Wanna Cry: Preludio de un futuro inquietante
Desde hace mas de 16 años hemos reiterado en diferentes espacios la necesidad de que las organizaciones y particularmente la alta dirección de prestar atención a la protección de la información como uno de los activos inmateriales mas importantes y creador de valor. A pesar que, a nuestro juicio existen normas legales como la ley 222 de 1995 sobre Responsabilidad de los Administradores societarios, aun es escasa la consciencia de que la Alta Dirección entienda que la seguridad de la información no es un asunto de menor importancia.
Lamentablemente el reciente ataque que afectó oficialmente a mas de 150 países en el mundo y que se convirtió en titular de los principales medios informativos del planeta logró un objetivo que por otra vía no se habría logrado; es decir, que los niveles directivos de las organizaciones entiendan el riesgo de lo que significa que la información quede huérfana de uno de sus atributos, la Disponibilidad.
El secuestro de datos tiende a convertirse en la tendencia criminal de este año, una vedette que no merece admiración, pero si justifica observarla y no caer en sus garras. Las razones son muchas, pero la principal sigue siendo que la primera línea de defensa, el ciudadano común es analfabeta digital. Eso determina que esa primera línea de defensa al ser débil se convierta en la puerta de entrada para infectar los sistemas de información de una organización (pública o privada) y los propios; con las consecuencia que hoy ya se empiezan a conocer.
En Colombia, según un reporte del Comando Cibernético de la Policía Nacional, indica que 4 días después de que se hiciera público el ataque, se han recibido 10.329 visitantes en la plataforma de esta institución. En 552 consultas a través del chat virtual, 37 empresas han reportado ser victimas del secuestro de datos; empresas dedicadas especialmente a brindar soporte tecnológico e industrial. Esto inmediatamente conduce a pensar que existe un serio riesgo de que a través de estos proveedores se haga alcanzado infectar a los clientes que estos soportan; aspecto que causa una tremenda preocupación. Desde ya podría pensarse en los temores de contagio que en centurias pasadas experimento la sociedad como la peste negra; pero esta vez en un plano diferente que tiene el potencial de causar unos efectos destructivos de proporciones incalculables.
Es factible que los datos sean recuperados, hoy la vía mas posible, es el pago de un rescate a través de Bitcoin u otras monedas virtuales. Una forma de aprendizaje dolorosa para los directivos.
Ahora, desde el punto de vista regulatorio, cabe preguntarse que repercusiones tiene haber sido víctimas de Wanna Cry. La primera repercusión es que la perdida de uno de los mas importante atributos de la información como es la Disponibilidad, sea temporal o permanente, constituye en si un incidente de seguridad de la información. Esto significa que aquellas empresas del sector público o privado, victimas de este ataque, están en la obligación de gestionar tal incidente de seguridad y proceder a notificarlo a la autoridad colombiana de protección de datos personales. Tal obligación se desprende de lo dispuesto en los artículos 17 y 18 de la Ley Estatutaria 1581 de 2012, que impone tal obligación a las empresas que en calidad de Responsables o Encargados del tratamiento de datos tienen e deber de propender para que tal derecho fundamental se materialice.
Esta dolorosa enseñanza deja una moraleja que no puede perderse de vista mas ahora que se aproxima la fecha limite para que las empresas privadas y mixta registradas en Cámaras de Comercio cumplan con la obligación de declarar las bases de datos que gestionan el calidad de responsables. Creemos que la Alta Dirección debe preocuparse de los resultados del componente de seguridad que exige tal registro, pues del mismo se desprende el nivel de madurez de la seguridad de la información a nivel interno, y el impacto que estos trae en su operación empresarial o pública.
Ojalá el Gobierno Nacional lidere de forma acertada las políticas plasmadas en los CONPES sobre Ciberdefensa y Ciberseguridad de 2011 y Seguridad Digital de 2016; acciones en las cuales deberá involucrar a diferentes sectores. Personalmente pienso que las ganancias o utilidades empresariales deben considerar una destinación hacia la seguridad de la información, de no hacerlo quizás mañana la empresa no solo comprometa sus utilidades, sino su propia existencia.
El Consejo de Estado de la Republica de Colombia en sentencia 37953 recientemente publicada, condenó a la Empresa Industrial y Comercial del Estado Licores del Departamento de Caldas a indemnizar los perjuicios causados a una universitaria estudiante de bacteriología cuya imagen fue usada sin autorización para promocionar el consumo de licor a través de vallas publicitarias.
Los hechos se remontan a 2002 cuando un fotógrafo independiente interceptó a la joven en una calle de la ciudad de Manizales solicitándole hacer varias fotografías de su rostro comunicando que estas serían objeto de preselección para una campaña publicitaria. La joven universitaria expresó que antes de dar cualquier destinación publicitaria a sus fotografías ella debía ser informada para efectos de autorizar o no el uso de su imagen personal. Transcurrido el tiempo y sin que le fuera informado ninguna circunstancia relacionada con las fotografías, los amigos le comentaron que aparecía su cara en vallas publicitarias promocionando uno de los licores fabricados por la Industria Licorera de Caldas, las cuales estaban ubicadas a la entrada y salida de varios municipios cercanos a su lugar de residencia.
La Universitaria inició una acción legal contra la Industria de Licores de Caldas argumentando que el uso de sus fotografías para promocionar licor vulneraba su derecho fundamental a la personalidad consagrado en el artículo 14 de la Constitución Política de Colombia; y que se le causaba un daño a su imagen personal en cuanto a que se desempeñaba como estudiante de una carrera de las ciencias de la salud y no resultaba adecuado aparecer promocionando productos que como el licor eran lesivos para el consumo humano.
En la demanda la Industria Licorera de Caldas argumentó que la responsabilidad debía recaer en el fotógrafo que contrató para seleccionar la imagen de la persona que promocionaría uno de los licores estrella de la empresa. El Fotógrafo, quien fue llamado en garantía para responder por los eventuales perjuicios, manifestó que la joven al permitir la realización de aproximadamente 22 fotografías había autorizado el uso de su imagen, afirmando además que al no ser una modelo profesional carecía de sentido la acción legal iniciada y máxime la pretensión económica que por daño moral y daño patrimonial exigía.
El Consejo de Estado al analizar el problema jurídico expuesto y los argumentos de las partes señalo que el derecho a la imagen constituye una garantía constitucional que permite a cada individuo decidir a quien conceder o no el uso de su imagen personal; derecho fundamental que asiste a una persona independiente de si su actividad profesional es o no el modelaje profesional. Destaco la Corte así mismo que el uso de la imagen personal exige del consentimiento previo del individuo, el cual no apareció probado en el proceso. Destacó también el máximo tribunal de lo contencioso administrativo que el consentimiento debe ser informado, esto es, indicar con precisión a la persona cuya imagen se pretenda explotar cual es la finalidad para la cual su imagen será usada; pues solo así el ciudadano tiene la libertad de autorizar o no el uso de ese atributo personalísimo que es la imagen personal.
En relación con la postura de la Empresa de Licores de Caldas al señalar que la responsabilidad compete solo al fotógrafo, el Consejo de Estado rechazó el argumento al señalar que quien contrata la realización de una campaña publicitaria tiene la obligación legal de verificar que la(s) persona(s) seleccionadas para promover un bien o servicio con fines promocionales deben haber otorgado su consentimiento informado. El juez contencioso fue claro en relación con el proceder del fotógrafo contratado para seleccionar a la persona que sería la imagen del producto de la Empresa de Licores de Caldas al señalar que este actúo de forma dolosa por cuanto es inaceptable que un profesional del medio de la publicidad desconozca las normas colombianas que en materia de propiedad intelectual reconocen el derecho a la imagen de una persona, las cuales exigen la autorización previa y expresa para su explotación publicitaria.
en consecuencia consideró que la futura bacterióloga experimentó un daño moral en su personalidad con estos hechos, al violarse su derecho fundamental a la imagen condenando a la suma de 25 salarios mínimos mensuales vigentes (US 6.000).
También indicó el Consejo de Estado que toda persona cuya imagen personal sea usada para fines promocionales tiene el legítimo derecho a que se reconozca un beneficio económico por el aprovechamiento que un tercero realiza de su imagen; en razón de este punto de vista y a pesar de no existir prueba del perjuicio material experimentado condeno en abstracto, para que a partir de un incidente de regulación, un perito establezca el valor económico que debe serle reconocido a la mujer.
Cabe destacarse que el caso analizado se hizo en un momento en el cual no tenia vigencia la ley estatutaria 1581 de 2012 la cual regula la protección de datos personales en Colombia, razón por la cual la sentencia no hace referencia alguna a lo en ella dispuesto pero que sin duda permite afirmar la existencia de dos regulaciones normativas hoy día en relación con la imagen de una persona: la regulación proveniente de la propiedad intelectual que se analiza en este caso, pero también por las normas de protección de datos personales cuando la imagen permite identificar o hacer identificable a una persona física, estas últimas normas con una carga mayor que las que se imponen por la propiedad intelectual y que sugiere la importancia de prever este tipo de tratamiento de datos al interior de las organizaciones.
Arean Velasco