Disrupción tecnológica, transformación y sociedad . Группа авторов
del seguro de responsabilidad civil extracontractual, cuyos amparos protegen al empresario frente a la indemnización de terceros por la vulneración del régimen de protección de datos.
Desde ya manifestamos que bajo los postulados del régimen de responsabilidad civil extracontractual no hay duda de que las empresas tienen la obligación de reparar los perjuicios causados a terceros por la vulneración del régimen legal de tratamiento de datos. De esa forma, el seguro juega un papel fundamental en la protección del patrimonio del empresario frente a la materialización de las amenazas digitales.
I. LAS AMENAZAS DIGITALES Y LOS RIESGOS QUE IMPLICAN PARA UNA ORGANIZACIÓN EMPRESARIAL EN EL MARCO DEL TRATAMIENTO DE DATOS PERSONALES, COMERCIALES Y FINANCIEROS
Con la utilización masiva de la tecnología la sociedad actual ha venido adaptándose al funcionamiento de un nuevo orden económico y social. El uso de las Tecnologías de la Información y Comunicación (TIC) ha instaurado un nuevo paradigma relacional entre las interacciones personales y sociales1. Esta nueva realidad no solo ha impactado el relacionamiento entre las personas físicas, sino que se ha convertido en pieza esencial y fundamental para el debido funcionamiento de las organizaciones empresariales. De esa forma ha surgido un nuevo espacio de interacción en el que participan organizaciones empresariales y usuarios. Este espacio, en el que se produce un intercambio de información que en muchos casos resulta ser privada y confidencial de los usuarios, ha sido denominado por la doctrina y por distintas autoridades ciberespacio.
El ciberespacio ha sido concebido como un entorno donde interactúan personas, softwares y servicios en Internet mediante el uso de dispositivos tecnológicos que se encuentran enlazados a una red común2. Este ciberespacio se caracteriza por no presentarse en una forma física concreta, sino que se entiende como un ambiente donde los intervinientes intercambian información en busca de la satisfacción de sus necesidades, y en muchas ocasiones para la prestación de servicios. Así las cosas, el ciberespacio se instituye en un ambiente en el que se intercambia información de carácter personal, comercial y financiera, y en el cual se debe brindar seguridad con el fin de dotar de confianza a los usuarios. De esa forma, para el caso colombiano, la regulación decidió situar en cabeza de las organizaciones empresariales la responsabilidad de brindar seguridad y protección a sus clientes, usuarios y consumidores en las operaciones que se puedan realizar en el ciberespacio. Esa obligación de garantía de seguridad se materializa mediante la exigencia de que las organizaciones empresariales adopten medidas físicas y administrativas ante la ocurrencia de lo que hemos denominado amenazas digitales.
Las amenazas digitales se entienden como toda acción, omisión o elemento que tiene la potencialidad de afectar la seguridad de la información, tanto en los espacios físicos y operativos de las organizaciones empresariales, como en el ciberespacio. Este concepto de amenazas digitales engloba los distintos medios que afectan directamente la seguridad de la información de una organización empresarial, por lo cual el ordenamiento colombiano ha agrupado los eventos correspondientes en ataques cibernéticos, eventos de ciberseguridad, incidentes de ciberseguridad e incidentes de seguridad3. Estas amenazas digitales pueden representar distintos riesgos para las organizaciones, y de acuerdo con su gravedad se han clasificado técnicamente en amenazas terciarias, secundarias y primarias.
Las amenazas terciarias normalmente se categorizan a su vez en ataques (referidos a un actuar determinado de un agente específico con capacidad y determinación para hacerlo), accidentes (relacionados con fallas físicas o lógicas del hardware por defecto o uso prologado) y errores (referidos a los posibles defectos de configuración, programación o respuesta del software); las amenazas secundarias disminuyen o eliminan el grado de éxito de las medidas que adopta la organización empresarial para mitigar las amenazas primarias, por ejemplo, la eliminación de la efectividad de firewalls, y las amenazas primarias evitan que se mantengan o se lleguen a establecer las medidas que mitigan las amenazas terciarias o secundarias. Al final estas amenazas digitales pueden consistir en ataques al sistema de seguridad, espionaje, sabotaje, fraudes, inserción de códigos maliciosos, y/o comprometer los medios de autenticación de los usuarios, entre otros.
En muchos casos las amenazas digitales no solo están dirigidas a afectar el funcionamiento de una organización empresarial, sino que pueden consistir en un ataque dirigido a la obtención de información de carácter personal de sus usuarios y clientes, ya sea un dato personal, o información comercial y financiera. Cuando la amenaza digital afecta específicamente los datos personales de sus usuarios, puede derivar en una responsabilidad de carácter administrativo y civil para la organización empresarial. Sin embargo, la adopción de un sistema adecuado de gestión de seguridad de los datos personales puede conllevar la exoneración de la compañía de la responsabilidad civil o administrativa. De esa forma, es necesario analizar el régimen de tratamiento de datos personales y de información comercial y financiera, y las medidas que pueden conllevar la exoneración de responsabilidad de la organización empresarial4.
II. RÉGIMEN DE TRATAMIENTO DE DATOS PERSONALES, COMERCIALES Y FINANCIEROS
La Ley 1266 de 2008 (conocida comúnmente como Ley de habeas data financiero) y la Ley 1581 de 2012 (conocida comúnmente como Ley de protección de datos personales) se han encargado de delimitar los conceptos base en materia de tratamiento y administración de datos personales, y aunque ambas regulaciones establecen una definición común para el concepto de dato personal como “Cualquier información vinculada o que pueda asociarse a una o varias personas determinadas o determinables”, presentan un matiz diferenciador: la Ley 1266 de 2008 construye el dato personal como un derecho personal5 cuya titularidad corresponde tanto a las personas naturales como a las jurídicas, es decir, el derecho al habeas data financiero; y en un sentido más limitado, la Ley 1581 de 2012 reconoce la existencia de este derecho personal exclusivamente a la persona natural, el habeas data personal.
La diferencia en la construcción del concepto de dato personal en ambas regulaciones se explica por la naturaleza de las relaciones que impactan, lo que también se refleja en la delimitación del concepto de las personas que intervienen en el tratamiento del dato personal. La ley de habeas data financiero se encamina a la protección de aquella información crediticia, comercial y financiera contenida en centrales de información públicas o privadas, que recopilan, tratan y circulan esos datos con el fin de establecer el nivel de riesgo financiero de su titular6. Así, la operación que ampara esta ley es el análisis del perfil financiero de cualquier participante como tomador de servicios comerciales y/o financieros, donde la naturaleza del titular le es indiferente al mercado.
De esa forma, en el régimen de habeas data financiero quienes intervienen en la relación de tratamiento del dato personal son el titular de la información, la fuente de información, el operador de información y el usuario, donde se resalta la labor de la fuente y del operador cuyas calidades pueden confluir en un solo agente7. La fuente y el operador son las personas que reciben, conocen, administran y ponen en conocimiento de un tercero (usuario) la información suministrada por el titular8. De ese modo, las principales obligaciones en el tratamiento de los datos personales en este régimen son predicables de estos dos agentes. Siendo las obligaciones de la fuente de información más de tipo formal y de verificación de la veracidad, exactitud y actualidad de la información suministrada9. Por su parte, si bien en el operador de la información recaen obligaciones similares, se le agregan obligaciones de carácter material, como la de garantizar el acceso a la información únicamente a las personas autorizadas o habilitadas, enfocándose principalmente en el principio de seguridad y de responsabilidad10.
De otra parte, la ley de protección de datos personales se enfoca en la protección del derecho de las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido de ellas en bases de datos o archivos, siendo esta una concepción más amplia del dato personal11, y con menos especificidad que la contenida en la ley de habeas data financiero12. Consecuentemente, se entiende el dato personal como un bien personalísimo13, predicable solo de la persona natural, de forma que esta normativa se acerca al doble carácter que puede tener el dato personal, como derecho personal14 y como activo