Repercusiones jurídicas de los incidentes de seguridad
Según la Guía para la Gestión y Clasificación de Incidentes de Seguridad de la Información[AV1] .
“Un incidente de seguridad de la información se define como un acceso, intento de acceso, uso, divulgación, modificación o destrucción no autorizada de información; un impedimento en la operación normal de las redes, sistemas o recursos informáticos; o una violación a una Política de Seguridad de la Información”.
Teniendo en cuenta lo anteriormente expuesto, aunque se conoce que los incidentes de seguridad pueden afectar a cualquier tipo de organización ya sea pública o privada, estas no tienen en cuenta las repercusiones jurídicas que pueden generarse a partir de estos incidentes; por ende, el siguiente artículo tiene como intención realizar una aproximación a cuáles serían dichas repercusiones, mencionado que en cada caso habrá que evaluar esto.
Lo primero que se debe tener presente cuando se habla de delitos informáticos, es la acción dolosa de un sujeto no cualificado que atenta contra los datos, activos de información y sistemas como bienes jurídicos tutelados a la luz de la ley 1273 de 2009. Aquí es menester recordar que corresponde a los administradores de una organización actuar en defensa y protección de los activos que hacen realidad la operación empresarial, esto en cumplimiento de lo dispuesto en el artículo 23 de la ley 222 de 1995; deber que en la era digital se traduce en adoptar robustos estándares de seguridad, ciberseguridad y protección de activos de información, entre ellos, datos personales, propiedad intelectual y otros activos inmateriales.
Las repercusiones con las que se enfrenta una empresa o persona cuando es víctima de ataques cibernéticos pueden estar inclinadas hacia:
Derechos Fundamentales – Compromiso de datos personales que podrían afectar la dignidad, el buen nombre, la intimidad, entre otros.
- Contractual – incumplimientos contractuales
- Penal – conductas delictuales
- Laboral – incumplimientos contractuales
- Responsabilidad Civil – Daños contractuales y/o extracontractuales
- Disciplinario – Faltas disciplinarias en el ámbito público
Por esto, en Colombia se habla de Principios de Seguridad, exactamente la Ley 1581/ 2012, cabe mencionar que esta norma en donde expone que “La información sujeta al tratamiento por el Responsable del Tratamiento o Encargado del tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento”, esta ley queda corta en desarrollar el alcance del principio; de allí la necesidad de abordar este principio a la luz de la técnica y del derecho comparado, como puede ser entender su alcance en normas como el GDPR.
Por lo anterior, cuando una entidad se ve afectada por una pérdida en sus activos, se requiere gestionar el evento de seguridad para establecer si, alcanzada la categoría de incidente, hay lugar a exigir el resarcimiento de los daños causados a quien haya incurrido en la conducta que dio origen al compromiso de integridad, disponibilidad y confidencialidad; lo sin perjuicio de daños en los derechos personalísimos de un individuo. Sobre este tema se trató nuestro webinar que se realizó en el canal de YouTube de Velasco & Calle D´Aleman, recuerda que podemos asesorarlos en estas y otras temáticas relacionadas. Contáctenos.
Conoce nuestra práctica profesional y experiencia desde hace 20 años en www.velascocalle.co