Consejo de administración y ciberriesgos: diligencia y supervisión
José Ramón Morales (socio del departamento Mercantil y de la industria de Tecnología & Outsourcing).
La importancia de los activos digitales en las organizaciones (datos personales, información clave de negocio, secretos industriales, algoritmos, etc.) y la configuración de sistemas corporativos cada vez más conectados a entornos de terceros, han visto en paralelo incrementarse los riesgos corporativos de naturaleza digital que aquellas afrontan. Crecen muy significativamente no solo el número de ciberincidentes, sino la tipología de entidades afectadas y la potencial gravedad tanto para quienes los sufren directamente como para quienes indirectamente ven comprometidos sus sistemas o activos a resultas del ataque sufrido por otros (clientes, proveedores, partners comerciales).
La gestión de los ciberriesgos se convierte, en este contexto, en una fuente de preocupación relevante dentro de la agenda de los primeros ejecutivos y los consejos de las organizaciones. Más allá del daño intrínseco por la pérdida de datos o informaciones corporativas valiosas, un ciberincidente expone a la organización a implicaciones en materia de cumplimiento normativo o contractual, reclamaciones de terceros, afectación de la cotización bursátil o daño reputacional. Puede también constituir motivo desencadenante de la dimisión de ejecutivos o directivos –como hemos visto en algunos casos recientes– y, en determinadas circunstancias, una fuente de responsabilidad de los propios consejeros.
Conviene poner en contexto estos riesgos desde el punto de vista de los deberes de diligencia y supervisión de los administradores de las sociedades de capital. En derecho español, el deber de diligencia del administrador (se le exige el estándar del “ordenado empresario”, art. 225 de la Ley de Sociedades de Capital, LSC) se ha visto clarificado en las últimas reformas de 2014 con menciones explícitas al deber de cada administrador de tener la “dedicación adecuada”, de “adoptar las medidas precisas para la buena dirección y el control de la sociedad”; así como al “deber de exigir” y el “derecho de recabar de la sociedad” la información adecuada y necesaria que le sirva para el cumplimiento de sus obligaciones.
Adicionalmente, se ha consagrado por vía legal el principio de protección de la discrecionalidad empresarial (art. 226 LSC, que en el entorno anglosajón se conoce por “business judgement rule”). Este principio deja un espacio franco para la discrecionalidad empresarial en la toma de decisiones estratégicas y de negocio, al reconocer que se presume el cumplimiento del estándar de diligencia del ordenado empresario siempre que, además de haber actuado de buena fe y sin interés personal en el asunto objeto de decisión, el administrador haya actuado “con información suficiente” y “con arreglo a un procedimiento de decisión adecuado”.
Y como pieza importante para clarificar el alcance de los deberes de supervisión del consejo, en el ámbito de las sociedades cotizadas se recoge el carácter indelegable de las competencias relativas a la determinación de la política de control y gestión de riesgos, y la supervisión de los sistemas internos de información y control (apartado 1 del art. 529ter de la LSC).
Aunque tendremos que ver cómo los tribunales evalúan estos deberes de diligencia y supervisión en relación con la gestión de los ciber-riesgos, puede ser útil conocer el contenido de iniciativas surgidas en otras jurisdicciones que proponen buenas prácticas para la gestión de ciberriesgos por parte del órgano de administración. Entre ellas parece relevante mencionar el manual “Cyber-risk Oversight” publicado en 2017 por la NACD-National Association of Corporate Directors, que señala cinco grandes principios que los consejos deberían considerar para mejorar su rol de supervisión en este ámbito:
- Los consejeros necesitan entender y aproximarse a la ciberseguridad como una cuestión de gestión de riesgos del conjunto de la organización, y no simplemente como una cuestión relativa a las tecnologías de la información.
- Los consejeros deberían entender las implicaciones legales de los ciberriesgos en la medida en que están conectadas con las especiales circunstancias de la compañía.
- Los consejos deberían disponer de acceso adecuado a expertise en ciberseguridad, y en las agendas de las reuniones del consejo debería dedicarse tiempo adecuado y de forma regular a las discusiones acerca de la gestión de ciberriesgos.
- Los consejeros deberían establecer la expectativa de que la dirección creará un marco de gestión de ciberriesgos del conjunto de la organización con adecuada dotación de medios personales y presupuesto.
- Las discusiones entre el consejo y la dirección acerca de los ciberriesgos deberían incluir la identificación de qué riesgos deben evitarse, cuáles aceptar y cuáles mitigar o transferir a través de coberturas aseguradoras, así como planes específicos asociados con cada aproximación.
Estas líneas generales son objeto de desarrollo a lo largo del documento de la NACD, pero su mera enumeración permite anticipar cómo, aunque en un entorno normativo distinto, se están fraguando prácticas corporativas para determinar el rol y grado de involucración que el órgano de administración y sus miembros deberían asumir en la gestión de los ciberriesgos.