La ciberseguridad en Colombia es un tema de gran relevancia, ya que fue el más ciberatacado en toda América Latina a inicios de 2022.
En este artículo, exploraremos el panorama actual sobre este tema en Colombia y el conjunto de leyes aplicables, sanciones y deberes más importantes a tener en cuenta.
¿Cuál es el panorama actual de la ciberseguridad en Colombia?
El panorama de la ciberseguridad en Colombia está muy comprometido, de hecho, es el país de América Latina que más ciberataques recibe, según los resultados arrojados por la operación «Discordia», hecha en el laboratorio de investigación informática de la empresa especializada en desarrollo de softwares de ciberseguridad: ESET.
El 96% de estos ataques fueron ejecutados mediante un método que emplea la plataforma de mensajería «Discord» para alojar malwares en los ordenadores de las víctimas.
En paralelo, el informe refleja que el país ha sido víctima de amenazas cibernéticas dirigidas tanto de organizaciones no gubernamentales como a entidades del Estado colombiano de manera focalizada.
Ciberseguridad en Colombia: Leyes locales de protección de datos y alcance
Entre las principales leyes locales de protección de datos, su alcance y ciberseguridad en Colombia, vemos:
- Artículos 15 y 20 de la Constitución de Colombia reconocen el derecho a la privacidad y a la rectificación de datos como derechos fundamentales.
- Ley Nº 1581 de 2012: reglamenta el tratamiento de datos y bases de datos.
- Ley Nº 1266 de 2008: regula el procesamiento de información financiera, crediticia y las bases de datos.
- Ley Nº 1273 de 2009: establece como delito el tratamiento ilícito y no autorizado de datos personales y lo incorpora al Código Penal.
- Decreto N° 90 de 2018: determina los criterios para el registro obligatorio de bases de datos en el Registro Nacional de Bases de Datos (RNBD).
- Circular Única de la Superintendencia de Industria y Comercio (SIC): en el Título V regula específicamente distintos aspectos en materia de protección de información personal, tales como transferencias de datos, derecho de hábeas data y Registro Nacional de Datos (RND).
- Circular Externa Nº 005 de 2017 de la Superintendencia de Industria y Comercio: señala los estándares para un adecuado nivel de protección de cualquier país receptor en materia de transferencias internacionales de datos. Establece los requisitos para que un país obtenga una declaración de conformidad para realizar transferencias internacionales de datos personales.
Sanciones e incumplimiento
Entre las sanciones e incumplimiento en materia de ciberseguridad en Colombia, encontramos tanto sanciones administrativas como penales.
Sanciones administrativas
La SIC tiene la facultad de aplicar cualquiera de las siguientes sanciones:
- Multas en salarios mínimos legales mensuales vigentes.
- Suspensión temporal (hasta seis meses) o cierre de actividades relacionadas con el tratamiento de datos.
- Cierre inmediato y definitivo de la operación de tratamiento de datos sensibles.
Sanciones penales
El Código Penal establece que quien, sin autorización, con ánimo de lucro propio o de terceros, obtenga, recopile, sustraiga, ofrezca, venda, permute, envíe, compre, intercepte, divulgue, modifique o emplee claves personales o datos contenidos en bases de datos o plataformas similares, puede ser sancionado con:
- 48 a 96 meses de prisión.
- Multas en salarios mínimos mensuales.
Sobre el registro/notificación/autorización
Para la ciberseguridad en Colombia, el tratamiento de datos personales requiere la autorización previa e informada del titular, la cual deberá obtenerse por cualquier medio que pueda ser consultado posteriormente. El responsable del tratamiento, al solicitar la autorización del titular, deberá informarle de forma clara y expresa lo siguiente:
- Tipo de tratamiento al que serán sujetos sus datos personales y la finalidad del mismo.
- El carácter facultativo de las respuestas a las preguntas formuladas, cuando se trate de datos sensibles o de datos de niños, niñas y adolescentes.
- Derechos que le corresponden como titular de los datos.
- Identificación, domicilio o dirección electrónica y número de teléfono del responsable.
En cuanto a las bases de datos, aquellas que almacenen datos personales y cuyo tratamiento automatizado o manual sea realizado por una persona natural o jurídica (pública o privada), en territorio colombiano o en el extranjero, y que cuenten con activos totales que superen las 100.000 UVT —Unidad de Valor Tributario—, deberán ser objeto de registro en el RNBD.
Principales obligaciones y requisitos de tratamiento de datos
Los encargados del tratamiento están obligados a cumplir con los siguientes deberes, con independencia del resto de las normas previstas en la ley y las demás que puedan regir su actividad:
- Garantizar al titular, en todo momento, el pleno y efectivo ejercicio del derecho de hábeas data.
- Conservar la información bajo las condiciones de seguridad necesarias para evitar su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
- Oportunamente, actualizar, modificar o suprimir los datos en los términos previstos en la Ley N°. 1581 de 2012.
- Actualizar la información reportada por el responsable del tratamiento dentro de los cinco días hábiles siguientes a su recepción.
- Tramitar las consultas y reclamos formulados por el titular en los términos señalados en la Ley Nº 1581 de 2012.
- Adoptar un manual de políticas y procedimientos internos para asegurar el cumplimiento de la Ley Nº 1581 de 2012 y, en particular, para atender las consultas y reclamos del titular.
- Registrar una etiqueta de “reclamo en curso” en la base de datos en los términos establecidos por la Ley Nº 1581 de 2012.
- Registrar una etiqueta de “información en discusión judicial” en la base de datos una vez que la autoridad competente notifique al procesador sobre cualquier proceso judicial relacionado con los datos personales.
- Permitir el acceso a la información exclusivamente a las personas que deban tener acceso a ella.
- Informar a la Superintendencia de Industria y Comercio cuando existan violaciones a los códigos de seguridad y riesgos en la administración de la información del titular.
- Cumplir con las instrucciones y requisitos que imparta la Superintendencia de Industria y Comercio.
- Cumplir con las obligaciones en materia de flujos de datos (transmisión y transmisión).
Para finalizar
Como verá la ciberseguridad en Colombia está ampliamente regulada, por lo que es imprescindible para las Instituciones de Justicia contar con una solución tecnológica dedicada a hacer más eficiente la labor jurídica y mejorar el acceso a la Justicia de los ciudadanos.
Conozca nuestra solución SAJ, una legaltech de gestión judicial desarrollada para mejorar los flujos de trabajo judiciales.