Disrupción tecnológica, transformación y sociedad . Группа авторов
de los datos personales a cargo del responsable del tratamiento.
De esta forma, la implementación de medidas de carácter preventivo, tales como la adopción de políticas de tratamientos de datos, la aplicación de medidas operacionales y técnicas para la protección de los datos personales, y las medidas tendientes a evaluar el modelo de gestión de las amenazas digitales conforman el principio de responsabilidad demostrada. Así, una aplicación adecuada de estas medidas le permite al responsable demostrar el cumplimiento de la normativa que regula el tratamiento de datos personales a pesar de haberse presentado una amenaza digital al interior de su organización empresarial55. De esa manera, bajo algunas circunstancias, esta situación le permite probar su exoneración en el campo de la responsabilidad administrativa, pero representa un gran reto para el estudio de la responsabilidad civil cuyo riesgo busca disminuir la organización empresarial mediante la adopción de seguros de responsabilidad civil, los cuales serán objeto de estudio más adelante.
VI. RESPONSABILIDAD CIVIL DE LAS EMPRESAS POR LA OCURRENCIA DE AMENAZAS DIGITALES O CIBERRIESGOS56 Y SU ASEGURAMIENTO
La discusión de la importancia de la responsabilidad civil derivada de las amenazas digitales no es reciente. Hace ya más de una década se han evidenciado casos de ciberataques a nivel mundial. Por mencionar algunos, en 2014 Sony Pictures sufrió pérdidas de más de USD 200 millones por un ciberataque en el cual fue sustraída información sensible y confidencial, desde la nómina del presidente hasta películas que en su momento no se habían estrenado; y en 2016 la reconocida empresa londinense Tesco Bank sufrió un ataque informático que afectó aproximadamente a 40.000 de sus clientes, a quienes tuvo que devolver el dinero sustraído de manera fraudulenta, y adicionalmente fue multada con 16.4 millones de libras por no tener las medidas de seguridad necesarias para prevenir ese tipo de ciberataques57.
Las grandes empresas no son las únicas afectadas. Las pymes también son objetivo de los ciberdelincuentes. Un estudio conducido por el Ponemon Institute analizó cómo en Reino Unido y Estados Unidos las pequeñas y medianas empresas afrontaron durante 2018 los ciberataques y concluyó principalmente que el 67% de las empresas sufrió un ciberataque, y que un 58% reportó un data breach, a raíz de lo cual destinaron USD 1.43 millones para reparar los ciberataques, y USD 1.56 millones por la interrupción del negocio. Finalmente, se evidenció que algunas de las empresas no pudieron recuperarse d los perjuicios ocasionados por el incidente58.
Por ello, las empresas son cada vez más conscientes de la importancia de protegerse de ese tipo de peligros. En un estudio realizado por una reconocida reaseguradora, y frente a la pregunta: ¿Cómo valoraría usted los peligros potenciales en su organización derivados de riesgos cibernéticos?, se reveló que el 20% de las empresas encuestadas declaró ese tipo de riesgos como extremadamente serios, el 56% como serios, el 22% como moderados, y el 2% como reducidos59, lo cual muestra que las empresas deben materializar en sus políticas y procedimientos la forma como van a prevenir, gestionar y tratar las amenazas digitales. Hoy en día difícilmente podrían considerarse políticas de gobierno corporativo que no tengan en cuenta la gestión de las amenazas digitales, pues su papel es fundamental porque la tendencia demuestra que la regulación de la seguridad cibernética se verá reforzada y se centrará más en las acciones preventivas tomadas por las empresas, más allá del protocolo posterior al incidente60.
Dichos lineamientos son obligatorios para determinados sectores económicos, como ocurre con el sector financiero, en el cual, bajo el régimen de la administración de riesgos operativos, se regulaban los parámetros mínimos para la seguridad informática; sin embargo, ese régimen presentaba una deficiencia: no tenía en cuenta los avances tecnológicos. De forma que con el auge de la digitalización y la masificación del uso de canales electrónicos61 surgió la necesidad de complementar y robustecer dichos parámetros. Así, mediante la Circular 007 de 2018 la Superintendencia Financiera de Colombia impartió la obligación para las entidades vigiladas de adoptar políticas, procedimientos y recursos técnicos y humanos a fin de gestionar de manera efectiva la ciberseguridad y contrarrestar “posibles resultados negativos derivados de fallas en la seguridad de los sistemas tecnológicos o asociados a ataques cibernéticos”.
La efectividad de las políticas que contienen los procedimientos y las responsabilidades para la adecuada gestión de los riesgos inherentes a la ciberseguridad corresponde a la administración de la compañía, por conducto de su junta directiva, la cual debe aprobar el contenido de dichas políticas y, además, estar debidamente informada respecto de los resultados de la gestión del ciberriesgo mediante un reporte semestral presentado por el responsable de seguridad de la información en la compañía. Este informe debe describir la evaluación de la confidencialidad e integralidad de la información, la detección de ciberamenazas, los resultados de las pruebas de efectividad y los resúmenes de los incidentes de ciberseguridad.
Como se puede observar, el sector financiero ha tomado medidas importantes para asegurar que sus entidades adopten medidas para prevenir los ciberataques, y apliquen políticas robustas frente a ese asunto. En conclusión, el gobierno corporativo de las empresas juega un papel primordial en la adopción temprana de políticas y procedimientos para la gestión de riesgos cibernéticos con el fin de minimizar los efectos nocivos de los posibles perjuicios que se puedan causar a terceros por amenazas digitales.
A continuación se presenta, en términos generales, el régimen de responsabilidad civil extracontractual de las empresas por la ocurrencia de amenazas digitales, en especial aquellas relacionadas con el tratamiento de datos personales. Posteriormente se explican los elementos del seguro de responsabilidad civil como instrumento clave en la protección del patrimonio de la empresa frente a la materialización de amenazas digitales.
VII. ASEGURAMIENTO DE LA RESPONSABILIDAD CIVIL POR LA OCURRENCIA DE AMENAZAS DIGITALES. FUNCIONES DEL SEGURO DE RESPONSABILIDAD
De manera preliminar es importante aclarar que la intención de este acápite no es abordar ampliamente el régimen general de responsabilidad civil puesto que existen infinidad de tratados sobre la materia y, además, porque desborda el objeto de esta investigación.
Con base en el artículo 2341 del Código Civil colombiano, todo aquel que cometa un delito o culpa, y que provoque un daño a otro está obligado a indemnizarlo. Este principio fundamental rige la responsabilidad civil de las empresas, ya sea bajo el título de imputación objetiva o subjetiva. Por defecto, el daño proveniente de actividades peligrosas no será abordado en el estudio del seguro de responsabilidad civil, teniendo en cuenta que la definición del riesgo asegurado relacionado con las amenazas digitales no se cataloga como una actividad peligrosa y, por tanto, no se rige por las reglas propias de un régimen objetivo de responsabilidad. En relación con el régimen de imputación subjetiva, que comprende el dolo y culpa, se anticipa que, conforme al artículo 1055 del Código de Comercio62, el dolo no es un riesgo asegurable por lo que aquí únicamente se tratará el régimen subjetivo de responsabilidad civil basado en la culpa.
Como institución jurídica, la responsabilidad civil proporciona un escenario de incertidumbre tanto para el responsable del daño como para la víctima, por cuanto el resarcimiento depende primordialmente de la capacidad económica personal del agente generador. Por ello, y sin dejar de reconocer la importancia de la responsabilidad civil en la protección de las víctimas de la ocurrencia de un daño, ya sea contractual o extracontractual, como instrumento financiero el seguro cumple un rol fundamental en coadyuvar a la eficacia de las normas que regulan la responsabilidad civil63.
En especial, se trata del seguro de responsabilidad civil, el cual:
… impone a cargo del asegurador la obligación de indemnizar los perjuicios patrimoniales que cause el asegurado con motivo de determinada responsabilidad en que incurra de acuerdo con la ley y tiene como propósito el resarcimiento de la víctima, la cual, en tal virtud, se constituye en el beneficiario de la indemnización, sin perjuicio de las prestaciones que se le reconozcan al asegurado. Son asegurables la responsabilidad contractual y la extracontractual,