Responsabilidad civil de las empresas por la ocurrencia de amenazas digitales o ciberriesgos y su aseguramiento. VII. Aseguramiento de la responsabilidad civil por la ocurrencia de amenazas digitales. Funciones del seguro de responsabilidad. VIII. Aspectos generales del aseguramiento de amenazas digitales. Conclusiones. Bibliografía.
INTRODUCCIÓN
En la primera parte de este capítulo se estudian las amenazas digitales que normalmente se presentan en el ciberespacio, así como aquellas que se pueden materializar en las instalaciones físicas de las organizaciones empresariales. Estas amenazas digitales representan grandes desafíos para las organizaciones que manejan y administran datos personales de sus usuarios, sus clientes y los consumidores de sus bienes y servicios; posteriormente se presenta el régimen actual de tratamiento de datos personales y de información de carácter comercial, financiera y crediticia, los sujetos que intervienen en ella y las obligaciones que la ley ha impuesto para llevar a cabo un adecuado tratamiento de los datos. Finalmente se expone el principio de responsabilidad demostrada, así como las medidas de prevención, detección y evaluación de las amenazas digitales que deben ser adoptadas por las organizaciones, en aras de exculpar su responsabilidad de carácter administrativo ante las autoridades de protección de datos personales.
En la segunda parte se aborda el régimen de responsabilidad civil aplicable a las empresas en relación con las transacciones que realizan en el ciberespacio y, en especial, con el tratamiento de datos personales. Igualmente, se explica la importancia de que las empresas que realicen operaciones cibernéticas contemplen como parte de su gobierno corporativo políticas y procedimientos para la detección, prevención y gestión de los riesgos asociados a amenazas digitales. Estas reglas juegan un papel fundamental en el funcionamiento de la empresa, y por supuesto en la prevención de posibles hechos dañosos derivados de la responsabilidad civil por el indebido tratamiento de datos personales. Para finalizar, se exponen los principales elementos del seguro de responsabilidad civil extracontractual, cuyos amparos protegen al empresario frente a la indemnización de terceros por la vulneración del régimen de protección de datos.
Desde ya manifestamos que bajo los postulados del régimen de responsabilidad civil extracontractual no hay duda de que las empresas tienen la obligación de reparar los perjuicios causados a terceros por la vulneración del régimen legal de tratamiento de datos. De esa forma, el seguro juega un papel fundamental en la protección del patrimonio del empresario frente a la materialización de las amenazas digitales.
I. LAS AMENAZAS DIGITALES Y LOS RIESGOS QUE IMPLICAN PARA UNA ORGANIZACIÓN EMPRESARIAL EN EL MARCO DEL TRATAMIENTO DE DATOS PERSONALES, COMERCIALES Y FINANCIEROS
Con la utilización masiva de la tecnología la sociedad actual ha venido adaptándose al funcionamiento de un nuevo orden económico y social. El uso de las Tecnologías de la Información y Comunicación (TIC) ha instaurado un nuevo paradigma relacional entre las interacciones personales y sociales1. Esta nueva realidad no solo ha impactado el relacionamiento entre las personas físicas, sino que se ha convertido en pieza esencial y fundamental para el debido funcionamiento de las organizaciones empresariales. De esa forma ha surgido un nuevo espacio de interacción en el que participan organizaciones empresariales y usuarios. Este espacio, en el que se produce un intercambio de información que en muchos casos resulta ser privada y confidencial de los usuarios, ha sido denominado por la doctrina y por distintas autoridades ciberespacio.
El ciberespacio ha sido concebido como un entorno donde interactúan personas, softwares y servicios en Internet mediante el uso de dispositivos tecnológicos que se encuentran enlazados a una red común2. Este ciberespacio se caracteriza por no presentarse en una forma física concreta, sino que se entiende como un ambiente donde los intervinientes intercambian información en busca de la satisfacción de sus necesidades, y en muchas ocasiones para la prestación de servicios. Así las cosas, el ciberespacio se instituye en un ambiente en el que se intercambia información de carácter personal, comercial y financiera, y en el cual se debe brindar seguridad con el fin de dotar de confianza a los usuarios. De esa forma, para el caso colombiano, la regulación decidió situar en cabeza de las organizaciones empresariales la responsabilidad de brindar seguridad y protección a sus clientes, usuarios y consumidores en las operaciones que se puedan realizar en el ciberespacio. Esa obligación de garantía de seguridad se materializa mediante la exigencia de que las organizaciones empresariales adopten medidas físicas y administrativas ante la ocurrencia de lo que hemos denominado amenazas digitales.
Las amenazas digitales se entienden como toda acción, omisión o elemento que tiene la potencialidad de afectar la seguridad de la información, tanto en los espacios físicos y operativos de las organizaciones empresariales, como en el ciberespacio. Este concepto de amenazas digitales engloba los distintos medios que afectan directamente la seguridad de la información de una organización empresarial, por lo cual el ordenamiento colombiano ha agrupado los eventos correspondientes en ataques cibernéticos, eventos de ciberseguridad, incidentes de ciberseguridad e incidentes de seguridad3. Estas amenazas digitales pueden representar distintos riesgos para las organizaciones, y de acuerdo con su gravedad se han clasificado técnicamente en amenazas terciarias, secundarias y primarias.
Las amenazas terciarias normalmente se categorizan a su vez en ataques (referidos a un actuar determinado de un agente específico con capacidad y determinación para hacerlo), accidentes (relacionados con fallas físicas o lógicas del hardware por defecto o uso prologado) y errores (referidos a los posibles defectos de configuración, programación o respuesta del software); las amenazas secundarias disminuyen o eliminan el grado de éxito de las medidas que adopta la organización empresarial para mitigar las amenazas primarias, por ejemplo, la eliminación de la efectividad de firewalls, y las amenazas primarias evitan que se mantengan o se lleguen a establecer las medidas que mitigan las amenazas terciarias o secundarias. Al final estas amenazas digitales pueden consistir en ataques al sistema de seguridad, espionaje, sabotaje, fraudes, inserción de códigos maliciosos, y/o comprometer los medios de autenticación de los usuarios, entre otros.
En muchos casos las amenazas digitales no solo están dirigidas a afectar el funcionamiento de una organización empresarial, sino que pueden consistir en un ataque dirigido a la obtención de información de carácter personal de sus usuarios y clientes, ya sea un dato personal, o información comercial y financiera. Cuando la amenaza digital afecta específicamente los datos personales de sus usuarios, puede derivar en una responsabilidad de carácter administrativo y civil para la organización empresarial. Sin embargo, la adopción de un sistema adecuado de gestión de seguridad de los datos personales puede conllevar la exoneración de la compañía de la responsabilidad civil o administrativa. De esa forma, es necesario analizar el régimen de tratamiento de datos personales y de información comercial y financiera, y las medidas que pueden conllevar la exoneración de responsabilidad de la organización empresarial4.
II. RÉGIMEN DE TRATAMIENTO DE DATOS PERSONALES, COMERCIALES Y FINANCIEROS
La Ley 1266 de 2008 (conocida comúnmente como Ley de habeas data financiero) y la Ley 1581 de 2012 (conocida comúnmente como Ley de protección de datos personales) se han encargado de delimitar los conceptos base en materia de tratamiento y administración de datos personales, y aunque ambas regulaciones establecen una definición común para el concepto de dato personal como “Cualquier información vinculada o que pueda asociarse a una o varias personas determinadas o determinables”, presentan un matiz diferenciador: la Ley 1266 de 2008 construye el dato personal como un derecho personal5 cuya titularidad corresponde tanto a las personas naturales como a las jurídicas, es decir, el derecho al habeas data financiero; y en un sentido más limitado, la Ley 1581 de 2012 reconoce la existencia de este derecho personal exclusivamente a la persona
