Читать книгу Disrupción tecnológica, transformación y sociedad - Группа авторов - Страница 13

RESUMEN

El presente capítulo tiene por objetivo explicar las amenazas digitales, su impacto en la organización empresarial y la forma en que su ocurrencia ha tratado de ser mitigada mediante la adopción de mecanismos contractuales como la toma de seguros de responsabilidad civil extracontractual para la empresa.

PALABRAS CLAVE

Datos personales, ciberataques, amenazas digitales, seguro de responsabilidad civil, tratamiento de datos personales.

ABSTRACT

The purpose of this chapter is to explain digital threats, their impact on business organization and the way in which they have been attempt to be mitigated by adopting contractual mechanisms such as liability insurance.

KEYWORDS

Habeas data, cyber-attacks, digital hazards, liability insurance, digital threats, processing of personal data.

SUMARIO. Introducción. I. Las amenazas digitales y los riesgos que implican para una organización empresarial en el marco del tratamiento de datos personales, comerciales y financieros. II. Régimen de tratamiento de datos personales, comerciales y financieros. III. Desarrollo del principio de seguridad, acceso y circulación restringida del dato personal, e implicaciones para una organización empresarial. A. Conceptualización del principio de seguridad, acceso y circulación restringida. IV. Principio de responsabilidad demostrada o principio de accountability. V. Medidas de protección de la información. VI. Responsabilidad civil de las empresas por la ocurrencia de amenazas digitales o ciberriesgos y su aseguramiento. VII. Aseguramiento de la responsabilidad civil por la ocurrencia de amenazas digitales. Funciones del seguro de responsabilidad. VIII. Aspectos generales del aseguramiento de amenazas digitales. Conclusiones. Bibliografía.

INTRODUCCIÓN

En la primera parte de este capítulo se estudian las amenazas digitales que normalmente se presentan en el ciberespacio, así como aquellas que se pueden materializar en las instalaciones físicas de las organizaciones empresariales. Estas amenazas digitales representan grandes desafíos para las organizaciones que manejan y administran datos personales de sus usuarios, sus clientes y los consumidores de sus bienes y servicios; posteriormente se presenta el régimen actual de tratamiento de datos personales y de información de carácter comercial, financiera y crediticia, los sujetos que intervienen en ella y las obligaciones que la ley ha impuesto para llevar a cabo un adecuado tratamiento de los datos. Finalmente se expone el principio de responsabilidad demostrada, así como las medidas de prevención, detección y evaluación de las amenazas digitales que deben ser adoptadas por las organizaciones, en aras de exculpar su responsabilidad de carácter administrativo ante las autoridades de protección de datos personales.

En la segunda parte se aborda el régimen de responsabilidad civil aplicable a las empresas en relación con las transacciones que realizan en el ciberespacio y, en especial, con el tratamiento de datos personales. Igualmente, se explica la importancia de que las empresas que realicen operaciones cibernéticas contemplen como parte de su gobierno corporativo políticas y procedimientos para la detección, prevención y gestión de los riesgos asociados a amenazas digitales. Estas reglas juegan un papel fundamental en el funcionamiento de la empresa, y por supuesto en la prevención de posibles hechos dañosos derivados de la responsabilidad civil por el indebido tratamiento de datos personales. Para finalizar, se exponen los principales elementos del seguro de responsabilidad civil extracontractual, cuyos amparos protegen al empresario frente a la indemnización de terceros por la vulneración del régimen de protección de datos.

Desde ya manifestamos que bajo los postulados del régimen de responsabilidad civil extracontractual no hay duda de que las empresas tienen la obligación de reparar los perjuicios causados a terceros por la vulneración del régimen legal de tratamiento de datos. De esa forma, el seguro juega un papel fundamental en la protección del patrimonio del empresario frente a la materialización de las amenazas digitales.

I. LAS AMENAZAS DIGITALES Y LOS RIESGOS QUE IMPLICAN PARA UNA ORGANIZACIÓN EMPRESARIAL EN EL MARCO DEL TRATAMIENTO DE DATOS PERSONALES, COMERCIALES Y FINANCIEROS

Con la utilización masiva de la tecnología la sociedad actual ha venido adaptándose al funcionamiento de un nuevo orden económico y social. El uso de las Tecnologías de la Información y Comunicación (TIC) ha instaurado un nuevo paradigma relacional entre las interacciones personales y sociales¹. Esta nueva realidad no solo ha impactado el relacionamiento entre las personas físicas, sino que se ha convertido en pieza esencial y fundamental para el debido funcionamiento de las organizaciones empresariales. De esa forma ha surgido un nuevo espacio de interacción en el que participan organizaciones empresariales y usuarios. Este espacio, en el que se produce un intercambio de información que en muchos casos resulta ser privada y confidencial de los usuarios, ha sido denominado por la doctrina y por distintas autoridades ciberespacio.

El ciberespacio ha sido concebido como un entorno donde interactúan personas, softwares y servicios en Internet mediante el uso de dispositivos tecnológicos que se encuentran enlazados a una red común². Este ciberespacio se caracteriza por no presentarse en una forma física concreta, sino que se entiende como un ambiente donde los intervinientes intercambian información en busca de la satisfacción de sus necesidades, y en muchas ocasiones para la prestación de servicios. Así las cosas, el ciberespacio se instituye en un ambiente en el que se intercambia información de carácter personal, comercial y financiera, y en el cual se debe brindar seguridad con el fin de dotar de confianza a los usuarios. De esa forma, para el caso colombiano, la regulación decidió situar en cabeza de las organizaciones empresariales la responsabilidad de brindar seguridad y protección a sus clientes, usuarios y consumidores en las operaciones que se puedan realizar en el ciberespacio. Esa obligación de garantía de seguridad se materializa mediante la exigencia de que las organizaciones empresariales adopten medidas físicas y administrativas ante la ocurrencia de lo que hemos denominado amenazas digitales.

Las amenazas digitales se entienden como toda acción, omisión o elemento que tiene la potencialidad de afectar la seguridad de la información, tanto en los espacios físicos y operativos de las organizaciones empresariales, como en el ciberespacio. Este concepto de amenazas digitales engloba los distintos medios que afectan directamente la seguridad de la información de una organización empresarial, por lo cual el ordenamiento colombiano ha agrupado los eventos correspondientes en ataques cibernéticos, eventos de ciberseguridad, incidentes de ciberseguridad e incidentes de seguridad³. Estas amenazas digitales pueden representar distintos riesgos para las organizaciones, y de acuerdo con su gravedad se han clasificado técnicamente en amenazas terciarias, secundarias y primarias.

Las amenazas terciarias normalmente se categorizan a su vez en ataques (referidos a un actuar determinado de un agente específico con capacidad y determinación para hacerlo), accidentes (relacionados con fallas físicas o lógicas del hardware por defecto o uso prologado) y errores (referidos a los posibles defectos de configuración, programación o respuesta del software); las amenazas secundarias disminuyen o eliminan el grado de éxito de las medidas que adopta la organización empresarial para mitigar las amenazas primarias, por ejemplo, la eliminación de la efectividad de firewalls, y las amenazas primarias evitan que se mantengan o se lleguen a establecer las medidas que mitigan las amenazas terciarias o secundarias. Al final estas amenazas digitales pueden consistir en ataques al sistema de seguridad, espionaje, sabotaje, fraudes, inserción de códigos maliciosos, y/o comprometer los medios de autenticación de los usuarios, entre otros.

En muchos casos las amenazas digitales no solo están dirigidas a afectar el funcionamiento de una organización empresarial, sino que pueden consistir en un ataque dirigido a la obtención de información de carácter personal de sus usuarios y clientes, ya sea un dato personal, o información comercial y financiera. Cuando la amenaza digital afecta específicamente los datos personales de sus usuarios, puede derivar en una responsabilidad de carácter administrativo y civil para la organización empresarial. Sin embargo, la adopción de un sistema adecuado de gestión de seguridad de los datos personales puede conllevar la exoneración de la compañía de la responsabilidad civil o administrativa. De esa forma, es necesario analizar el régimen de tratamiento de datos personales y de información comercial y financiera, y las medidas que pueden conllevar la exoneración de responsabilidad de la organización empresarial⁴.

II. RÉGIMEN DE TRATAMIENTO DE DATOS PERSONALES, COMERCIALES Y FINANCIEROS

La Ley 1266 de 2008 (conocida comúnmente como Ley de habeas data financiero) y la Ley 1581 de 2012 (conocida comúnmente como Ley de protección de datos personales) se han encargado de delimitar los conceptos base en materia de tratamiento y administración de datos personales, y aunque ambas regulaciones establecen una definición común para el concepto de dato personal como “Cualquier información vinculada o que pueda asociarse a una o varias personas determinadas o determinables”, presentan un matiz diferenciador: la Ley 1266 de 2008 construye el dato personal como un derecho personal⁵ cuya titularidad corresponde tanto a las personas naturales como a las jurídicas, es decir, el derecho al habeas data financiero; y en un sentido más limitado, la Ley 1581 de 2012 reconoce la existencia de este derecho personal exclusivamente a la persona natural, el habeas data personal.

La diferencia en la construcción del concepto de dato personal en ambas regulaciones se explica por la naturaleza de las relaciones que impactan, lo que también se refleja en la delimitación del concepto de las personas que intervienen en el tratamiento del dato personal. La ley de habeas data financiero se encamina a la protección de aquella información crediticia, comercial y financiera contenida en centrales de información públicas o privadas, que recopilan, tratan y circulan esos datos con el fin de establecer el nivel de riesgo financiero de su titular⁶. Así, la operación que ampara esta ley es el análisis del perfil financiero de cualquier participante como tomador de servicios comerciales y/o financieros, donde la naturaleza del titular le es indiferente al mercado.

De esa forma, en el régimen de habeas data financiero quienes intervienen en la relación de tratamiento del dato personal son el titular de la información, la fuente de información, el operador de información y el usuario, donde se resalta la labor de la fuente y del operador cuyas calidades pueden confluir en un solo agente⁷. La fuente y el operador son las personas que reciben, conocen, administran y ponen en conocimiento de un tercero (usuario) la información suministrada por el titular⁸. De ese modo, las principales obligaciones en el tratamiento de los datos personales en este régimen son predicables de estos dos agentes. Siendo las obligaciones de la fuente de información más de tipo formal y de verificación de la veracidad, exactitud y actualidad de la información suministrada⁹. Por su parte, si bien en el operador de la información recaen obligaciones similares, se le agregan obligaciones de carácter material, como la de garantizar el acceso a la información únicamente a las personas autorizadas o habilitadas, enfocándose principalmente en el principio de seguridad y de responsabilidad¹⁰.

De otra parte, la ley de protección de datos personales se enfoca en la protección del derecho de las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido de ellas en bases de datos o archivos, siendo esta una concepción más amplia del dato personal¹¹, y con menos especificidad que la contenida en la ley de habeas data financiero¹². Consecuentemente, se entiende el dato personal como un bien personalísimo¹³, predicable solo de la persona natural, de forma que esta normativa se acerca al doble carácter que puede tener el dato personal, como derecho personal¹⁴ y como activo o bien comercial utilizable en una organización empresarial¹⁵. Así las cosas, la ley de datos personales se preocupa del trato que se le pueda dar a la información suministrada, recolectada y estudiada al interior de una determinada organización¹⁶, el uso que esta pueda realizar de ella y la posibilidad de transferir esa información a otros agentes que intervienen en el mercado¹⁷.

En consecuencia, la ley de protección de datos personales establece un sistema de roles distinto al propuesto en la ley de habeas data financiero, por cuanto menciona al titular del dato personal, a los responsables del tratamiento del dato personal y a los encargados del tratamiento del dato personal¹⁸. Entendiendo el tratamiento como cualquier operación que implique la recolección, almacenamiento, uso, circulación o supresión del dato personal¹⁹. Consecuentemente, la ley establece que el rol de responsable lo ocupa aquella persona que decide respecto del tratamiento, siendo el encargado el colaborador del responsable que materialmente realiza el tratamiento. De esa forma, al encontrarse el encargado en una situación de delegación, como un administrador a nombre de un tercero responsable, les son predicables a ambas partes obligaciones de carácter formal y material en desarrollo de su labor, y su responsabilidad se encuentra intrínsecamente ligada, destacándose para nuestro interés los principios de circulación restringida y de seguridad del dato personal²⁰.

III. DESARROLLO DEL PRINCIPIO DE SEGURIDAD, ACCESO Y CIRCULACIÓN RESTRINGIDA DEL DATO PERSONAL, EIMPLICACIONES PARA UNA ORGANIZACIÓN EMPRESARIAL

En el apartado anterior se mencionó que en el tratamiento de los datos personales intervienen diversos sujetos a quienes la ley les ha impuesto una serie de obligaciones de carácter formal y material. Corresponde exponer en este acápite la participación del operador de la información (régimen de habeas data financiero) y del responsable y encargado del tratamiento de la información (régimen de habeas data personal), particularmente la descripción de los principios de seguridad, circulación restringida y de responsabilidad predicable a estos sujetos involucrados en el tratamiento de los datos personales, comerciales y financieros.

A. CONCEPTUALIZACIÓN DEL PRINCIPIO DESEGURIDAD, ACCESO Y CIRCULACIÓN RESTRINGIDA

Tanto la Ley 1266 de 2008 como la Ley 1581 de 2012 consagran principios que son comunes para realizar un adecuado tratamiento de los datos personales. En el artículo 4.º común a ambas normativas se consagra el principio de seguridad consistente en la garantía que se debe brindar al tratamiento de datos, lo que demanda adoptar las medidas necesarias para garantizar la seguridad de los registros con el fin de evitar la adulteración, pérdida, consulta o uso no autorizado o fraudulento de los datos personales²¹. De igual forma, en el artículo 4.º de la Ley 1581 de 2012, y de la mano del principio de seguridad, encontramos el principio de acceso y circulación restringida, el cual le da el derecho al titular de la información de decidir quiénes pueden acceder a su información, así como el derecho de que sus datos personales no se den a conocer en medios de divulgación masiva a terceros no autorizados²².

De esa forma, estos principios consagran unos parámetros de garantía de uso adecuado para la información suministrada por el titular en cabeza de los responsables y encargados del tratamiento de datos personales. El titular está legitimado para saber cuáles datos han sido suministrados, conocidos y deducidos por una determinada organización empresarial, y el uso que se hace de ellos, así como su transferencia a terceros ajenos a su organización. Estos datos se convierten en un activo intangible cuyo uso y aprovechamiento otorgan una ventaja competitiva que se transforma en ingresos para la organización empresarial que los explota²³, como ocurre con la predicción de los comportamientos del consumidor para fines de marketing comercial o político²⁴.

En ese tipo de actividades de análisis de datos se presenta una mayor ocurrencia de amenazas digitales que incluyen el acceso a información caracterizada como dato personal, y que se traducen en su uso para fines distintos a los autorizados por el titular²⁵. Así se refleja en el conocido caso de Cambridge Analytica, en el que, según la autoridad de protección de datos colombiana, a través de la aplicación thisisyourdigitallife se pudieron haber utilizado indebidamente los datos personales de más de 50 millones de usuarios de Facebook. En la misma decisión la autoridad colombiana de protección de datos advirtió que, a través del uso de aplicaciones en la plataforma social, se pudo haber influenciado y manipulado el comportamiento de los titulares de datos personales con las llamadas noticias falsas²⁶.

De esa forma, los principios de seguridad, acceso y circulación restringida son los mecanismos idóneos para exigir a los operadores de información, responsables y encargados del tratamiento personales²⁷, la adopción de acciones afirmativas de prevención, protección y detección de amenazas digitales, destacando las autoridades de protección de datos que el principio de seguridad debe operar por la simple realización del tratamiento de datos²⁸. En ese sentido, el principio de seguridad demanda la adopción de medidas que no estén condicionadas a la existencia de un daño o perjuicio para los derechos de los titulares de los datos personales –deber de prevención en el tratamiento de los datos personales–²⁹.

Los principios de seguridad, circulación y acceso restringido constituyen la base de la exigencia de acciones positivas de carácter preventivo y reactivo a los operadores de información, responsables y encargados del tratamiento de datos ante una eventual o actual amenaza digital que afecte datos personales, comerciales y financieros³⁰. De la misma forma, son el fundamento del régimen de responsabilidad administrativa en materia de tratamiento de datos personales, comerciales y financieros, conocido como principio de responsabilidad demostrada o principio de accountability.

IV. PRINCIPIO DE RESPONSABILIDAD DEMOSTRADA O PRINCIPIO DE ACCOUNTABILITY

El principio de responsabilidad demostrada, o principio de accountability³¹, está consagrado en el artículo 26 del Decreto 1377 de 2013^[32] y se traduce en la exigencia de que:

[…] los responsables y encargados del tratamiento de datos, implementen medidas apropiadas, efectivas y verificables que les permitan probar el correcto cumplimiento de las normas sobre tratamiento de datos personales (Remolina y Álvarez, 2018: 28).

A pesar de ser una prerrogativa predicable de todas las organizaciones empresariales, su aplicación no es predicable en igual medida de todas ellas. El artículo 26 citado establece criterios de graduación de las medidas a adoptar y de la responsabilidad exigible a los responsables del tratamiento³³. En los términos del artículo mencionado, para juzgar la responsabilidad de las personas que realicen el tratamiento se debe tener en cuenta el tamaño empresarial de la organización, la naturaleza de los datos personales, el tipo de tratamiento y los riesgos potenciales que el tratamiento pueda causar a sus titulares. De esa forma, las medidas de protección dependen del riesgo que implique el tratamiento de los datos personales al interior de la organización, y demandará que estén documentadas para demostrar su adopción, siendo necesario también poder demostrar su aplicación³⁴.

V. MEDIDAS DE PROTECCIÓN DE LA INFORMACIÓN

Como se ha visto, el principio de accountability demanda la implementación de medidas concretas y efectivas para la prevención y defensa de las amenazas digitales en materia de protección de datos personales. Sin embargo, hasta el momento no se ha mencionado cuáles son esas medidas y qué naturaleza tienen. Fue en desarrollo de esa preocupación, y con la idea de generar uniformidad y estandarización de las medidas técnicas, administrativas y humanas para los responsables del tratamiento de datos personales, que la Superintendencia de Industria y Comercio expidió una guía para el desarrollo del principio de responsabilidad, la cual contiene medidas básicas y estructurales para la debida protección de los datos personales, entre ellas, la construcción de un Programa Integral de Gestión de Datos Personales (PIGD) que deben implementar las organizaciones empresariales con el fin de mitigar, detectar y solucionar las amenazas digitales que afecten los datos personales³⁵.

El PIGD, en concordancia con el artículo 27 del Decreto 1377 de 2013 y con otras recomendaciones de entidades de vigilancia, exige adoptar varias medidas³⁶ que se pueden clasificar en tres grandes grupos: i) medidas administrativas tendientes a establecer una estructura interna administrativa y de políticas y mecanismos para el funcionamiento del programa de gestión de protección de datos; ii) medidas técnicas y operacionales que conllevan a la protección física y jurídica de los datos personales, y iii) medidas tendientes a verificar el cumplimiento del plan de gestión de datos y su actualización conforme a las necesidades que surjan al interior de la organización y a los riesgos identificados con anterioridad³⁷.

De esa forma, el primer grupo de medidas administrativas y de adopción de políticas para el adecuado funcionamiento del programa incluye:

– Establecer una estructura administrativa proporcional a la estructura y tamaño empresarial del responsable, para la adopción e implementación de políticas de tratamiento de datos.

– Adoptar mecanismos internos para poner en práctica las políticas, incluyendo herramientas de implementación, entrenamiento y programas de educación. De esta forma, debe comprometer recursos económicos y humanos para el desarrollo de estos mecanismos internos.

– Designar personal, o acudir a un área encargada –oficial de protección de datos– con el fin de vigilar el cumplimiento de las políticas y programas, y de informar a la dirección de la organización empresarial su estatus. Adicionalmente esa área se encargará de cumplir obligaciones concretas, tales como mantener un inventario de las bases de datos –con especial cuidado de las referentes a menores de edad–, inscribir en el registro nacional de bases de datos la información, revisar los contratos de transmisión con encargados del tratamiento, integrar las políticas de protección de datos personales con las políticas de la organización empresarial.

– Contar con la autorización del titular para la recolección de los datos personales, así como preservar copia de la misma.

– Adoptar una política de tratamiento de datos en la que se expongan aspectos tales como, la finalidad, la forma en que se realizará, los mecanismos de acceso y corrección del titular de la información, los mecanismos de quejas, denuncias y reclamos, entre otros.

– Exigir a los terceros encargados el cumplimiento de su política de tratamiento de datos particularmente en el ejercicio de las actividades de marketing, mercadotecnia y publicidad³⁸.

– Desarrollar una evaluación de impacto en la privacidad del ejercicio de actividades de marketing, mercadotecnia y publicidad, con el fin de poner en funcionamiento un sistema efectivo de manejo de riesgos y controles internos³⁹.

– Adoptar procesos para la atención y respuesta de las consultas, peticiones y reclamos de los titulares de los datos personales con respecto a cualquier aspecto del tratamiento.

Este grupo de medidas se caracteriza por ser de carácter preventivo y constituye los requisitos mínimos administrativos y estructurales con los que una organización empresarial debe contar para lograr el adecuado tratamiento de los datos personales. Como se observa, se enfocan en la mitigación de los riesgos derivados de un indebido tratamiento, en contar con políticas de tratamiento de datos personales, en un proceso claro de autorización de los titulares, en un sistema de reclamos adecuado, así como en la designación de un área que monitoree su tratamiento al interior de la organización. Lo anterior permite que, ante una eventual investigación administrativa, prima facie, la organización empresarial pueda demostrar una debida diligencia desde el punto de vista administrativo. Sin embargo, como se expuso al inicio de este apartado, es necesario no solo demostrar la adopción de estos requisitos, sino una aplicación debida de cada uno de los procedimientos implementados por la organización empresarial.

De otra parte, existen medidas operacionales y técnicas llamadas a proteger de manera efectiva los datos personales⁴⁰, pues de nada sirve para una organización empresarial contar con un equipo que se encargue de monitorear el tratamiento de la información, con políticas de tratamiento adecuadas y con un sistema de reclamos y quejas, si no adopta medidas técnicas que garanticen la protección de los datos personales y que respondan a un sistema de administración de riesgos propio del tratamiento de datos y acorde con la estructura organizacional, los procedimientos internos asociados, la cantidad de bases de datos y los tipos de datos personales tratados⁴¹.

Este sistema de gestión de riesgos debe permitir a la organización empresarial identificar, medir, controlar y monitorear todas aquellas circunstancias que puedan constituir amenazas digitales⁴². En el proceso de identificación la guía de la Superintendencia Industria y Comercio indica que es necesario documentar los procesos que se implementan para el ciclo de vida de los datos personales, la metodología de identificación de los riesgos, así como los riesgos e incidentes ocurridos. Así las cosas, la identificación y clasificación de los riesgos, así como la adopción de las medidas técnicas para mitigarlos constituyen los fundamentos del principio de responsabilidad demostrada⁴³.

De otra parte, la medición se refiere a la probabilidad de ocurrencia de los riesgos y al impacto de su concreción, y el control se relaciona con las acciones positivas que se toman para mitigar y/o controlar los riesgos⁴⁴, específicamente las medidas operacionales, técnicas y tecnológicas que se adoptan al interior de la organización empresarial, tales como⁴⁵:

– Limitar el acceso autorizado a la información, a las instalaciones físicas, a los equipos y a la información en general;

– Asegurar que los equipos de la compañía que contienen o almacenan datos cuenten con un debido registro con el fin de garantizar la disponibilidad, integralidad y confidencialidad de la información⁴⁶;

– Implementar un sistema que permita que el acceso a las bases de datos lógicas, o a la información en formato lógico, lo realicen usuarios identificados y autorizados, y utilizar mecanismos de autenticación⁴⁷. En estos casos las contraseñas se deben almacenar de manera cifrada y de forma segura;

– Limitar el acceso al usuario que conoce la información al ejercicio de sus actividades;

– Adoptar acciones para la adquisición, operación y mantenimiento de sistemas seguros⁴⁸;

– Contar con certificaciones de seguridad para productos específicos de distintos fabricantes;

– Cifrar los datos en tránsito cuando se autentique a los usuarios o se transfiera información personal⁴⁹;

– Poner a disposición de los usuarios un test de solidez de las contraseñas (comprobación de entropía)⁵⁰;

– Mantener los datos de producción (información real) separados de los datos de prueba (información ficticia utilizada para desarrollar y probar aplicaciones de los sistemas TI)⁵¹, y

– Contar con certificados SSL/TLS en los sitios web⁵².

La etapa final en el sistema de gestión de riesgos consiste en medir, monitorear y verificar la efectividad de los mecanismos adoptados durante la etapa de control de los riesgos de las amenazas digitales. Es una etapa de auditoría interna que, mediante el establecimiento de indicadores de gestión efectiva, le permite a la organización empresarial detectar y corregir las deficiencias en la gestión del riesgo para el tratamiento de los datos personales. Esta etapa de auditoría se concreta en las siguientes obligaciones para el responsable del tratamiento:

– Desarrollar un plan de revisión, evaluación y control del PIGD mediante la presentación de informes al responsable del tratamiento al interior de la organización, así como a los accionistas y miembros de junta directiva, dejándolos documentados. Esta obligación también permite identificar cuáles han sido las últimas amenazas digitales y si se han adoptado mecanismos que respondan a ellas. Lo anterior conlleva también un análisis de las brechas de información, la diferencia de las medidas de seguridad existentes y aquellas faltantes, así como su implementación⁵³.

– Reportar a la autoridad de tratamiento de datos⁵⁴ los incidentes de seguridad que se presenten al interior de la organización, que impliquen una vulneración de las medidas de protección y que hayan generado una posible fuga o escape de los datos personales a cargo del responsable del tratamiento.

De esta forma, la implementación de medidas de carácter preventivo, tales como la adopción de políticas de tratamientos de datos, la aplicación de medidas operacionales y técnicas para la protección de los datos personales, y las medidas tendientes a evaluar el modelo de gestión de las amenazas digitales conforman el principio de responsabilidad demostrada. Así, una aplicación adecuada de estas medidas le permite al responsable demostrar el cumplimiento de la normativa que regula el tratamiento de datos personales a pesar de haberse presentado una amenaza digital al interior de su organización empresarial⁵⁵. De esa manera, bajo algunas circunstancias, esta situación le permite probar su exoneración en el campo de la responsabilidad administrativa, pero representa un gran reto para el estudio de la responsabilidad civil cuyo riesgo busca disminuir la organización empresarial mediante la adopción de seguros de responsabilidad civil, los cuales serán objeto de estudio más adelante.

VI. RESPONSABILIDAD CIVIL DE LAS EMPRESAS POR LA OCURRENCIA DE AMENAZAS DIGITALES O CIBERRIESGOS⁵⁶ Y SU ASEGURAMIENTO

La discusión de la importancia de la responsabilidad civil derivada de las amenazas digitales no es reciente. Hace ya más de una década se han evidenciado casos de ciberataques a nivel mundial. Por mencionar algunos, en 2014 Sony Pictures sufrió pérdidas de más de USD 200 millones por un ciberataque en el cual fue sustraída información sensible y confidencial, desde la nómina del presidente hasta películas que en su momento no se habían estrenado; y en 2016 la reconocida empresa londinense Tesco Bank sufrió un ataque informático que afectó aproximadamente a 40.000 de sus clientes, a quienes tuvo que devolver el dinero sustraído de manera fraudulenta, y adicionalmente fue multada con 16.4 millones de libras por no tener las medidas de seguridad necesarias para prevenir ese tipo de ciberataques⁵⁷.

Las grandes empresas no son las únicas afectadas. Las pymes también son objetivo de los ciberdelincuentes. Un estudio conducido por el Ponemon Institute analizó cómo en Reino Unido y Estados Unidos las pequeñas y medianas empresas afrontaron durante 2018 los ciberataques y concluyó principalmente que el 67% de las empresas sufrió un ciberataque, y que un 58% reportó un data breach, a raíz de lo cual destinaron USD 1.43 millones para reparar los ciberataques, y USD 1.56 millones por la interrupción del negocio. Finalmente, se evidenció que algunas de las empresas no pudieron recuperarse d los perjuicios ocasionados por el incidente⁵⁸.

Por ello, las empresas son cada vez más conscientes de la importancia de protegerse de ese tipo de peligros. En un estudio realizado por una reconocida reaseguradora, y frente a la pregunta: ¿Cómo valoraría usted los peligros potenciales en su organización derivados de riesgos cibernéticos?, se reveló que el 20% de las empresas encuestadas declaró ese tipo de riesgos como extremadamente serios, el 56% como serios, el 22% como moderados, y el 2% como reducidos⁵⁹, lo cual muestra que las empresas deben materializar en sus políticas y procedimientos la forma como van a prevenir, gestionar y tratar las amenazas digitales. Hoy en día difícilmente podrían considerarse políticas de gobierno corporativo que no tengan en cuenta la gestión de las amenazas digitales, pues su papel es fundamental porque la tendencia demuestra que la regulación de la seguridad cibernética se verá reforzada y se centrará más en las acciones preventivas tomadas por las empresas, más allá del protocolo posterior al incidente⁶⁰.

Dichos lineamientos son obligatorios para determinados sectores económicos, como ocurre con el sector financiero, en el cual, bajo el régimen de la administración de riesgos operativos, se regulaban los parámetros mínimos para la seguridad informática; sin embargo, ese régimen presentaba una deficiencia: no tenía en cuenta los avances tecnológicos. De forma que con el auge de la digitalización y la masificación del uso de canales electrónicos⁶¹ surgió la necesidad de complementar y robustecer dichos parámetros. Así, mediante la Circular 007 de 2018 la Superintendencia Financiera de Colombia impartió la obligación para las entidades vigiladas de adoptar políticas, procedimientos y recursos técnicos y humanos a fin de gestionar de manera efectiva la ciberseguridad y contrarrestar “posibles resultados negativos derivados de fallas en la seguridad de los sistemas tecnológicos o asociados a ataques cibernéticos”.

La efectividad de las políticas que contienen los procedimientos y las responsabilidades para la adecuada gestión de los riesgos inherentes a la ciberseguridad corresponde a la administración de la compañía, por conducto de su junta directiva, la cual debe aprobar el contenido de dichas políticas y, además, estar debidamente informada respecto de los resultados de la gestión del ciberriesgo mediante un reporte semestral presentado por el responsable de seguridad de la información en la compañía. Este informe debe describir la evaluación de la confidencialidad e integralidad de la información, la detección de ciberamenazas, los resultados de las pruebas de efectividad y los resúmenes de los incidentes de ciberseguridad.

Como se puede observar, el sector financiero ha tomado medidas importantes para asegurar que sus entidades adopten medidas para prevenir los ciberataques, y apliquen políticas robustas frente a ese asunto. En conclusión, el gobierno corporativo de las empresas juega un papel primordial en la adopción temprana de políticas y procedimientos para la gestión de riesgos cibernéticos con el fin de minimizar los efectos nocivos de los posibles perjuicios que se puedan causar a terceros por amenazas digitales.

A continuación se presenta, en términos generales, el régimen de responsabilidad civil extracontractual de las empresas por la ocurrencia de amenazas digitales, en especial aquellas relacionadas con el tratamiento de datos personales. Posteriormente se explican los elementos del seguro de responsabilidad civil como instrumento clave en la protección del patrimonio de la empresa frente a la materialización de amenazas digitales.

VII. ASEGURAMIENTO DE LA RESPONSABILIDAD CIVIL POR LA OCURRENCIA DE AMENAZAS DIGITALES. FUNCIONES DEL SEGURO DE RESPONSABILIDAD

De manera preliminar es importante aclarar que la intención de este acápite no es abordar ampliamente el régimen general de responsabilidad civil puesto que existen infinidad de tratados sobre la materia y, además, porque desborda el objeto de esta investigación.

Con base en el artículo 2341 del Código Civil colombiano, todo aquel que cometa un delito o culpa, y que provoque un daño a otro está obligado a indemnizarlo. Este principio fundamental rige la responsabilidad civil de las empresas, ya sea bajo el título de imputación objetiva o subjetiva. Por defecto, el daño proveniente de actividades peligrosas no será abordado en el estudio del seguro de responsabilidad civil, teniendo en cuenta que la definición del riesgo asegurado relacionado con las amenazas digitales no se cataloga como una actividad peligrosa y, por tanto, no se rige por las reglas propias de un régimen objetivo de responsabilidad. En relación con el régimen de imputación subjetiva, que comprende el dolo y culpa, se anticipa que, conforme al artículo 1055 del Código de Comercio⁶², el dolo no es un riesgo asegurable por lo que aquí únicamente se tratará el régimen subjetivo de responsabilidad civil basado en la culpa.

Como institución jurídica, la responsabilidad civil proporciona un escenario de incertidumbre tanto para el responsable del daño como para la víctima, por cuanto el resarcimiento depende primordialmente de la capacidad económica personal del agente generador. Por ello, y sin dejar de reconocer la importancia de la responsabilidad civil en la protección de las víctimas de la ocurrencia de un daño, ya sea contractual o extracontractual, como instrumento financiero el seguro cumple un rol fundamental en coadyuvar a la eficacia de las normas que regulan la responsabilidad civil⁶³.

En especial, se trata del seguro de responsabilidad civil, el cual:

… impone a cargo del asegurador la obligación de indemnizar los perjuicios patrimoniales que cause el asegurado con motivo de determinada responsabilidad en que incurra de acuerdo con la ley y tiene como propósito el resarcimiento de la víctima, la cual, en tal virtud, se constituye en el beneficiario de la indemnización, sin perjuicio de las prestaciones que se le reconozcan al asegurado. Son asegurables la responsabilidad contractual y la extracontractual, al igual que la culpa grave, con la restricción indicada en el artículo 1055^[64].

Y cuya finalidad está marcada no solo por la protección del patrimonio del responsable del daño, sino también por la protección de la víctima. Incluso la doctrina ha llegado a reconocer que prima la finalidad de protección a la víctima:

… es un hecho cumplido que la protección de la víctima se ha convertido en la razón de ser del seguro de responsabilidad civil en Colombia, puesto que por diáfana referencia legislativa (C. de Co., art. 11227), este negocio jurídico asegurativo tiene “como propósito el resarcimiento de la víctima”⁶⁵.

Sin duda, la función del seguro es fundamental en la gestión de los riesgos relacionados con amenazas digitales. Algunos doctrinantes han resaltado que la función reparadora del seguro le ha permitido al ser humano enfrentar riesgos de diversa índole que gravitan sobre su patrimonio, como ocurre con la necesidad emergente de las nuevas tecnologías que han llevado al asegurador a crear productos de seguros que asumen riesgos tecnológicos⁶⁶.

En efecto, la función reparadora y proteccionista del seguro en relación con el patrimonio del asegurado no tiene discusión alguna. No obstante, actualmente las aseguradoras ofrecen junto con las pólizas de responsabilidad civil extracontractual programas de prevención y gestión de riesgos de amenazas digitales para que las empresas cuenten con asesoría de expertos y puedan implementar procedimientos adecuados de gestión de riesgos. Por lo anterior, en alguna medida, se podría entender que el seguro también cumple una función de prevención frente a la ocurrencia de ese tipo de riesgos⁶⁷. Por supuesto no se discute que la función primigenia del seguro es reparadora, no obstante, es innegable la manera en que el mercado asegurador ha encontrado soluciones comerciales que le permiten posicionar sus productos, lo cual, en la mayoría de los casos está apoyado en la gestión del corredor de seguros, quien tiene una función fundamental de asesoría y acompañamiento al prospecto asegurado.

VIII. ASPECTOS GENERALES DELASEGURAMIENTO DE AMENAZAS DIGITALES

A continuación se desarrollan los principales aspectos de ese tipo de seguro y su incidencia en el aseguramiento de amenazas digitales, con la salvedad de que con la complejidad que trae consigo la tecnología resulta prácticamente imposible ir un paso adelante en la regulación que se deriva de las amenazas digitales inherentes al uso de sistemas de información.

a) Riesgo asegurable: es considerado como “la responsabilidad civil eventual en que incurre el asegurado cuando ocasiona un daño patrimonial a un tercero”⁶⁸. Para el seguro de responsabilidad civil de que se trata, el riesgo se define en términos generales como las conductas u omisiones de terceros y/o empleados de la empresa que puedan generar afectaciones en los sistemas de información de la empresa.

Actualmente las aseguradoras están dedicadas a diseñar productos cuya finalidad es principalmente asumir los riesgos de las empresas que utilizan medios tecnológicos, ya sea para prestar sus servicios al público o para su funcionamiento interno. La manera en que se redacte el clausulado de las pólizas depende de la política de asunción de riesgos de la aseguradora, y al entender que en el seguro de responsabilidad civil están incluidos los riesgos inherentes al mismo, las aseguradoras son muy selectivas en establecer qué tipos de riesgos específicos cubren. Es por ello que, por regla general, dichos seguros se diseñan bajo la estructura de una póliza de riesgos nombrados, la cual describe taxativamente los hechos objeto de cobertura como primera forma de amparo de riesgos derivados de amenazas digitales. Los riesgos más comunes son⁶⁹:

– Errores que afecten la seguridad de la información;

– Cualquier violación de seguridad de datos;

– Cualquier incidente cibernético que ocurra en el sistema cibernético del asegurado o de sus proveedores;

– Reclamaciones de terceros por la violación de seguridad de datos confidenciales o personales;

– Reclamaciones de terceros por un incidente cibernético (p. ej., virus) en el sistema informático, que constituya una violación a la seguridad de los datos, como el robo o la denegación del servicio;

– Gastos por la recuperación de activos digitales producidos por un incidente cibernético o por una extorsión cibernética;

– Honorarios de los abogados por investigaciones oficiales contra el asegurado por la responsabilidad derivada de cualquier incidente cibernético o violación de seguridad de datos;

– Gastos forenses en los que incurra el asegurado en la investigación de un incidente cibernético, y

– Interrupción del negocio durante el período de vigencia de la póliza.

Es importante aclarar que en el mercado existen productos de seguros que únicamente contienen coberturas para la protección del tratamiento de datos personales, lo cual fue abordado en la primera parte de este artículo. Sin embargo, frente al amplio universo de transacciones que se realizan en el ciberespacio, las empresas prefieren optar por productos de seguros integrales que ofrezcan coberturas que abarquen, en mayor medida, dichas transacciones y no exclusivamente las relacionadas con el tratamiento de datos personales.

Este esquema de póliza de riesgos nombrados podría ser reemplazado por una póliza todo riesgo, como una segunda forma de amparo de riesgos derivados de amenazas digitales. En ese tipo de póliza los intereses asegurables están cubiertos en el evento de pérdida derivada del riesgo, a no ser que se encuentre expresamente excluida. Sin duda, esa modalidad de póliza genera mayor confianza para el asegurado y claridad en relación con los riesgos que está trasladando a la aseguradora⁷⁰. No obstante, la tendencia en el mercado asegurador con relación a los riesgos asociados a las reclamaciones de terceros por la vulneración de la regulación de habeas data, o cualquier otro conexo con la responsabilidad civil extracontractual de las empresas, es regularlos en la modalidad de riesgos nombrados, justamente por la amplitud de hechos dañosos que se podrían configurar bajo el esquema general de ese tipo de responsabilidad.

Igualmente, con este seguro de responsabilidad civil se entiende asegurada la culpa grave en los términos del artículo 1127 del Código de Comercio, el cual consagra:

El seguro de responsabilidad civil impone a cargo del asegurador la obligación de indemnizar los perjuicios patrimoniales que cause al asegurado con motivo de determinada responsabilidad en que incurra de acuerdo con la ley y tiene como propósito el resarcimiento de la víctima, la cual, en tal virtud, se constituye en el beneficiario de la indemnización, sin perjuicio de las prestaciones que se le reconozcan al asegurado. Son asegurables la responsabilidad contractual y la extracontractual, al igual que la culpa grave, con la restricción indicada en el artículo 1055.

Al remitirse al artículo 1055 del Código de Comercio resulta palmaria la falta de técnica legislativa teniendo en cuenta que el mismo texto describe la culpa grave como un riesgo inasegurable. Por lo anterior, se entiende que la culpa grave se constituye como una excepción al artículo 1055 del Código de Comercio, y tal como lo hemos expresado anteriormente, si el asegurador pretende que la misma no sea objeto del seguro debe excluirla expresamente. Adicional al problema de técnica legislativa de la norma transcrita, la misma no define la culpa grave, por lo cual la calificación de la culpa como grave o no grave le corresponderá en cada caso a las partes y al juzgador determinar cuándo se podría hablar de culpa grave o no⁷¹.

Finalmente, es importante mencionar que los ciberataques que conlleven la violación de normas de protección de datos y en consecuencia se vean expuestos a la imposición de una sanción administrativa por la autoridad competente no podrán ser objeto del seguro de responsabilidad civil con fundamento en la prohibición del artículo 1055 del Código de Comercio, el cual consagra:

“El dolo, la culpa grave y los actos meramente potestativos del tomador, asegurado o beneficiario son inasegurables. Cualquier estipulación en contrario no producirá efecto alguno; tampoco lo producirá la que tenga por objeto amparar al asegurado contra las sanciones de carácter penal o policivo” (cursiva fuera de texto).

b) Valor asegurado: existe una problemática constante para definir sumas aseguradas que puedan solventar suficientemente los posibles daños que se puedan ocasionar a terceros. Es imposible determinar a futuro la potencialidad de los daños que se puedan presentar y, por ende, contar con un contrato de seguro con la definición de un riesgo puro. La profesora Hilda Zornosa ha manifestado que al momento de suscribir la póliza de responsabilidad civil no se está en condiciones de conocer los valores asegurados que sean suficientes para cubrir el posible daño que se pueda generar en el marco de la póliza. Dicha situación se sensibiliza en relación con los daños de carácter tecnológico que “pueden ser seriados, masivos, irreversibles”⁷².

c) Interés asegurable: el seguro de responsabilidad civil extracontractual se define como la protección del patrimonio del asegurado. Se considera que es un seguro de carácter patrimonial porque se protege el patrimonio del causante del daño como universalidad⁷³ y no sus bienes particulares.

d) Obligación condicional del asegurador: se ve materializada con la ocurrencia del siniestro, esto es, la realización de alguno de los supuestos que se mencionaron en el listado de los riesgos que comúnmente se encuentran en ese tipo de pólizas de responsabilidad civil extracontractual, que el artículo 1131 del Código de Comercio define como:

En el seguro de responsabilidad civil se entenderá ocurrido el siniestro en el momento que acaezca el hecho externo imputable al asegurado, fecha a partir de la cual correrá la prescripción respecto de la víctima. Frente al asegurado ello ocurrirá desde cuando la víctima le formula la petición judicial o extrajudicial.

Frente a las discusiones relacionadas con la configuración del siniestro la controversia concluyó, por cuanto atañe al momento de la realización del hecho dañoso que, para este caso, correspondería a las reclamaciones de terceros por la violación de la seguridad de los datos confidenciales o personales, pues es justamente en ese momento que se “genera el débito de responsabilidad”⁷⁴. Otras tesis sostienen que en ese tipo de seguros el siniestro se puede configurar con el reclamo del asegurado ante la aseguradora, con la liquidación del siniestro o con la sentencia del juez que declare la responsabilidad de la aseguradora. Como se señaló, para que al asegurado le asista el derecho de presentar la reclamación ante la aseguradora, el siniestro solo requiere la realización de los hechos descritos como asegurables en la póliza correspondiente.

Sin perjuicio de sus limitaciones, el seguro de responsabilidad civil extracontractual tiene el potencial de proteger el patrimonio de los empresarios frente a la realización de amenazas digitales. Igualmente, su eficiencia también depende del gobierno corporativo de la empresa, el cual, como parte de la gestión adecuada de riesgos, debería incluir como política la adquisición de ese seguro.

CONCLUSIONES

Las amenazas digitales representan un gran desafío para las organizaciones empresariales. La forma en que estas se materializan y se transforman demanda una inversión en tiempo y dinero. Las amenazas digitales afectan no solo el funcionamiento de una organización empresarial, sino que pueden consistir en un ataque dirigido a la obtención de información de carácter personal de los usuarios y clientes, la cual es considerada un dato personal, o su información comercial y financiera, y es allí donde se ha centrado la preocupación de las autoridades gubernamentales.

El Estado colombiano ha diseñado un sistema de protección de datos personales y de información financiera, comercial y crediticia centrado en la garantía del derecho al habeas data personal y habeas data financiero, donde predomina la garantía del dato personal como un derecho constitucional. Esto ha llevado a construir un sistema que se sustenta en el principio de responsabilidad demostrada, lo que demanda una carga administrativa, humana, técnica y financiera para las organizaciones empresariales en la adopción de medidas que garanticen su efectividad. De la misma forma, ha centrado la responsabilidad de las medidas en los operadores de la información crediticia, comercial y financiera, y en los responsables y encargados del tratamiento de los datos personales.

Sin embargo, el sistema de protección de datos personales y de información comercial, financiera y crediticia tiene en cuenta las condiciones particulares de las organizaciones empresariales, sin llegar a establecer un sistema estándar exigible por igual a cada una de ellas. Para juzgar la responsabilidad de las personas que realicen el tratamiento se tendrá en cuenta el tamaño empresarial de la organización, la naturaleza de los datos personales, el tipo de tratamiento y los riesgos potenciales que el tratamiento pueda causar a sus titulares.

Un sistema adecuado de protección de datos personales se sustenta en la prevención, detección y adopción de medidas futuras para la corrección y adaptabilidad a las nuevas amenazas digitales. La implementación de medidas de carácter preventivo, tales como la adopción de políticas de tratamientos de datos, así como la aplicación de medidas operacionales y técnicas para la protección de los datos personales, y las medidas tendientes a evaluar el modelo de gestión de las amenazas digitales, conforman el principio de responsabilidad demostrada.

El seguro de responsabilidad civil extracontractual juega un papel fundamental en la protección del patrimonio del empresario frente a la materialización de los riesgos cibernéticos, cuyas pérdidas puede generarle desde la interrupción del negocio hasta un estado de insolvencia. Sin embargo, tiene ciertas limitaciones que deben ser tenidas en cuenta por el empresario como, por ejemplo, a) la definición de las sumas aseguradas, las cuales podrían llegar a ser insuficientes para indemnizar los daños que se puedan generar, y b) la tendencia en el mercado asegurador de expedir pólizas de riesgos nombrados para ofrecer coberturas frente a las reclamaciones de terceros por la vulneración de la regulación de habeas data, o cualquier otro hecho relacionado con la responsabilidad civil extracontractual de las empresas, lo que ha causado una disminución en la expedición de pólizas todo riesgo de responsabilidad civil extracontractual, en las cuales los intereses asegurables derivados de la ocurrencia de una amenaza digital estarían cubiertos, a no ser que se encuentre expresamente excluido su aseguramiento.

BIBLIOGRAFÍA

AMAMOU, S.; Z. TRIFA yM. KHMAKHEM. “Data protection in cloud computing: A Survey of the State-of-Ar”, Procedia Computer Science, vol. 159, 2019.

BOANTĂ, A. “The role of the national authority in protecting personal data”, Juridical Current, vol. 22 (4), 2019.

CANO, M. y J. JEIMY. “De los incidentes de seguridad en la gestión de la protección de datos personales y la Industria 4.0”, V Congreso de Protección de Datos Personales, 2017, disponible en [https://www.sic.gov.co/sites/default/files/files/5to_Congreso_de_Proteccion_de_Datos/incidentes-de-seguridad-proteccion-datos.pdf].

CONCELLÓN F., P. “El concepto de dato personal en la Unión Europea: una pieza clave en su protección”, Revista General de Derecho Europeo 46, 2018.

DÍAZ-GRANADOS O., J. M. El seguro de responsabilidad civil, Bogotá, Universidad del Rosario, 2006.

DIJKA, N.; A. TANASA, K. ROMMETVEITC y C. RAAB. “Right engineering? The redesign of privacy and personal data protection”, International Review of Law, Computers & Technology, vol. 32, 2018, 2-3.

FRIGERIO D., C. “Mecanismos de regulación de datos personales: una mirada desde el análisis económico del derecho”, Revista Chilena de Derecho y Tecnología, vol. 7, 2018, 2.

GEYER-SCHULZ, A. y V. SCHWEIGERT. “The Impact of the General Data Protection Regulation on the Design and Measurement of Marketing Activities: Introducing Permission Marketing and Tracking for Improved Marketing & CRM Compliance with Legal Requirements”, Journal of Marketing Development and Competitiveness, vol. 13(4) 2019.

INAI. “Medidas de seguridad en los datos personales”, UAEM, 2015, disponible en [http://metabase.uaem.mx/bitstream/handle/123456789/2526/4%20Medidas%20de%20seguridad%20en%20los%20datos%20personales.pdf?sequence=1].

JARAMILLO, C. I. Derecho de seguros: estudios y escritos jurídicos, Bogotá, Pontificia Universidad Javeriana y Temis, 2013.

MARTÍNEZ, A. “La inteligencia artificial, el Big Data y la era digital: ¿una amenaza para los datos personales?”, Revista La Propiedad Inmaterial n.º 27, Universidad Externado de Colombia, enero-junio de 2019, 5-23, disponible en [https://doi.org/10.18601/16571959.n27.01].

MONTIEL, I. y J. R. AGUSTINA. “Retos educativos ante los riesgos emergentes en el ciberespacio: claves para una adecuada prevención de la cibervictimización en menores”, Revista Española de Pedagogía, 77 (273), 2019, 277-294, disponible en [https://doi.org/10.22550/REP77-2-2019-03].

ORDÓÑEZ ORDÓÑEZ, A. E. “El contrato de seguro, Ley 389 de 1997 y otros estudios”, Bogotá, Universidad Externado de Colombia, 1998.

ORDÓÑEZ ORDÓÑEZ, A. E. Cuestiones generales y caracteres del contrato, Bogotá, Universidad Externado de Colombia, 2001.

ORDÓÑEZ ORDÓÑEZ, A. E. Elementos esenciales, partes y carácter indemnizatorio del contrato, Bogotá, Universidad Externado de Colombia, 2002.

OSSA GOMÉZ, E. Teoría general del seguro, Bogotá, Temis, 1991.

PALACIOS SÁNCHEZ, F. El Seguro. Causas y soluciones de los conflictos entre asegurados y aseguradores con ocasión del siniestro, Bogotá, Universidad de la Sabana, 2018.

REMOLINA A., N. y L. ÁLVAREZ Z. Guía GECTI para la implementación del principio de responsabilidad demostrada –accountability– en las transferencias internacionales de datos personales, Bogotá, Universidad de los Andes, 2018.

SOTOMONTE, S. y T GAONA (eds.). Estudios sobre Derecho de Seguros. Homenaje al profesor Andrés Eloy Ordóñez Ordóñez, Bogotá, Universidad Externado de Colombia, 2018.

ZORNOSA PRIETO, H. “El seguro de responsabilidad civil”, Bogotá, RIS, 35(20), 2011, 85-143, disponible en [https://revistas.javeriana.edu.co/index.php/iberoseguros/article/view/18503].

ZORNOSA PRIETO, H. “Breve mirada desde la filosofía del derecho a la responsabilidad civil y su aseguramiento en la era de la tecnología”, Memorias del Congreso Iberolatinoamericano del Derecho de Seguros (CILA), 2000.

JURISPRUDENCIA

Corte Constitucional

Sentencia C-748 del 6 de octubre de 2011, M. P.: Jorge Ignacio Pretelt Chaljub.

Sentencia C-1011 del 16 de octubre de 2008, M. P.: Jaime Córdoba Triviño.

Superintendencia de Industria y Comercio.

Resolución 8483 del 27 de febrero de 2015.

Resolución 13681 del 29 de marzo de 2016.

Resolución 5250 del 31 de enero de 2018.

Resolución 55405 del 3 de agosto de 2018.

Resolución 1321 del 24 de enero de 2019.

Resolución 6074 del 18 de marzo de 2019.

Resolución 6960 del 27 de marzo de 2019.

Resolución 21478 del 17 de junio de 2019.

Tribunal de Justicia. Gran Sala. Sentencia C-275/06 del 29 de enero de 2008.

NORMATIVA

Congreso de Colombia. Ley 1266 del 31 de diciembre de 2008.

Congreso de Colombia. Ley 1581 del 18 de octubre de 2012.

OCDE. “OCDE Guidelines governing the protection of privacy and transborder flows of personal data”, 2013, disponible en [https://www.oecd.org/sti/ieconomy/2013-oecd-privacy-guidelines.pdf].

Superintendencia de Industria y Comercio. Guía para la implementación del principio de responsabilidad demostrada (Accountability), 28 de mayo de 2015.

Superintendencia de Industria y Comercio Guía sobre el tratamiento de datos personales para fines de marketing y publicidad, 2019.

Superintendencia Financiera de Colombia. Circular Externa 007 de 2018.

Unión Europea. Tratado de Funcionamiento de la Unión Europea. C-83/47.1, del 30 de marzo de 2010.

WEBGRAFÍA

CHUBB. “Chubb announces key cyber security trends to watch in 2019”, 2019, disponible en [https://news.chubb.com/2019-01-08-Chubb-Announces-Key-Cyber-Security-Trends-to-Watch-in-2019].

GASCÓN, MARTA. “Los ciberataques más sonados en la historia: brechas de ciberseguridad en las grandes empresas”, 2019, disponible en [https://www.20minutos.es/noticia/4071984/0/los-ciberataques-mas-sonados-de-la-historia-brechas-de-ciberseguridad-en-las-grandes-empresas/].

KÜKEMANNS, M. “Network Security & Cyber Risk Management by Advisen Ltd. & Zurich”, 2014, disponible en [http://www.amis.com.mx/amiswp/wp-content/uploads/2017/04/nuevosretossegurosdanosmunichre.pdf].

PONEMON INSTITUTE. “State of Cybersecurity in Small & Medium Size Businesses”, 2018, disponible en [https://keepersecurity.com/assets/pdf/Keeper-2018-Ponemon-Report.pdf].

Seguro de Protección Digital Empresas, 2020, disponible en [https://www.segurossura.com.co/paginas/empresas/responsabilidad-civil/proteccion-digital.aspx].

Protección Digital, 2020, disponible en [https://www.ibsseguros.com/proteccion-digital/].

WOLTERS KLUWER. “Principio de accountability, 2020, disponible en [http://guiasjuridicas.wolterskluwer.es/].

WORLD ECONOMIC FORUM. “Personal data: The emergence of a new asset class” World Economic Forum, 2011, disponible en [http://bit.ly/2RD01sP].