y
– Interrupción del negocio durante el período de vigencia de la póliza.
Es importante aclarar que en el mercado existen productos de seguros que únicamente contienen coberturas para la protección del tratamiento de datos personales, lo cual fue abordado en la primera parte de este artículo. Sin embargo, frente al amplio universo de transacciones que se realizan en el ciberespacio, las empresas prefieren optar por productos de seguros integrales que ofrezcan coberturas que abarquen, en mayor medida, dichas transacciones y no exclusivamente las relacionadas con el tratamiento de datos personales.
Este esquema de póliza de riesgos nombrados podría ser reemplazado por una póliza todo riesgo, como una segunda forma de amparo de riesgos derivados de amenazas digitales. En ese tipo de póliza los intereses asegurables están cubiertos en el evento de pérdida derivada del riesgo, a no ser que se encuentre expresamente excluida. Sin duda, esa modalidad de póliza genera mayor confianza para el asegurado y claridad en relación con los riesgos que está trasladando a la aseguradora70. No obstante, la tendencia en el mercado asegurador con relación a los riesgos asociados a las reclamaciones de terceros por la vulneración de la regulación de habeas data, o cualquier otro conexo con la responsabilidad civil extracontractual de las empresas, es regularlos en la modalidad de riesgos nombrados, justamente por la amplitud de hechos dañosos que se podrían configurar bajo el esquema general de ese tipo de responsabilidad.
Igualmente, con este seguro de responsabilidad civil se entiende asegurada la culpa grave en los términos del artículo 1127 del Código de Comercio, el cual consagra:
El seguro de responsabilidad civil impone a cargo del asegurador la obligación de indemnizar los perjuicios patrimoniales que cause al asegurado con motivo de determinada responsabilidad en que incurra de acuerdo con la ley y tiene como propósito el resarcimiento de la víctima, la cual, en tal virtud, se constituye en el beneficiario de la indemnización, sin perjuicio de las prestaciones que se le reconozcan al asegurado. Son asegurables la responsabilidad contractual y la extracontractual, al igual que la culpa grave, con la restricción indicada en el artículo 1055.
Al remitirse al artículo 1055 del Código de Comercio resulta palmaria la falta de técnica legislativa teniendo en cuenta que el mismo texto describe la culpa grave como un riesgo inasegurable. Por lo anterior, se entiende que la culpa grave se constituye como una excepción al artículo 1055 del Código de Comercio, y tal como lo hemos expresado anteriormente, si el asegurador pretende que la misma no sea objeto del seguro debe excluirla expresamente. Adicional al problema de técnica legislativa de la norma transcrita, la misma no define la culpa grave, por lo cual la calificación de la culpa como grave o no grave le corresponderá en cada caso a las partes y al juzgador determinar cuándo se podría hablar de culpa grave o no71.
Finalmente, es importante mencionar que los ciberataques que conlleven la violación de normas de protección de datos y en consecuencia se vean expuestos a la imposición de una sanción administrativa por la autoridad competente no podrán ser objeto del seguro de responsabilidad civil con fundamento en la prohibición del artículo 1055 del Código de Comercio, el cual consagra:
“El dolo, la culpa grave y los actos meramente potestativos del tomador, asegurado o beneficiario son inasegurables. Cualquier estipulación en contrario no producirá efecto alguno; tampoco lo producirá la que tenga por objeto amparar al asegurado contra las sanciones de carácter penal o policivo” (cursiva fuera de texto).
b) Valor asegurado: existe una problemática constante para definir sumas aseguradas que puedan solventar suficientemente los posibles daños que se puedan ocasionar a terceros. Es imposible determinar a futuro la potencialidad de los daños que se puedan presentar y, por ende, contar con un contrato de seguro con la definición de un riesgo puro. La profesora Hilda Zornosa ha manifestado que al momento de suscribir la póliza de responsabilidad civil no se está en condiciones de conocer los valores asegurados que sean suficientes para cubrir el posible daño que se pueda generar en el marco de la póliza. Dicha situación se sensibiliza en relación con los daños de carácter tecnológico que “pueden ser seriados, masivos, irreversibles”72.
c) Interés asegurable: el seguro de responsabilidad civil extracontractual se define como la protección del patrimonio del asegurado. Se considera que es un seguro de carácter patrimonial porque se protege el patrimonio del causante del daño como universalidad73 y no sus bienes particulares.
d) Obligación condicional del asegurador: se ve materializada con la ocurrencia del siniestro, esto es, la realización de alguno de los supuestos que se mencionaron en el listado de los riesgos que comúnmente se encuentran en ese tipo de pólizas de responsabilidad civil extracontractual, que el artículo 1131 del Código de Comercio define como:
En el seguro de responsabilidad civil se entenderá ocurrido el siniestro en el momento que acaezca el hecho externo imputable al asegurado, fecha a partir de la cual correrá la prescripción respecto de la víctima. Frente al asegurado ello ocurrirá desde cuando la víctima le formula la petición judicial o extrajudicial.
Frente a las discusiones relacionadas con la configuración del siniestro la controversia concluyó, por cuanto atañe al momento de la realización del hecho dañoso que, para este caso, correspondería a las reclamaciones de terceros por la violación de la seguridad de los datos confidenciales o personales, pues es justamente en ese momento que se “genera el débito de responsabilidad”74. Otras tesis sostienen que en ese tipo de seguros el siniestro se puede configurar con el reclamo del asegurado ante la aseguradora, con la liquidación del siniestro o con la sentencia del juez que declare la responsabilidad de la aseguradora. Como se señaló, para que al asegurado le asista el derecho de presentar la reclamación ante la aseguradora, el siniestro solo requiere la realización de los hechos descritos como asegurables en la póliza correspondiente.
Sin perjuicio de sus limitaciones, el seguro de responsabilidad civil extracontractual tiene el potencial de proteger el patrimonio de los empresarios frente a la realización de amenazas digitales. Igualmente, su eficiencia también depende del gobierno corporativo de la empresa, el cual, como parte de la gestión adecuada de riesgos, debería incluir como política la adquisición de ese seguro.
CONCLUSIONES
Las amenazas digitales representan un gran desafío para las organizaciones empresariales. La forma en que estas se materializan y se transforman demanda una inversión en tiempo y dinero. Las amenazas digitales afectan no solo el funcionamiento de una organización empresarial, sino que pueden consistir en un ataque dirigido a la obtención de información de carácter personal de los usuarios y clientes, la cual es considerada un dato personal, o su información comercial y financiera, y es allí donde se ha centrado la preocupación de las autoridades gubernamentales.
El Estado colombiano ha diseñado un sistema de protección de datos personales y de información financiera, comercial y crediticia centrado en la garantía del derecho al habeas data personal y habeas data financiero, donde predomina la garantía del dato personal como un derecho constitucional. Esto ha llevado a construir un sistema que se sustenta en el principio de responsabilidad demostrada, lo que demanda una carga administrativa, humana, técnica y financiera para las organizaciones empresariales en la adopción de medidas que garanticen su efectividad. De la misma forma, ha centrado la responsabilidad de las medidas en los operadores de la información crediticia, comercial y financiera, y en los responsables y encargados del tratamiento de los datos personales.
Sin embargo, el sistema de protección de datos personales y de información comercial, financiera y crediticia tiene en cuenta las condiciones particulares de las organizaciones
