Disrupción tecnológica, transformación y sociedad

Las amenazas digitales se entienden como toda acción, omisión o elemento que tiene la potencialidad de afectar la seguridad de la información, tanto en los espacios físicos y operativos de las organizaciones empresariales, como en el ciberespacio. Este concepto de amenazas digitales engloba los distintos medios que afectan directamente la seguridad de la información de una organización empresarial, por lo cual el ordenamiento colombiano ha agrupado los eventos correspondientes en ataques cibernéticos, eventos de ciberseguridad, incidentes de ciberseguridad e incidentes de seguridad 3. Estas amenazas digitales pueden representar distintos riesgos para las organizaciones, y de acuerdo con su gravedad se han clasificado técnicamente en amenazas terciarias, secundarias y primarias.

Las amenazas terciarias normalmente se categorizan a su vez en ataques (referidos a un actuar determinado de un agente específico con capacidad y determinación para hacerlo), accidentes (relacionados con fallas físicas o lógicas del hardware por defecto o uso prologado) y errores (referidos a los posibles defectos de configuración, programación o respuesta del software); las amenazas secundarias disminuyen o eliminan el grado de éxito de las medidas que adopta la organización empresarial para mitigar las amenazas primarias, por ejemplo, la eliminación de la efectividad de firewalls, y las amenazas primarias evitan que se mantengan o se lleguen a establecer las medidas que mitigan las amenazas terciarias o secundarias. Al final estas amenazas digitales pueden consistir en ataques al sistema de seguridad, espionaje, sabotaje, fraudes, inserción de códigos maliciosos, y/o comprometer los medios de autenticación de los usuarios, entre otros.

En muchos casos las amenazas digitales no solo están dirigidas a afectar el funcionamiento de una organización empresarial, sino que pueden consistir en un ataque dirigido a la obtención de información de carácter personal de sus usuarios y clientes, ya sea un dato personal, o información comercial y financiera. Cuando la amenaza digital afecta específicamente los datos personales de sus usuarios, puede derivar en una responsabilidad de carácter administrativo y civil para la organización empresarial. Sin embargo, la adopción de un sistema adecuado de gestión de seguridad de los datos personales puede conllevar la exoneración de la compañía de la responsabilidad civil o administrativa. De esa forma, es necesario analizar el régimen de tratamiento de datos personales y de información comercial y financiera, y las medidas que pueden conllevar la exoneración de responsabilidad de la organización empresarial 4.

II. RÉGIMEN DE TRATAMIENTO DE DATOS PERSONALES, COMERCIALES Y FINANCIEROS

La Ley 1266 de 2008 (conocida comúnmente como Ley de habeas data financiero) y la Ley 1581 de 2012 (conocida comúnmente como Ley de protección de datos personales) se han encargado de delimitar los conceptos base en materia de tratamiento y administración de datos personales, y aunque ambas regulaciones establecen una definición común para el concepto de dato personal como “Cualquier información vinculada o que pueda asociarse a una o varias personas determinadas o determinables”, presentan un matiz diferenciador: la Ley 1266 de 2008 construye el dato personal como un derecho personal 5cuya titularidad corresponde tanto a las personas naturales como a las jurídicas, es decir, el derecho al habeas data financiero; y en un sentido más limitado, la Ley 1581 de 2012 reconoce la existencia de este derecho personal exclusivamente a la persona natural, el habeas data personal.

La diferencia en la construcción del concepto de dato personal en ambas regulaciones se explica por la naturaleza de las relaciones que impactan, lo que también se refleja en la delimitación del concepto de las personas que intervienen en el tratamiento del dato personal. La ley de habeas data financiero se encamina a la protección de aquella información crediticia, comercial y financiera contenida en centrales de información públicas o privadas, que recopilan, tratan y circulan esos datos con el fin de establecer el nivel de riesgo financiero de su titular 6. Así, la operación que ampara esta ley es el análisis del perfil financiero de cualquier participante como tomador de servicios comerciales y/o financieros, donde la naturaleza del titular le es indiferente al mercado.

De esa forma, en el régimen de habeas data financiero quienes intervienen en la relación de tratamiento del dato personal son el titular de la información , la fuente de información , el operador de información y el usuario , donde se resalta la labor de la fuente y del operador cuyas calidades pueden confluir en un solo agente 7. La fuente y el operador son las personas que reciben, conocen, administran y ponen en conocimiento de un tercero (usuario) la información suministrada por el titular 8. De ese modo, las principales obligaciones en el tratamiento de los datos personales en este régimen son predicables de estos dos agentes. Siendo las obligaciones de la fuente de información más de tipo formal y de verificación de la veracidad, exactitud y actualidad de la información suministrada 9. Por su parte, si bien en el operador de la información recaen obligaciones similares, se le agregan obligaciones de carácter material, como la de garantizar el acceso a la información únicamente a las personas autorizadas o habilitadas, enfocándose principalmente en el principio de seguridad y de responsabilidad 10.

De otra parte, la ley de protección de datos personales se enfoca en la protección del derecho de las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido de ellas en bases de datos o archivos, siendo esta una concepción más amplia del dato personal 11, y con menos especificidad que la contenida en la ley de habeas data financiero 12. Consecuentemente, se entiende el dato personal como un bien personalísimo 13, predicable solo de la persona natural, de forma que esta normativa se acerca al doble carácter que puede tener el dato personal, como derecho personal 14y como activo o bien comercial utilizable en una organización empresarial 15. Así las cosas, la ley de datos personales se preocupa del trato que se le pueda dar a la información suministrada, recolectada y estudiada al interior de una determinada organización 16, el uso que esta pueda realizar de ella y la posibilidad de transferir esa información a otros agentes que intervienen en el mercado 17.

En consecuencia, la ley de protección de datos personales establece un sistema de roles distinto al propuesto en la ley de habeas data financiero, por cuanto menciona al titular del dato personal , a los responsables del tratamiento del dato personal y a los encargados del tratamiento del dato personal 18. Entendiendo el tratamiento como cualquier operación que implique la recolección, almacenamiento, uso, circulación o supresión del dato personal 19. Consecuentemente, la ley establece que el rol de responsable lo ocupa aquella persona que decide respecto del tratamiento, siendo el encargado el colaborador del responsable que materialmente realiza el tratamiento. De esa forma, al encontrarse el encargado en una situación de delegación, como un administrador a nombre de un tercero responsable, les son predicables a ambas partes obligaciones de carácter formal y material en desarrollo de su labor, y su responsabilidad se encuentra intrínsecamente ligada, destacándose para nuestro interés los principios de circulación restringida y de seguridad del dato personal 20.

III. DESARROLLO DEL PRINCIPIO DE SEGURIDAD, ACCESO Y CIRCULACIÓN RESTRINGIDA DEL DATO PERSONAL, EIMPLICACIONES PARA UNA ORGANIZACIÓN EMPRESARIAL