Deberes de las entidades públicas en relación con el tratamiento de datos personales en caso de incidentes de seguridad informática

La transformación digital que experimentan los estados con el fin copar los intereses y expectativas de los ciudadanos -cada vez más familiarizados con los sistemas de información, Internet y las tecnologías emergentes- crece de manera paulatina, así como cobra relevancia el objetivo de lograr mayor eficiencia y eficacia de la actividad pública. Ese marco es un incentivo creciente para el procesamiento de información, incluyendo datos personales. Los ciudadanos tienen múltiples derechos en la era digital que se proyectan y que deben ser garantizados a cabalidad en su interacción por medios electrónicos con el estado y con sus funcionarios.

El modelo de gobierno en línea, digital, abierto y otros paradigmas similares han traído consigo la aplicación de políticas públicas encaminadas a que las TIC se incorporen en la actividad estatal así como la modificación del concepto de servicio al ciudadano. Los servicios digitales ciudadanos, en Colombia, han avanzado como políticas de estado. La digitalización de los poderes públicos debe ser incluyente, universal y proteger de la discriminación y de la inequidad.

El mayor uso de tecnologías TIC por el estado así como el aumento de acceso ciudadano a las mismas ha generado una interacción sin precedentes que permite nuevas formas de relacionamiento entre el estado, los funcionarios públicos, los usuarios y los ciudadanos, en general. Las entidades públicas y sus funcionarios, en el marco de sus funciones y competencias, para llevar a cabo su devenir misional, pueden ser responsables del tratamiento de datos personales en Colombia. Por otra parte, las entidades públicas se han convertido en blanco de ataques informáticos con diversos fines que abarcan la protesta social, los atentados terroristas, la extorsión económica o el atentado a la reputación, entre otros.

Los riesgos asociados a la ciberseguridad y ciberdefensa de los estados han aumentado de manera creciente como corolario de la presencia estatal en el ecosistema digital y de la interacción de los ciudadanos con las entidades públicas. A diferencia del interés y mayor análisis que se ha llevado a cabo respecto de los deberes y responsabilidad de la empresa privada en los casos de incidentes informáticos, la entidades públicas no han sido objeto de estudio y este escrito pretende contribuir al mismo.

El rol del estado en relación a la protección de la información personal realza aún más la manera en que las entidades públicas y sus funcionarios deben reaccionar frente a incidentes de seguridad informática que generan vulneración o riesgos para la información personal que reposa en los sistema de información para ser procesada en el marco de las funciones y competencias. Ni el estado ni los funcionarios que lo representan pueden ocultar la ocurrencia de un ataque informático y mucho menos deben minimizar sus alcances o sus efectos en relación con los ciudadanos-titulares del derechos fundamentales a la intimidad y a la protección de su información personal (art. 15 de la Constitución).

Por ende, las entidades públicas y sus funcionarios, en el marco de sus funciones y competencias, para llevar a cabo su devenir misional, pueden ser responsables o encargados del tratamiento de datos personales en Colombia y como tales tienen deberes legales y constitucionales en relación con los titulares.

Como tales, los funcionarios públicos tienen los siguientes deberes:

 

ARTÍCULO 17. Deberes de los Responsables del Tratamiento. Los Responsables del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad:

1. a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;
2. b) Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el Titular;
3. c) Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada;
4. d) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
5. e) Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible;
6. f) Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada;
7. g) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento;
8. h) Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la presente ley;
9. i) Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular;
10. j) Tramitar las consultas y reclamos formulados en los términos señalados en la presente ley;
11. k) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos;
12. l) Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo;
13. m) Informar a solicitud del Titular sobre el uso dado a sus datos;
14. n) Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
15. o) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

De acuerdo con el numeral n) citado deben informar a la autoridad de protección de datos en caso de incidentes de seguridad y existan riesgos para los titulares respecto de sus datos personales. No se establecen excepciones ni regímenes especiales.

En Colombia, la Autoridad de Protección de Datos, de acuerdo con la Ley 1581 de 2012 es la Superintendencia de Industria y Comercio:

 

ARTÍCULO 19. Autoridad de Protección de Datos. La Superintendencia de Industria y Comercio, a través de una Delegatura para la Protección de Datos Personales, ejercerá la vigilancia para garantizar que en el Tratamiento de datos personales se respeten los principios, derechos, garantías y procedimientos previstos en la presente ley.

En caso de que las autoridades omitan informar sobre el incidente de seguridad informática a la Autoridad o a los titulares (en el caso del estado es más evidente tal deber pues la calidad de ciudadanos y de sus derechos es aún más garantista) serán sujetos de sanciones. A la luz de la mencionada Ley 1581:

Las sanciones indicadas en el presente artículo sólo aplican para las personas de naturaleza privada. En el evento en el cual la Superintendencia de Industria y Comercio advierta un presunto incumplimiento de una autoridad pública a las disposiciones de la presente ley, remitirá la actuación a la Procuraduría General de la Nación para que adelante la investigación respectiva.

De acuerdo con el principio de transparencia en la administración pública, según el CPACA:

8. En virtud del principio de transparencia, la actividad administrativa es del dominio público, por consiguiente, toda persona puede conocer las actuaciones de la administración, salvo reserva legal.

 

La omisión del cumplimiento de deberes legales o de las funciones también es fundamento de responsabilidad del estado, sea por falla del servicio o por generar riesgo a los administrados, entre otros. Respecto de la responsabilidad de un servidor público, la Constitución estipula:

ARTÍCULO 6º.- Los particulares sólo son responsables ante las autoridades por infringir la Constitución y las leyes. Los servidores públicos lo son por la misma causa y por omisión o extralimitación en el ejercicio de sus funciones

El artículo 23 de la Ley 734 de 2002, Código Único Disciplinario, establece:

 ARTÍCULO 23. LA FALTA DISCIPLINARIA. Constituye falta disciplinaria, y por lo tanto da lugar a la acción e imposición de la sanción correspondiente, la incursión en cualquiera de las conductas o comportamientos previstos en este código que conlleve incumplimiento de deberes, extralimitación en el ejercicio de derechos y funciones, prohibiciones y violación del régimen de inhabilidades, incompatibilidades, impedimentos y conflicto de intereses, sin estar amparado por cualquiera de las causales de exclusión de responsabilidad contempladas en el artículo 28 del presente ordenamiento.

El artículo 26 de la Ley 1952 de 2019, el nuevo Código Único Disciplinario, establece:

ARTÍCULO 26. La falta disciplinaria. Constituye falta disciplinaria y, por lo tanto, da lugar a la imposición de la sanción disciplinaria correspondiente la incursión en cualquiera de las conductas previstas en este código que conlleven incumplimiento de deberes, extralimitación en el ejercicio de derechos y funciones, prohibiciones y violación del régimen de inhabilidades, incompatibilidades, impedimentos y conflicto de intereses, sin estar amparado por cualquiera de las causales de exclusión de responsabilidad contempladas en esta ley.

El código penal establece un tipo penal que no excluye la autoría ni la participación de los empleados públicos ni de los funcionarios públicos:

Artículo 269F. Violación de datos personales El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

En consecuencia, los servidores públicos deben responder ante las autoridades por infringir la Constitución y la ley, por la omisión en el ejercicio de sus funciones, el incumplimiento de sus deberes y por la extralimitación en las mismas. Para determinar la responsabilidad de cualquier servidor público, es indispensable precisar el ámbito de sus deberes funcionales y y se pueda establecer cuándo se está ante una omisión o una extralimitación. 

En suma, los incidentes de seguridad informática como el hackeo de la información a una entidad pública en Colombia deben ser informados a la Autoridad Nacional de Protección de datos y a los titulares de los datos personales -para que puedan ejercer su derecho fundamental y sus derechos garantizados por la ley-, so pena de que la omisión total o parcial del cumplimento de esos deberes acarree sanción que debe imponer la Procuraduría General de la Nación.