La popularidad de este nuevo tipo de servicios trajo a su vez nuevos riesgos, el más significativo: los ataques cibernéticos. La preocupación del empresario ya no giraba en torno a la seguridad de su archivo físico, ahora todo se trataba de la seguridad de la información almacenada en la nube.
Jorge Beetar Carrero
Global Category SLB
Los avances tecnológicos de la última década trajeron consigo una transformación en la manera en la que tanto individuos como empresas empezaron a almacenar sus archivos y datos: el almacenamiento en la nube. Ya no era necesario tener un archivo físico con toda la información (Q.E.P.D la profesión de archivista), ahora se podía almacenar todo en Internet y tener acceso al instante a través de un proveedor de computación en la nube (bienvenida la profesión de gestor documental). Con el pasar de los años, este servicio se fue volviendo cada vez más común en las empresas – de acuerdo con algunas estadísticas en torno a la adopción de servicios en la nube, para el 2022 el 60% de toda la información empresarial se encontraba almacenada en la nube[1] -, permitiéndoles la disminución significativa en costos de archivo mientras que a su vez hacían más eficientes sus procesos internos.
La popularidad de este nuevo tipo de servicios trajo a su vez nuevos riesgos, el más significativo: los ataques cibernéticos. La preocupación del empresario ya no giraba en torno a la seguridad de su archivo físico, ahora todo se trataba de la seguridad de la información almacenada en la nube. Los ladrones ya no vestían de capucha y se armaban hasta los dientes para entrar al archivo físico con la finalidad de robar información, ahora simplemente accedían a ella desde la comodidad de su hogar.
Este riesgo se tradujo en nuevos retos (y oportunidades), uno de ellos, el de establecer lineamientos y directrices para proteger la seguridad de la información almacenada en la nube. Un trabajo conjunto entre distintas disciplinas. Fue así como los distintos actores (Estados, organizaciones multilaterales, proveedores y clientes) empezaron a crear nuevas tecnologías, procesos, políticas y guías para salvaguardar la integridad y seguridad de la información. Se crearon nuevas tecnologías como la autenticación de dos-factores (seguida por la autenticación multifactorial, sobre lo cual podemos hablar más adelante) y la encriptación de datos, y se establecieron políticas para controlar, auditar y monitorear el acceso a la información.
Ahora bien, desde el punto de vista netamente contractual, los retos vinieron por el lado del cumplimiento de los estándares normativos y de la asunción del riesgo. A fin de cuentas, todo se resumía en resolver la pregunta de quién iba a asumir los riesgos derivados del acceso o uso no autorizado a la información. Y es entonces en este momento en el que abogados de parte y parte entran a negociar los distintos clausulados del contrato con el fin de determinar las obligaciones, responsabilidades e indemnidades (entre otras cosas) entorno a la prestación del servicio.
Pero, en esa medida, ¿cuáles podrían ser entonces las implicaciones legales derivadas de un ataque cibernético a un servicio de almacenamiento en la nube? Pues, pueden ser varias y significativas. Las consecuencias especificas dependerán del tipo de ataque, si hay información comprometida y la jurisdicción en la que ocurrió. Sin embargo, en rasgos generales podríamos destacar las siguientes:
1. Incumplimiento de leyes de privacidad
Las empresas y organizaciones que recopilan y almacenan datos personales tienen la obligación legal de proteger esos datos contra el acceso, uso o divulgación no autorizados. Esta obligación a menudo se establece mediante leyes de protección de datos, como el Reglamento General de Protección de Datos (RGPD) en la Unión Europea, la Ley de Privacidad del Consumidor de California (CCPA) en Estados Unidos o la Ley 1581 de 2012 y Decretos Reglamentarios en Colombia.
Si un proveedor de servicios en la nube sufre un incidente de seguridad que implica el uso, acceso o divulgación no autorizada de información personal, podría enfrentar consecuencias legales, tanto desde el punto de vista normativo como contractual, como multas, sanciones o demandas por parte de los individuos afectados. Las consecuencias legales específicas dependerán de la naturaleza y el alcance de la violación, así como de las leyes de protección de datos relevantes en la jurisdicción donde ocurrió la violación. Por ejemplo, bajo el RGPD, las empresas pueden enfrentar multas de hasta € 20 millones o el 4% de los ingresos globales anuales, lo que sea mayor, por incumplimientos graves a las regulaciones entorno a la protección de datos personales. En Colombia, las sanciones podrán ser de hasta 2.000 SMMLV (aproximadamente COP $2.320.000.000), la suspensión, cierre temporal o definitivo de las actividades relacionadas con el tratamiento de datos.
2. Incumplimiento de obligaciones contractuales
El incumplimiento de las obligaciones establecidas en el contrato dependerá de los riesgos asumidos por una u otra parte y de si en efecto, como consecuencia de un incidente de seguridad, hubo o no pérdida o hurto de la información. Generalmente, el cliente le exige al proveedor mantener ciertos niveles de seguridad, establecer un plan de choque en caso de un ataque cibernético y notificar cualquier violación que pudiera llegar a comprometer la integridad de la información. Si existe una vulneración al sistema, el proveedor podría estar en incumplimiento de algunas de sus obligaciones contractuales, incluyendo:
- Acuerdos de niveles de servicio (SLA): Los proveedores de nube suelen proporcionar SLA que garantizan ciertos niveles de tiempo de actividad, rendimiento y disponibilidad del servicio. Una vulneración de seguridad al sistema del proveedor que cause tiempo de inactividad o problemas de rendimiento podría resultar en un incumplimiento del SLA.
- Compromisos de seguridad y privacidad: Los proveedores de servicios de almacenamiento en la nube suelen hacer compromisos en torno a la seguridad y privacidad de la información, incluyendo el cumplimiento de estándares y regulaciones de la industria. Una vulneración de seguridad y no tomar las medidas adecuadas para prevenirlo podría indicar un fallo en el cumplimiento de estos compromisos y resultar en un incumplimiento del contrato.
- Protección de datos: Así como el proveedor podría estar incumpliendo la normatividad aplicable entorno a la protección de datos personales, también lo podría estar haciendo a un nivel contractual más extenso, pues usualmente la protección de los datos en el contrato no se limita a los datos personales sino a los datos en general que el cliente tiene almacenados en la nube del proveedor. Los proveedores suelen tener la obligación contractual de proteger los datos contra el acceso, uso o divulgación no autorizados. Un ataque cibernético que resulte en la pérdida o robo de los datos del cliente podría resultar en un incumplimiento de esta obligación.
- Deber de notificar: Muchos contratos de servicios de almacenamiento en la nube requieren que el proveedor notifique al cliente de inmediato sobre cualquier incidente o violación de seguridad. La falta de notificación oportuna y precisa podría resultar en un incumplimiento de contrato.
- Disposiciones de responsabilidad e indemnización: Los contratos de servicios de almacenamiento en la nube a menudo incluyen disposiciones relacionadas con la responsabilidad e indemnización. Un incidente de seguridad podría resultar en un incumplimiento de estas disposiciones si se determina que el proveedor es responsable de los daños o no indemniza al cliente según lo requerido.
- Confidencialidad: La mayoría de los contratos de este tipo incluyen obligaciones de confidencialidad que requieren que el proveedor proteja la información confidencial del cliente contra la divulgación no autorizada. Un ataque cibernético que resulte en la exposición de información confidencial podría resultar en un incumplimiento de esta obligación.
- Continuidad del negocio: Los contratos de servicios en la nube a menudo incluyen obligaciones relacionadas con la continuidad del negocio y un plan de recuperación luego de sufrir un ataque. Un incidente de seguridad que cause una interrupción en las operaciones comerciales del cliente podría resultar en un incumplimiento de estas obligaciones.
- Infracción a la Propiedad Intelectual: Una vulneración al sistema del proveedor de servicios de almacenamiento en la nube que resulta en el acceso o divulgación no autorizada de información propietaria puede resultar en reclamos por infracción de la propiedad intelectual del cliente.
3. Cumplimiento normativo
Muchas industrias están sujetas a requisitos regulatorios específicos relacionados con la seguridad y la protección de datos. Una violación de seguridad puede resultar en investigaciones regulatorias, multas y penalizaciones por parte de las entidades de inspección, vigilancia y control.
4. Responsabilidad civil y penal
Por una parte, los individuos afectados por un ataque cibernético pueden presentar demandas civiles y denuncias penales contra la organización por daños relacionados con el robo de identidad, pérdida financiera y otros daños. En esa medida, para el cliente será crucial tener algún tipo de indemnidad que lo cubra de los riesgos derivados de este tipo de responsabilidad.
En resumen, un ataque cibernético podría resultar en un incumplimiento de varios compromisos a nivel normativo y contractual. Es importante que los clientes siempre revisen los términos y condiciones establecidos por el proveedor para prestar el servicio en la nube con el fin de determinar con claridad los riesgos y responsabilidades asumidos por cada una de las partes. Será crucial para el proveedor mantener un Programa de Seguridad de la Información y un plan de respuesta a incidentes integral para minimizar el riesgo de vulneraciones a su sistema y cumplir con sus obligaciones contractuales en caso de que se presente un incidente que afecte la integridad de la información del cliente.
[1] Zippia. «25 Amazing Cloud Adoption Statistics [2023]: Cloud Migration, Computing, And More» Zippia.com. 19, Diciembre de 2022, https://www.zippia.com/advice/cloud-adoption-statistics/
Jorge Andrés Beetar C. es Abogado con amplia experiencia en Derecho Corporativo, M&A, Propiedad Intelectual y Tecnologías de la Información. Actualmente se desempeña como Abogado de Contratos a nivel global en materia de Tecnología y Ciberseguridad para SLB.
