a la protección de datos personales, con el Reglamento General de Protección de Datos de la Unión Europea como estándarte, en un área puntual como la ciberseguridad declarada por unanimidad como uno de los sectores que mayores amenazas presenta en el escenario mundial. 3
Las grandes empresas, varias de las cuales cotizan en bolsas extranjeras, deberán encabezar el proceso de designar dentro de los órganos de dirección miembros con experiencia en ciberseguridad o en su defecto constituir comités específicos con miembros especializados en la materia para supervisar la ciberseguridad y adecuar las políticas internas consistentemente. Aún cuando la norma reciente de la SEC no lo exige puntualmente, se espera que las emisoras cada vez más especifiquen en sus reportes sobre las habilidades y conocimientos de los decisores finales en temas de ciberseguridad. Esto nos lleva a reafirmar que la ciberseguridad ha dejado de ser una cuestión del departamento de sistemas, IT o informático de la organización para pasar a convertirse en una cuestión estratégica para toda la organización, por lo tanto debiendo identificarse dentro de las políticas y programas de las empresas quién es
especificamente responsable de monitorear los riesgos ante amenazas de ciberseguridad, cómo se identifican dichos riesgos puntuales y cómo se descubren, mitigan e identifican los incidentes de ciberseguridad.
Esta ratificación del principio de la gestión del riesgo de la ciberseguridad confirma la necesidad de contar con programas de gestión
específicos e idóneos para supervisar este riesgo puntual, en continua y rápida evolución, y el cual resulta imposible eliminarlo en su totalidad. Dichos programas han dejado de ser el cumplimiento de una formalidad para pasar a convertirse en remedios eficientes en la mitigación de los riesgos de ciberseguridad, y que indefectiblemente deben incluir un inventario de información y sistemas de la organización, realización de evaluaciones de riesgos y pruebas de penetración, implementación de medidas de ciberseguridad razonables a los expuestos y riesgos puntuales de la empresa y de la industria en la que interactúa, protecciones contractuales respecto a terceros que conforman el riesgo de proveedores estratégicos, opciones de pólizas de ciberseguros, programas de
capacitación y simulacros para la totalidad de los empleados.
Esta incipiente tendencia de las regulaciones de requerir a las organizaciones que describan los roles de supervisión de los directores y de la gerencias así como su grado de conocimiento y experiencia en la gestión de riesgos de ciberseguridad llamará a reflexión a aquellos que tomen decisiones respecto a los procesos de ciberseguridad y sus incidentes en virtud de las contigencias que se puedan derivar.
Los riesgos asociados a la ciberseguridad han alcanzado tal magnitud que cada vez más merece la atención de la alta gerencia y el
Directorio. Pese a no resultar una novedad la trascendencia que reviste la gestión de este riesgo, el liderazgo de las organizaciones aún permanece incauto respecto a cómo ocuparse de estas cuestiones. Con el compliance solo no alcanza, ya que con el transcurso del tiempo las expectativas regulatorias y legales respecto a la gobernanza corporativa y organizacional del riesgo de ciberseguridad se han ido extendiendo en un número creciente de jurisdicciones siguiendo las mejores prácticas y convirtiéndose en una realidad cada vez más difícil de evadir.
La rápida evolución de los riesgos de ciberseguridad, tecnologías, defensas y prácticas supera a los sistema regulatorios más dinámicos, dejando en consecuencia gran discreción para el liderazgo de las organizaciones en lo que hace a la tutela responsable de los sistemas y activos informáticos de la organización.
En la actualidad se consideran mejores prácticas en lo que concierne a la gobernanza organizacional y corporativa, que los directorios y los ejecutivos, al menos, (1) conozcan qué es digitalmente crítico para la operación, integridad, reputación y el compliance de la organización, y (2) aseguren que las políticas y programas estén implementadas y probadas en debida forma para proteger activos críticos de la organización. De lo expuesto se desprende que el Directorio y sus ejecutivos son los responsables de la preparación por la organización de una estrategia comprensiva de ciberseguridad de la información.
En el corriente año también la Unión Europea ha adoptado una nueva directiva sobre seguridad de la información y redes conocida como NIS2, y bajo la cual los países miembros tendrán hasta el 17 de octubre de 2024 para incorporarla a sus respectivos derechos locales. Esta Directiva también ha iniciado el camino seguido por la SEC en cuanto a reforzar y dinamizar la ciberseguridad y las exigencias de reporte a través de la imposición de un criterio de gestión de riesgos que establece un listado mínimo de elementos básicos de seguridad a aplicar, así como un procedimiento de reporte de incidentes, contenido de los respectivos reportes y su cronograma.
Entre las novedades que establece esta Directiva surgen:
i) obligaciones a los órganos de administracion de las entidades alcanzadas de aprobar y supervisar la implementación de medidas para la gestión del riesgo de ciberseguridad;
ii) posibilidad de que las personas que conformen los órganos de administración resulten responsables por incumplimiento de la entidad respecto a las medidas adoptadas a la gestión del riesgo;
iii) la imposición como sanción de prohibiciones temporarias de ejercer funciones de administración para cualquier persona física con
responsabilidad de gestión a nivel de CEO o que sea representante legal;
iv) exigencias para los integrantes de los órganos de administración de tener capacidad constante para obtener suficiente conocimiento y habilidades para identificar riesgos y evaluar prácticas de gestión de riesgos de ciberseguridad y el impacto de los mismos sobre los servicios provistos por la entidad.
Pese al reciente incremento del número de ciberataques sobre infraestructuras críticas, redes financieras, salud y otros sistemas, la presión de los inversores y directores respecto a ESG tiende a focalizarse en aspectos ambientales y de justicia social siendo la ciberseguridad dejada de lado para el trabajo de los reguladores. Las recientes regulaciones en gestión de ciberseguridad a ambos lados del Atlántico deberían empujar a las compañías a considerar a la ciberseguridad como parte de ESG, ya que en la actualidad el riesgo de ciberseguridad es el riesgo de sustentabilidad más inmediato y material desde un punto de vista financiero al que deben
enfrentarse las organizaciones. Aquellas organizaciones que fallen en la implementación de una adecuada gobernanza en ciberseguridad, utilizando métricas y herramientas apropiadas serán menos resilientes y sustentables, por ende generando un impacto sobre las organizaciones con las que interactúan, y finalmente afectando la estabilidad tanto de empresas, comunidades como gobiernos.
Esta Comisión tiene por finalidad identificar, analizar y evaluar estrategias para el diseño e implementación de un programa de cumplimiento, con la particularidad de poner el foco en el ser humano. Los programas de compliance son cada vez más sofisticados y, en teoría, perfectos, pero requieren un cambio corporativo cultural en el que el factor humano es central, pero naturalmente imperfecto. Las neurociencias complementadas por otras disciplinas como la psicología, la genética, la biología, la medicina, el derecho, la antropología y otras, son herramientas que permiten evaluar diferentes opciones a la hora de tender puentes entre un programa de compliance y el ser humano.
Esta Comisión se propone analizar aquellos aspectos de compliance vinculados a los datos personales y la privacidad, así como explorar los problemas morales vinculados a los datos, los algoritmos y las prácticas correspondientes, buscando las mejores soluciones tanto desde el punto de vista organizacional, como desde una perspectiva ética.
Esta Comisión surge con el fin de visibilizar y generar conciencia sobre las múltiples temáticas que refieren a la diversidad. Su objetivo es generar espacios de aprendizaje conjunto, reflexión, intercambio, debate y análisis de estas cuestiones, con foco principal en aspectos concernientes a ética y compliance, así como también promocionar y promover una cultura de respeto por la diversidad dentro de nuestra sociedad.
Esta Comisión se propone como objetivo incentivar y motivar a los concurrentes a una discusión entre pares sobre temas de defensa de la competencia, con foco en compliance y sobre la base de la normativa vigente.
Se propone un espacio para compartir experiencias y conocimiento, generando encuentros con dinámicas y temáticas atractivas, brindando, además, herramientas para la mejor implementación de los principios de competencia en el área de compliance.
Esta Comisión nuclea profesionales vinculados con estas actividades (incluyendo bancos, compañías financieras, bursátiles y aseguradoras), para trabajar en diversas temáticas tales como prevención de lavado de dinero, fintech, cumplimiento regulatorio, gobierno corporativo y toda otra cuestión que pudiera surgir a nivel contextual y tengan efectos o impacto en alguna de las industrias mencionadas.
Esta Comisión tiene por objetivo identificar las áreas de riesgo, analizar el contexto normativo y las tendencias doctrinarias y jurisprudenciales, a efectos de brindar pautas de conducta que permitan a directores, gerentes y oficiales de cumplimiento adoptar acciones para prevenir y/o mitigar las consecuencias penales de su actividad. Además, se analizan y desarrollan temáticas inherentes al ámbito del derecho penal, siempre desde una perspectiva eminentemente práctica y vinculadas con cuestiones de compliance (vg. investigaciones internas, procesos judiciales, validez probatoria en juicio, etc.).
Esta Comisión invita a profesionales de compliance y funcionarios a explorar las alternativas de aplicación de las buenas prácticas de compliance corporativo en el ámbito estatal. La comisión es, a su vez, un espacio de reflexión teórica sobre public compliance y un grupo de estudio sobre las mejores prácticas en la materia, en organismos públicos y empresas estatales. Asimismo, funciona como un ámbito de networking genuino e intercambio de experiencias entre expertos en anticorrupción y compliance, practicantes recién llegados a la disciplina y funcionarios de todos los niveles y poderes del Estado.
Esta Comisión aborda los temas concernientes a compliance en la industria farmacéutica y dispositivos médicos, en un ámbito profesional de confianza que auspicia el debate abierto de problemáticas de interés común.
Esta Comisión propone ser un lugar de encuentro de los profesionales que se desarrollan en prácticas vinculadas con la prevención, detección y respuesta al fraude en las organizaciones. La comisión trabaja activamente para desarrollar y compartir entre pares las mejores prácticas del mercado en materia anti-fraude y anti-corrupción.
Esta Comisión propone una dinámica teórico-práctica, cuyo alcance se vincula con las cuestiones metodológicas que coadyuvan a la implementación de un sistema de gestión, mediante la aplicación de uno o más estándares tales como –por ejemplo- ISO 19600, ISO 31.000, la implementación de una nueva normativa, o el diseño e implementación de planes de acción específicos. La Comisión se focaliza en aspectos de la gestión y en la resolución de los diversos problemas que se presentan en la realidad de las empresas (ya sean públicas o privadas y sin importar la actividad a la cual se dedican).
El Propósito de esta Comisión es permear la perspectiva de Sostenibilidad en la gestión estratégica del Compliance, profundizando la interrelación virtuosa que existe entre ambas disciplinas. Pretende ser un espacio no sólo de difusión y divulgación de temas vinculados a la Sostenibilidad, sino además -y especialmente- un catalizador de iniciativas que la promuevan entre todos los grupos de interés del ecosistema de la AAEC.
Esta Comisión invita a todas a aquellas personas con interés en promover buenas prácticas de Sostenibilidad a ser parte e involucrarse activamente en las distintas acciones que se lleven adelante.
El objetivo de esta comisión consiste en tomar temas de interés o estudio de la AAEC y presentarlos para conversación, discusión y reflexión, desde la perspectiva de distintos marcos conceptuales, integrando los puntos de vista de varias comisiones de estudio. En este sentido, esta comisión propone una actividad con la característica de transversalidad.
La Comisión contribuirá de este modo a generar espacios de actualización, reflexión, o debate sobre diversos temas que son de interés de la AAEC por encontrarse dentro del marco conceptual de su trabajo. Los temas podrán ser cuestiones sobre las que la AAEC desea generar conciencia o cultura ética o temas de actualidad de la agenda del país, de la región o incluso a nivel mundial.