Como se puede observar, el sector financiero ha tomado medidas importantes para asegurar que sus entidades adopten medidas para prevenir los ciberataques, y apliquen políticas robustas frente a ese asunto. En conclusión, el gobierno corporativo de las empresas juega un papel primordial en la adopción temprana de políticas y procedimientos para la gestión de riesgos cibernéticos con el fin de minimizar los efectos nocivos de los posibles perjuicios que se puedan causar a terceros por amenazas digitales.
A continuación se presenta, en términos generales, el régimen de responsabilidad civil extracontractual de las empresas por la ocurrencia de amenazas digitales, en especial aquellas relacionadas con el tratamiento de datos personales. Posteriormente se explican los elementos del seguro de responsabilidad civil como instrumento clave en la protección del patrimonio de la empresa frente a la materialización de amenazas digitales.
VII. ASEGURAMIENTO DE LA RESPONSABILIDAD CIVIL POR LA OCURRENCIA DE AMENAZAS DIGITALES. FUNCIONES DEL SEGURO DE RESPONSABILIDAD
De manera preliminar es importante aclarar que la intención de este acápite no es abordar ampliamente el régimen general de responsabilidad civil puesto que existen infinidad de tratados sobre la materia y, además, porque desborda el objeto de esta investigación.
Con base en el artículo 2341 del Código Civil colombiano, todo aquel que cometa un delito o culpa, y que provoque un daño a otro está obligado a indemnizarlo. Este principio fundamental rige la responsabilidad civil de las empresas, ya sea bajo el título de imputación objetiva o subjetiva. Por defecto, el daño proveniente de actividades peligrosas no será abordado en el estudio del seguro de responsabilidad civil, teniendo en cuenta que la definición del riesgo asegurado relacionado con las amenazas digitales no se cataloga como una actividad peligrosa y, por tanto, no se rige por las reglas propias de un régimen objetivo de responsabilidad. En relación con el régimen de imputación subjetiva, que comprende el dolo y culpa, se anticipa que, conforme al artículo 1055 del Código de Comercio62, el dolo no es un riesgo asegurable por lo que aquí únicamente se tratará el régimen subjetivo de responsabilidad civil basado en la culpa.
Como institución jurídica, la responsabilidad civil proporciona un escenario de incertidumbre tanto para el responsable del daño como para la víctima, por cuanto el resarcimiento depende primordialmente de la capacidad económica personal del agente generador. Por ello, y sin dejar de reconocer la importancia de la responsabilidad civil en la protección de las víctimas de la ocurrencia de un daño, ya sea contractual o extracontractual, como instrumento financiero el seguro cumple un rol fundamental en coadyuvar a la eficacia de las normas que regulan la responsabilidad civil63.
En especial, se trata del seguro de responsabilidad civil, el cual:
… impone a cargo del asegurador la obligación de indemnizar los perjuicios patrimoniales que cause el asegurado con motivo de determinada responsabilidad en que incurra de acuerdo con la ley y tiene como propósito el resarcimiento de la víctima, la cual, en tal virtud, se constituye en el beneficiario de la indemnización, sin perjuicio de las prestaciones que se le reconozcan al asegurado. Son asegurables la responsabilidad contractual y la extracontractual, al igual que la culpa grave, con la restricción indicada en el artículo 1055[64].
Y cuya finalidad está marcada no solo por la protección del patrimonio del responsable del daño, sino también por la protección de la víctima. Incluso la doctrina ha llegado a reconocer que prima la finalidad de protección a la víctima:
… es un hecho cumplido que la protección de la víctima se ha convertido en la razón de ser del seguro de responsabilidad civil en Colombia, puesto que por diáfana referencia legislativa (C. de Co., art. 11227), este negocio jurídico asegurativo tiene “como propósito el resarcimiento de la víctima”65.
Sin duda, la función del seguro es fundamental en la gestión de los riesgos relacionados con amenazas digitales. Algunos doctrinantes han resaltado que la función reparadora del seguro le ha permitido al ser humano enfrentar riesgos de diversa índole que gravitan sobre su patrimonio, como ocurre con la necesidad emergente de las nuevas tecnologías que han llevado al asegurador a crear productos de seguros que asumen riesgos tecnológicos66.
En efecto, la función reparadora y proteccionista del seguro en relación con el patrimonio del asegurado no tiene discusión alguna. No obstante, actualmente las aseguradoras ofrecen junto con las pólizas de responsabilidad civil extracontractual programas de prevención y gestión de riesgos de amenazas digitales para que las empresas cuenten con asesoría de expertos y puedan implementar procedimientos adecuados de gestión de riesgos. Por lo anterior, en alguna medida, se podría entender que el seguro también cumple una función de prevención frente a la ocurrencia de ese tipo de riesgos67. Por supuesto no se discute que la función primigenia del seguro es reparadora, no obstante, es innegable la manera en que el mercado asegurador ha encontrado soluciones comerciales que le permiten posicionar sus productos, lo cual, en la mayoría de los casos está apoyado en la gestión del corredor de seguros, quien tiene una función fundamental de asesoría y acompañamiento al prospecto asegurado.
VIII. ASPECTOS GENERALES DELASEGURAMIENTO DE AMENAZAS DIGITALES
A continuación se desarrollan los principales aspectos de ese tipo de seguro y su incidencia en el aseguramiento de amenazas digitales, con la salvedad de que con la complejidad que trae consigo la tecnología resulta prácticamente imposible ir un paso adelante en la regulación que se deriva de las amenazas digitales inherentes al uso de sistemas de información.
a) Riesgo asegurable: es considerado como “la responsabilidad civil eventual en que incurre el asegurado cuando ocasiona un daño patrimonial a un tercero”68. Para el seguro de responsabilidad civil de que se trata, el riesgo se define en términos generales como las conductas u omisiones de terceros y/o empleados de la empresa que puedan generar afectaciones en los sistemas de información de la empresa.
Actualmente las aseguradoras están dedicadas a diseñar productos cuya finalidad es principalmente asumir los riesgos de las empresas que utilizan medios tecnológicos, ya sea para prestar sus servicios al público o para su funcionamiento interno. La manera en que se redacte el clausulado de las pólizas depende de la política de asunción de riesgos de la aseguradora, y al entender que en el seguro de responsabilidad civil están incluidos los riesgos inherentes al mismo, las aseguradoras son muy selectivas en establecer qué tipos de riesgos específicos cubren. Es por ello que, por regla general, dichos seguros se diseñan bajo la estructura de una póliza de riesgos nombrados, la cual describe taxativamente los hechos objeto de cobertura como primera forma de amparo de riesgos derivados de amenazas digitales. Los riesgos más comunes son69:
– Errores que afecten la seguridad de la información;
– Cualquier violación de seguridad de datos;
– Cualquier incidente cibernético que ocurra en el sistema cibernético del asegurado o de sus proveedores;
– Reclamaciones de terceros por la violación de seguridad de datos confidenciales o personales;
– Reclamaciones de terceros por un incidente cibernético (p. ej., virus) en el sistema informático, que constituya una violación a la seguridad de los datos, como el robo o la denegación del servicio;
– Gastos por la recuperación de activos digitales producidos por un incidente cibernético o por una extorsión cibernética;
– Honorarios de los abogados por investigaciones oficiales contra el asegurado por la responsabilidad derivada de cualquier incidente cibernético o violación de seguridad de datos;
–
