Disrupción tecnológica, transformación y sociedad . Группа авторов
cuya finalidad está marcada no solo por la protección del patrimonio del responsable del daño, sino también por la protección de la víctima. Incluso la doctrina ha llegado a reconocer que prima la finalidad de protección a la víctima:
… es un hecho cumplido que la protección de la víctima se ha convertido en la razón de ser del seguro de responsabilidad civil en Colombia, puesto que por diáfana referencia legislativa (C. de Co., art. 11227), este negocio jurídico asegurativo tiene “como propósito el resarcimiento de la víctima”65.
Sin duda, la función del seguro es fundamental en la gestión de los riesgos relacionados con amenazas digitales. Algunos doctrinantes han resaltado que la función reparadora del seguro le ha permitido al ser humano enfrentar riesgos de diversa índole que gravitan sobre su patrimonio, como ocurre con la necesidad emergente de las nuevas tecnologías que han llevado al asegurador a crear productos de seguros que asumen riesgos tecnológicos66.
En efecto, la función reparadora y proteccionista del seguro en relación con el patrimonio del asegurado no tiene discusión alguna. No obstante, actualmente las aseguradoras ofrecen junto con las pólizas de responsabilidad civil extracontractual programas de prevención y gestión de riesgos de amenazas digitales para que las empresas cuenten con asesoría de expertos y puedan implementar procedimientos adecuados de gestión de riesgos. Por lo anterior, en alguna medida, se podría entender que el seguro también cumple una función de prevención frente a la ocurrencia de ese tipo de riesgos67. Por supuesto no se discute que la función primigenia del seguro es reparadora, no obstante, es innegable la manera en que el mercado asegurador ha encontrado soluciones comerciales que le permiten posicionar sus productos, lo cual, en la mayoría de los casos está apoyado en la gestión del corredor de seguros, quien tiene una función fundamental de asesoría y acompañamiento al prospecto asegurado.
VIII. ASPECTOS GENERALES DELASEGURAMIENTO DE AMENAZAS DIGITALES
A continuación se desarrollan los principales aspectos de ese tipo de seguro y su incidencia en el aseguramiento de amenazas digitales, con la salvedad de que con la complejidad que trae consigo la tecnología resulta prácticamente imposible ir un paso adelante en la regulación que se deriva de las amenazas digitales inherentes al uso de sistemas de información.
a) Riesgo asegurable: es considerado como “la responsabilidad civil eventual en que incurre el asegurado cuando ocasiona un daño patrimonial a un tercero”68. Para el seguro de responsabilidad civil de que se trata, el riesgo se define en términos generales como las conductas u omisiones de terceros y/o empleados de la empresa que puedan generar afectaciones en los sistemas de información de la empresa.
Actualmente las aseguradoras están dedicadas a diseñar productos cuya finalidad es principalmente asumir los riesgos de las empresas que utilizan medios tecnológicos, ya sea para prestar sus servicios al público o para su funcionamiento interno. La manera en que se redacte el clausulado de las pólizas depende de la política de asunción de riesgos de la aseguradora, y al entender que en el seguro de responsabilidad civil están incluidos los riesgos inherentes al mismo, las aseguradoras son muy selectivas en establecer qué tipos de riesgos específicos cubren. Es por ello que, por regla general, dichos seguros se diseñan bajo la estructura de una póliza de riesgos nombrados, la cual describe taxativamente los hechos objeto de cobertura como primera forma de amparo de riesgos derivados de amenazas digitales. Los riesgos más comunes son69:
– Errores que afecten la seguridad de la información;
– Cualquier violación de seguridad de datos;
– Cualquier incidente cibernético que ocurra en el sistema cibernético del asegurado o de sus proveedores;
– Reclamaciones de terceros por la violación de seguridad de datos confidenciales o personales;
– Reclamaciones de terceros por un incidente cibernético (p. ej., virus) en el sistema informático, que constituya una violación a la seguridad de los datos, como el robo o la denegación del servicio;
– Gastos por la recuperación de activos digitales producidos por un incidente cibernético o por una extorsión cibernética;
– Honorarios de los abogados por investigaciones oficiales contra el asegurado por la responsabilidad derivada de cualquier incidente cibernético o violación de seguridad de datos;
– Gastos forenses en los que incurra el asegurado en la investigación de un incidente cibernético, y
– Interrupción del negocio durante el período de vigencia de la póliza.
Es importante aclarar que en el mercado existen productos de seguros que únicamente contienen coberturas para la protección del tratamiento de datos personales, lo cual fue abordado en la primera parte de este artículo. Sin embargo, frente al amplio universo de transacciones que se realizan en el ciberespacio, las empresas prefieren optar por productos de seguros integrales que ofrezcan coberturas que abarquen, en mayor medida, dichas transacciones y no exclusivamente las relacionadas con el tratamiento de datos personales.
Este esquema de póliza de riesgos nombrados podría ser reemplazado por una póliza todo riesgo, como una segunda forma de amparo de riesgos derivados de amenazas digitales. En ese tipo de póliza los intereses asegurables están cubiertos en el evento de pérdida derivada del riesgo, a no ser que se encuentre expresamente excluida. Sin duda, esa modalidad de póliza genera mayor confianza para el asegurado y claridad en relación con los riesgos que está trasladando a la aseguradora70. No obstante, la tendencia en el mercado asegurador con relación a los riesgos asociados a las reclamaciones de terceros por la vulneración de la regulación de habeas data, o cualquier otro conexo con la responsabilidad civil extracontractual de las empresas, es regularlos en la modalidad de riesgos nombrados, justamente por la amplitud de hechos dañosos que se podrían configurar bajo el esquema general de ese tipo de responsabilidad.
Igualmente, con este seguro de responsabilidad civil se entiende asegurada la culpa grave en los términos del artículo 1127 del Código de Comercio, el cual consagra:
El seguro de responsabilidad civil impone a cargo del asegurador la obligación de indemnizar los perjuicios patrimoniales que cause al asegurado con motivo de determinada responsabilidad en que incurra de acuerdo con la ley y tiene como propósito el resarcimiento de la víctima, la cual, en tal virtud, se constituye en el beneficiario de la indemnización, sin perjuicio de las prestaciones que se le reconozcan al asegurado. Son asegurables la responsabilidad contractual y la extracontractual, al igual que la culpa grave, con la restricción indicada en el artículo 1055.
Al remitirse al artículo 1055 del Código de Comercio resulta palmaria la falta de técnica legislativa teniendo en cuenta que el mismo texto describe la culpa grave como un riesgo inasegurable. Por lo anterior, se entiende que la culpa grave se constituye como una excepción al artículo 1055 del Código de Comercio, y tal como lo hemos expresado anteriormente, si el asegurador pretende que la misma no sea objeto del seguro debe excluirla expresamente. Adicional al problema de técnica legislativa de la norma transcrita, la misma no define la culpa grave, por lo cual la calificación de la culpa como grave o no grave le corresponderá en cada caso a las partes y al juzgador determinar cuándo se podría hablar de culpa grave o no71.
Finalmente, es importante mencionar que los ciberataques que conlleven la violación de normas de protección de datos y en consecuencia se vean expuestos a la imposición de una sanción administrativa por la autoridad competente no podrán ser objeto del seguro de responsabilidad civil con fundamento en la prohibición del artículo 1055 del Código de Comercio, el cual consagra:
“El dolo, la culpa grave y los actos meramente potestativos del tomador, asegurado o beneficiario son inasegurables. Cualquier estipulación en contrario no producirá efecto alguno; tampoco lo producirá la que tenga por objeto amparar al asegurado contra las sanciones de carácter penal o policivo” (cursiva fuera de texto).
b) Valor asegurado: existe una problemática constante para definir sumas aseguradas que puedan solventar suficientemente los posibles daños que se puedan