¿Conoce cuánta información suya está disponible en línea? ¿Cambia sus contraseñas con frecuencia? ¿Verifica el origen y veracidad de un mensaje antes de ingresar a un enlace?

En enero de 2024 se reveló que se filtraron 26 mil millones de registros provenientes de distintas empresas, como DropBox, LinkedIn, X (antes Twitter) y Canva, por mencionar algunos[1]. La base de datos encontrada contenía correos electrónicos, contraseñas, nombres completos, números de teléfono, direcciones, entre otros datos. Toda esta información, obtenida de forma ilícita, puede utilizarse para suplantar la identidad de esas personas y crear perfiles falsos convincentes que sirven para engañar hasta a las personas más cuidadosas, o para obtener acceso no autorizado a sus cuentas.

Las empresas de tecnología no son las únicas que están afrontando estos desafíos de ciberseguridad. Prestigiosas entidades financieras han sufrido violaciones de datos de sus tarjetas de crédito y otros datos sensibles de millones de clientes. En 2023, se filtraron más de 133 millones de registros médicos en Estados Unidos (EE.UU.). Ese mismo año, el Departamento de Transportes de EE.UU. sufrió un ataque que expuso la información personal de 327,000 trabajadores federales estadounidenses.

En resumen: todos estamos expuestos a ser víctimas del cibercrimen en todo momento.

Múltiples casos se han convertido en batallas legales iniciadas por organizaciones y personas afectadas. Estas disputas han concluido con acuerdos multimillonarios, convirtiendo a las violaciones de datos en un riesgo que hoy en día no se puede ignorar.

El impacto económico de las filtraciones de datos

Las filtraciones o violaciones de datos se dan cuando sucede cualquier incidente de seguridad en el que personas no autorizadas acceden a datos sensibles o información confidencial de otros. Pueden surgir de fuentes externas (como de un ataque de malware –un programa maligno–) o internas (como cuando un usuario cae en una engaño a través de phishing, por ejemplo).

En las economías digitales de hoy, estos ataques son cada vez más frecuentes. Una investigación de IBM encontró que, en 2023, el costo promedio por cada violación de datos fue de US$ 4.45 millones. Esto representa un aumento del 15% respecto a los últimos tres años.

El tiempo promedio de ejecución del ransomware –un malware que secuestra los datos y/o dispositivos de sus víctimas– pasó de tomar más de 60 días en 2019 a tan solo 3.85 días en 2021. Los hackers pueden actuar con relativa rapidez e infiltrarse. Esto es aún más preocupante considerando que en 2022, a las empresas les tomó, en promedio, 326 días identificar y contener ataques de este tipo.

Gracias a una mayor sofisticación de los ataques, la mitad de las empresas que los sufrieron en 2021 también fueron víctimas de una violación de datos. Si no fuera poco, los costos para recuperarse del ataque causaron que el 10% de los afectados entraran a un escenario de suspensión de pagos al mes siguiente.

Estas amenazas ya se dan a diario en Guatemala y en la región. Por ello, es indispensable saber cómo responder ante una violación de datos, y qué precauciones tomar para administrar los riesgos legales.

Marco regulatorio guatemalteco

Actualmente no existe un solo marco regulatorio que abarque explícitamente los métodos de obtención y protección de datos personales que cualquier cliente o usuario pueda confiar en terceros. A pesar de ello, sí hay herramientas legales para actuar en caso de una violación de datos.

Existen normas en la legislación penal guatemalteca que regulan la conservación de libros o registros que obligan a revisar el manejo de datos físicos y digitales de una empresa. Una persona u organización afectada por una violación de datos podría invocar delitos informáticos como, por ejemplo, alteración de programas, registros prohibidos, manipulación de información, por mencionar algunos. Adicionalmente, existen otros delitos contra derechos de autor y propiedad industrial que podrían determinarse aplicables según cada caso y sus particularidades.

El Código Civil indica que los profesionales deben ser diligentes con los secretos de sus clientes. Ellos son responsables si se llegara a divulgar esta información. ¿Pero qué sucede en el día a día de otros? Por ejemplo, un vendedor ambulante en un establecimiento que solicita sus datos para una membresía es un escenario común.

En el ámbito de los servicios, los contratos que documentan estas relaciones suelen contemplar cláusulas sobre el manejo de información, sobre todo aquella que sea personal y/o tenga un alto valor comercial. Se debe tomar en cuenta por qué una violación de datos podría considerarse un incumplimiento de contrato en un caso determinado, cómo ello puede comprometer la integridad de un negocio, e inclusive sus efectos si se han tomado las precauciones necesarias.

Recomendaciones

Para administrar posibles riesgos, compartimos algunas recomendaciones:

• Definir adecuadamente en los contratos o acuerdos correspondientes, qué información se considerará como secreto empresarial y/o propiedad industrial. En la era digital, los datos de los consumidores tienen un alto valor comercial.
• Definir qué situaciones podrían considerarse de fuerza mayor y, por tanto, fuera de la responsabilidad de la organización que pueda sufrir una violación de datos. Para ello, se pueden acordar protocolos de seguridad y de respuesta. Si su organización cumple con dichos protocolos y, a pesar de ello, sufre una violación de datos, podría mitigar riesgos legales con este tipo de disposiciones y su cumplimiento a ellas.
• Capacitar y monitorear constantemente a los miembros de su organización a todo nivel según corresponda. Esto ayudará a proteger tanto los datos de su empresa, de sus clientes, como la información personal de sus colaboradores.

Si llegara a vivir una filtración de datos, es indispensable comunicarle a la organización o a los individuos afectados lo antes posible. Esto permite trabajar en conjunto para solucionar y administrar los riesgos legales derivados de posibles reclamos de afectados.

Las violaciones de datos pueden suceder en cualquier momento, incluso cuando se cuentan con protocolos de ciberseguridad robustos. Si tiene alguna consulta sobre las herramientas legales que le puedan asistir en su negocio particular, no dude en contactarnos.