DEBERES JURÍDICOS DE LAS COMPAÑÍAS EN LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN EN COLOMBIA

Nota: Artículo publicado en la Revista Minero Energético No. 2 - Agosto de 2012. Periódico El Nuevo Siglo.

 La información como activo de las compañías

La información como bien jurídico tutelable dentro de cualquier compañía toma importante relevancia al momento de gestionar cualquier tarea o actividad en la cual se manipule o utilice información propia o de terceros, ya sea en medios digitales o analógicos sin importar el tipo de soporte en el que se almacene o contenga dicha información.

Existen diferentes tipos de amenazas y vulnerabilidades que pueden afectar la confidencialidad, integridad y disponibilidad de la información propia o de terceros afectando en gran medida a las compañías, clientes o proveedores en sus derechos, económicamente y en su reputación. Es por esta razón que cualquier tipo de compañía que explote cualquier bien o servicio debe tomar las medidas jurídicas necesarias en cumplimiento de sus deberes y compromiso con su RCS (Responsabilidad Corporativa y Social) así como con el marco jurídico específico que regule en cada caso su actividad comercial. Es una obligación legal por parte de cualquier compañía prever, mitigar y resolver los riesgos y/o pérdidas a los que la información propia o ajena quede expuesta por la acción humana, física, o natural, dentro o fuera de sus instalaciones cumpliendo de esta manera con la función social encomendada por la Constitución colombiana de 1991 conforme al artículo 333 en el cual se reconoce que la actividad económica, y la iniciativa privada son libres dentro del marco del bien común, lo que da a entender que cualquier actividad económica o comercial que se quiera desarrollar dentro de los parámetros legales en principio está amparada por este derecho tutelable cuando su vulneración apareja de forma inmediata la violación de un derecho fundamental[1].

Lo anterior hace hincapié respecto a los derechos constitucionales o fundamentales como puede ser el de Habeas Data o del Consumidor en personas naturales o jurídicas establecidas dentro del territorio colombiano, o que sin estar establecidas en Colombia causen lesiones en los derechos garantizados y protegidos por la legislación nacional colombiana.

Qué es seguridad de la información?

Cuando nos referimos a seguridad de la información estamos indicando los activos tangibles e intangibles que tienen intrínsecamente un valor “real” para cada compañía u organización, es decir, todo o todos los activos que interviene en la creación, gestión, trasmisión y destrucción de información (personas, clientes, proveedores, datos, aplicaciones, equipos, y demás medios que intervengan en este proceso) que provengan de la acción humana o medios físicos o naturales.

La importancia de la seguridad de la información es un tema tan sensible y relacionado directamente con la supervivencia del negocio y el aseguramiento de ingresos para cualquier compañía, puesto que aumenta el riesgo de incurrir en costos inesperados y a veces muy elevados tanto por perdidas internas como por vulneración de derechos reconocidos legalmente a terceros, los cuales se verían materializados en sanciones, perdida de reputación y buen nombre. Es por esta razón que si tenemos en cuenta las medidas de seguridad jurídicas aplicables al desarrollo del objeto social de cada compañía se obtendrán beneficios en cuanto a reducción de costos inesperados, optimización de recursos e inversiones en tecnología, continuidad del negocio, mejora y mantenimiento de la imagen corporativa, aumento de competitividad, y por último evitar sanciones judiciales o administrativas.

Es preciso aclarar que la Seguridad de la Información no es igual a la Seguridad Informática, ya que esta última se encarga de la protección de las infraestructuras TIC (tecnologías de la información y comunicaciones) que soportan el negocio o actividad, siendo así la Seguridad de la Información el género y la Seguridad Informática una de las especies que conforman el ecosistema de Seguridad de la Información.

Por tanto, la Seguridad de la Información se puede definir como el medio o instrumento jurídico, técnico y organizativo de salvaguardar y proteger los siguientes indicadores de valoración: confidencialidad, integridad y disponibilidad de cada uno de los activos tangibles o intangibles que posea cualquier compañía para el  recto y eficaz cumplimiento de los objetivos corporativos y sociales.

Estos indicadores de valoración de Seguridad de la Información se definen de la siguiente manera:

Confidencialidad: A la información solo pueden acceder las personas autorizadas para      ello.
Integridad: La información ha de estar completa y correcta en todo momento. 
Disponibilidad: La información estará lista para acceder a ella o utilizarse cuando se necesite.

Por todo lo anterior, la implementación de medidas de Seguridad de la Información de carácter jurídico, técnico y organizativo, acorde con la información gestionada dentro de cualquier compañía, debe ser una prioridad y un procedimiento incorporado a la labor diaria dentro el ámbito empresarial, y no ser considerado como un valor agregado o accesorio que las compañías ofrecen a terceros, tal cual se ha venido pensando e implementado erróneamente por la mayoría de empresarios y encargados de la Seguridad de la Información durante los últimos años.

Las principales razones por las cuales cualquier organización o compañía debe implementar dentro de ellas las medidas jurídicas, organizativas y técnicas necesarias en materia de Seguridad de la Información son: cumplimiento de la legislación vigente, evitar sanciones, indemnizaciones o litigios por parte de las entidades de control y/o terceros afectados, evitar el menoscabo de la reputación empresarial, optimización de la gestión de la información, mejorar la gestión de calidad, continuidad del negocio, evitar gastos inesperados, posicionamiento y mayor competitividad dentro cada mercado relevante en que se desarrolle cada compañía.

Uno de los fallos en cuanto a Seguridad de la Información debe ser tenido en cuenta por las compañías es el incumplimiento legal, ya sea de alguna Ley, reglamento o resolución expedida por los órganos competentes en cada materia o sector que regule su actividad. Al hilo de lo mencionado hasta este momento se hace necesario, y más que necesario, se convierte en una obligación y/o deber por parte de las compañías el cumplir con la legislación nacional colombiana en materia de Seguridad de la Información, a saber:

Normativa supranacional.

El artículo 12 de la Declaración Universal de Derechos Humanos establece lo siguiente:

“Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques”.

Normativa Nacional.

Constitución Política de Colombia 1991. -Derechos Fundamentales-

La Constitución Política de Colombia ha señalado dentro de su contenido algunos artículos referentes al tratamiento de la información como derechos fundamentales así:

El artículo 15 reconoce a todas las personas dentro del territorio nacional el derecho de la Intimidad, buen nombre y su tratamiento de la siguiente manera:

¨ Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas.¨

¨En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución.¨

¨La correspondencia y demás formas de comunicación privada son inviolables. Sólo pueden ser interceptadas o registradas mediante orden judicial, en los casos y con las formalidades que establezca la ley.¨

¨Para efectos tributarios o judiciales y para los casos de inspección, vigilancia e intervención del Estado podrá exigirse la presentación de libros de contabilidad y demás documentos privados, en los términos que señale la ley.¨

Por su parte el artículo 20 establece lo siguiente en cuanto al derecho de libertad de expresión, pensamiento y opinión.

¨Se garantiza a toda persona la libertad de expresar y difundir su pensamiento y opiniones, la de informar y recibir información veraz e imparcial, y la de fundar medios masivos de comunicación.¨

¨Estos son libres y tienen responsabilidad social. Se garantiza el derecho a la rectificación en condiciones de equidad. No habrá censura.¨

Asimismo el artículo 21 concreta el derecho a la honra de la siguiente manera. 

¨ Se garantiza el derecho a la honra. La ley señalará la forma de su protección.¨

Actualmente la normativa colombiana más relevante a tener en cuenta en materia de Seguridad de la Información y Protección de Datos, se encuentra consagrada en las siguientes fuentes jurídicas:

Ley 527 de 1999. -Comercio Electrónico-

Esta Ley define y constituye el marco jurídico general sobre el acceso y uso de los mensajes de datos en el comercio electrónico así como la validez jurídica de firma digital. Se sustenta en principios tales como: primacía de la autonomía de la voluntad, internacionalidad, equivalencia funcional, neutralidad tecnológica entre otros.

Uno de los aspectos tratados en esta Ley señalada es la de los Principios que rigen la validez jurídica y probatoria de los mensajes de datosLa adecuada y transversal aplicación del derecho material y formal al interior de las tecnologías de la información y las comunicaciones, TIC, se faculta por medio de los siguientes principios:

  • Principio de equivalencia funcional
  • Principio de neutralidad tecnológica
  • Principio de prevalencia del derecho sustantivo preexistente

Ley 1221 de 2008. –Teletrabajo-

El objeto de esta Ley es la de promover y regular el Teletrabajo como un instrumento de generación de empleo y autoempleo mediante la utilización de tecnologías de la información y las telecomunicaciones (TIC).

Ley 1266 de 2008. -Habeas Data-

Esta ley tiene por objeto dar a conocer a todas las personas que se encuentran dentro del territorio nacional sobre el derecho constitucional de solicitar a las diferentes personas naturales o jurídicas, públicas o privadas, que tengan y/o hayan almacenado información personal, financiera, crediticia y comercial, que se encuentre alojada en las diferentes bases de datos nacionales o extranjeras, la obligación de dar a conocer, actualizar, y rectificar toda información que estas posean, reservándose el Estado la información referente a la seguridad nacional y transnacional.

Ley 1341 de 2009. TIC (Tecnologías de la Información y Comunicaciones)

Por la cual se definen principios y conceptos sobre la sociedad de la información y la organización de las Tecnologías de la Información y las Comunicaciones –TIC–, se crea la Agencia Nacional de Espectro y se dictan otras disposiciones.

Ley 1273 de 2009 -Delitos Informáticos-

Modifico el Código Penal, y creo un nuevo bien jurídico tutelado - denominado “de la protección de la información y de los datos”- derogando expresamente el delito de acceso abusivo a un sistema informático, advertido en el art 195 de la ley 599 de 2000. Y por último introduce los términos de “sistema informático”, “dato informático” y “sistema de tratamiento de información”.

En esta Ley encontramos dos capítulos sobre delitos informáticos, el primero aborda los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos (Seguridad de la Información) y los sistemas informáticos; y el segundo capítulo trata los atentados informáticos y otras infracciones.

Existen un sin número leyes y normas que aunque no se relacionen directamente con Seguridad de la Información, no son menos importantes que las ya señaladas como son todas las normas nacionales e internacionales en materia de Propiedad Intelectual, Competencia y de mas regulaciones sectoriales en diferentes ámbitos: financiero, telecomunicaciones, audiovisual, etc.

Ley 1328 de 2009. –Régimen de Protección al Consumidor Financiero-

Por medio de esta Ley el legislador estableció los principios rectores en materia de protección al consumidor financiero y su relación con las entidades vigiladas por la Superintendencia Financiera en Colombia sin perjuicio de las demás normas generales o del sector que completen las medidas de protección de los consumidores de productos entendidos como bienes o servicios financieros.

Dentro de los derechos contenidos es la presente Ley podemos resaltar en materia de Seguridad de la Información el derecho de recibir en todo momento por parte de las entidades financieras vigiladas productos y servicios con estándares de seguridad y calidad conforme a los niveles establecidos y exigidos legalmente. Asimismo es obligación de las entidades vigiladas ofrecer a sus usuarios información transparente, clara, veraz, oportuna y verificable sobre sus productos (bienes o servicios) lo que acarrea para estas entidades asumir un plan de medidas de Seguridad de la Información que garantice en todo momento dichas obligaciones. Por último otra de las tantas obligaciones que deben asumir las entidades financieras vigiladas es la de disponer de medios y controles idóneos que ofrezcan una eficiente y eficaz seguridad en las transacciones sobre la información confidencial de los consumidores financieros tanto en medios lógicos como físicos.  Nuevamente se puede observar en esta última obligación la necesidad de implantar medidas de Seguridad de la Información nos solamente técnicas y organizativas sino jurídicas.

Así mismo la Circular Externa 022 de julio 30 de 2010 es la instrucción más reciente, en la cual se establecen una serie de medidas orientadas a robustecer la seguridad y la calidad en el manejo de la información de los usuarios de las entidades financieras vigiladas en Colombia, por tal razón este instrumento debe tenerse en cuenta para el cumplimiento legal de cualquier entidad que esté obligada a cumplir e implementar dichas medidas de Seguridad de la Información.

Ley 1480 de 2011. -Nuevo Estatuto del Consumidor-

En esta Ley se establecen los derechos y obligaciones que surjan entre los productores, proveedores y consumidores en el transito normal de sus relaciones comerciales. Dentro de los derechos que se les reconocen a los consumidores se encuentran el Derecho a la Seguridad e Indemnidad establecido en el artículo 1.2 de la precitada Ley, el cual hace referencia a que ningún producto (bien o servicio) -tangible o intangible-  debe causar ningún tipo de daño dentro de las condiciones normales de uso en cuanto a la salud, vida e integridad de los consumidores. Asimismo en su artículo 1.3 se le reconoce el derecho a los consumidores de recibir Información completa, veraz, transparente, oportuna, verificable, comprensible, precisa e idónea respecto de los productos que se ofrezcan o comercialicen así como los riesgos que estos pueden generar por su consumo o utilización. Por último impone como obligación a los productores o proveedores establecer los mecanismos de protección de los derechos de los consumidores y la forma de ejercerlos.

Esta Ley menciona y establece dentro de su contenido muchos más derechos y deberes entre las relaciones comerciales de consumidores, productores y proveedores, pero en lo que   respecta a este artículo se han mencionado solo algunos artículos en cuanto a Seguridad de la Información, teniendo de presente que en todo los casos la Información debe contar con niveles de calidad, idoneidad, seguridad, establecidos y exigidos legalmente.

Conclusión

Después de identificar la importancia y relevancia que a nuestros días ostenta la Seguridad de la Información, tanto del lado de los titulares de datos o información, como de quien los tratan o utilizan, es necesario que por parte de las organizaciones o compañías se genere conciencia en la implementación de medidas jurídicas que les permita de manera cabal salvaguardar y garantizar tanto sus propios intereses (recursos, buen nombre, credibilidad y la confianza de sus clientes y terceros) como los derechos (habeas data, consumidor, etc.)  de los titulares de la información o terceros que se llegaren ver afectados por el desarrollo y gestión del objeto social de cada organización o compañía.

Para finalizar es interesante observar y tener en cuenta como durante el periodo comprendido entre marzo de 2010 a marzo de 2011, la Superintendencia de Industria y Comercio ha impuesto 86 multas por más de 1.900[2] millones de pesos por incumplimiento de la Ley 1266 de 2008 de Habeas Data a diferentes empresas en las cuales en ocasiones han sido sancionadas más de una vez incurriendo como ya se había mencionado en perdida de recursos, tiempo, reputación y clientes. Lo anterior debido a la falta de un plan de medidas jurídicas en materia de Seguridad de la Información y Protección de Datos Personales dentro de las organizaciones o compañías.

Artículo publicado en la Revista Minero Energético No. 2 - Agosto de 2012. Periódico El Nuevo Siglo.

Bibliografía

Obras impresas.

Cano, Jeimy. “El Peritaje Informático y la Evidencia Digital en Colombia”. Ediciones Uniandes. 2010.
Gonzalez, Édgar. “Comentarios a la Ley de Tecnologías de la Información y las Comunicaciones”. Universidad Externado de Colombia. 2010.

Páginas y sitios Web.

http://www.habeasdata.org.co/ Último acceso: Julio 10 de 2012 a las 17:05 de conformidad con el reloj atómico gestionado por la Superintendencia de Industria y Comercio de la República de Colombia.
http://www.secretariasenado.gov.co/ Último acceso: Julio 10 de 2012 a las 14:15 de conformidad con el reloj atómico gestionado por la Superintendencia de Industria y Comercio de la República de Colombia.
http://www.superfinanciera.gov.co/ Último acceso: Julio 11 de 2012 a las 15:52 de conformidad con el reloj atómico gestionado por la Superintendencia de Industria y Comercio de la República de Colombia.
http://www.inteco.es/ Último acceso: Julio 10 de 2012 a las 15:43 de conformidad con el reloj atómico gestionado por la Superintendencia de Industria y Comercio de la República de Colombia.

 Para mayor información visitanos en: http://legalbit.co/index.php?seccion=index
Camilo A. Vergara
Abogado - Socio
Security Legal BiT
camilo@legalbit.co
www.legalbit.co











[1] República de Colombia. Corte Constitucional Sentencia T- 375 de 1997.
[2] Disponible en Internet: http://www.habeasdata.org.co/2011/03/24/mas-de-1900-millones-de-pesos-en-multas-por-infracciones-a-la-ley-1266/ Último acceso: Julio 10 de 2012 a las 17:05 de conformidad con el reloj atómico gestionado por la Superintendencia de Industria y Comercio de la República de Colombia.

Comentarios

Publicar un comentario

Entradas populares de este blog

Plataformas tecnologícas como motor de la economía colaborativa: se deben o no regular

Camilo Vergara Cárdenas Socio Fundador de Security Legal BiT Mucho se ha hablado de los casos Uber, Airbnb, Netflix, Lending Club, Task Rabbit, Lyft y otras aplicaciones o plataformas tecnológicas que evitan la intermediación tradicional al momento de comercializar un servició o producto en nuestros días, pero esta discusión no podría centrarse solamente en casos particulares  como se ha venido haciendo hasta ahora ya que este nuevo fenómeno, si bien se ha dado a conocer a nivel local, regional y global por el impacto que estas aplicaciones o casos mediáticos han producido a los diferentes sectores comercializadores de bienes y servicios tradicionales como lo son el transporte, el sector hotelero, el de entretenimiento entre otros, merece un análisis y una discusión más profunda y general, debido a la desbordada penetración tecnológica; al cambio que el uso de Internet y las aplicaciones que en ella se soportar vienen generando en el comercio y la economía mundial. Con...
Leer más

DESAYUNO DE TRABAJO MICROSOFT COLOMBIA

Imagen
Nos permitimos invitar a que asistan al desayuno de trabajo a realizar el próximo viernes 28 de septiembre de 2012 en las instalaciones de Microsoft Colombia ubicado en la Cra. 7 No. 71 - 21 Piso 15 en Bogotá de 7:30am a 10:00am. Durante el desayuno intervendrá la Sra. María Fernanda Sepulveda, Gerente de Recursos Humanos de Suramericana, entre otros ponentes. El tema central del evento será el EL RECURSO HUMANO AL SERVICIO DE LA PRODUCTIVIDAD, TELETRABAJO, GESTIÓN POR COMPETENCIAS, INTELIGENCIA DE NEGOCIOS EN RRHH Y BIOMETRIA. Los cupos son limitados, por favor confirmar asistencia al siguiente correo agarcia@bioanywhere.com indicando nombre completo, cargo, empresa y teléfono. Para mayor información visitanos en:  http://legalbit.co/index.php?seccion=index Camilo A. Vergara Abogado I Socio Security Legal BiT camilo@legalbit.co www.legalbit.co
Leer más

PROTECCIÓN DE DATOS PERSONALES EN COLEGIOS E INSTITUCIONES EDUCATIVAS EN COLOMBIA

ADECUACIÓN Y C UMPLIMIENTO LEGAL EN EL TRATAMIENTO DE DATOS PERSONALES DE LOS MENORES DE EDAD EN LOS COLEGIOS Y CENTROS EDUCATIVOS EN COLOMBIA La adecuación y cumplimiento de la Ley Estatutaria 1581 de 2012 es una prioridad en colegios y centros educativos de Colombia de acuerdo con lo establecido en esta Ley y en las demás normas complementarias y concordantes que tratan Derechos de niños, niñas y adolescentes. La Ley de Protección de Datos Personales reconoce y garantiza a todas las personas naturales, el derecho fundamental al Habeas Data (Derecho a conocer, actualizar, y rectificar cualquier tipo de información o dato que repose en cualquier base de datos). Por lo tanto, ahora quien quiera obtener, utilizar o almacenar datos personales, debe someterse y adecuarse a las disposiciones contenidas en ésta nueva Ley Estatutaria de Protección de Datos Personales. Tratándose de menores de edad, las obligaciones para quienes obtengan, utilicen o almacenen datos personales de me...
Leer más