Desde finales del año pasado, hemos sido testigos de diferentes ataques cibernéticos. Al respecto, dos cosas me resultan muy llamativas: (i). Que el blanco principal de estos ataques han sido empresas y entidades pertenecientes al sector salud; y (ii). Que los ataques han tenido como trasfondo, la intención de reforma al sistema de salud. Considero que estos incidentes han dejado al descubierto la vulnerabilidad de la infraestructura tecnológica dispuesta para almacenar y “proteger” nuestros datos.
Desde lo jurídico, Colombia ha tenido un notorio desarrollo legislativo, constitucional y jurisprudencial en materia de datos personales, durante las últimas tres décadas. No obstante, considero que situaciones como las que estamos viviendo, nos invitan forzosamente a reflexionar sobre la necesidad de replantear el régimen jurídico colombiano de protección de datos. Por ejemplo, se podría considerar la obligación de someter a pruebas de “kacking ético”, a las empresas que requieren tener una base de datos y que pertenezcan a determinados sectores que manejan información sensible, como es el caso del sector salud y financiero. Dicho en otras palabras, opino que, antes de entrar en operación, las nuevas bases de datos (y las que quieran seguir operando) deberían ponerse a prueba de forma inicial (y periódica para las ya existentes), por medio de ataques informáticos dirigidos por hackers éticos, con la finalidad de identificar y corregir falencias o debilidades de defensa, sin poner en riesgo real, nuestros datos.
Otro de los puntos para reflexionar, es el atinente a las sanciones. Al respecto, imagen lo que puede pasar, si como producto de un ataque cibernético a una empresa del sector salud, empiezan a circular libremente las historias clínicas, reportes y resultados de exámenes. Los daños a la intimidad de los pacientes serían incalculables. Sin mencionar la escala de la cual estamos hablando. Supongamos que la empresa en cuestión es sancionada con una multa de 2000 smlmv por la SIC y que es obligada a indemnizar los perjuicios causados en el marco de una acción de grupo. Si a eso le sumamos las dificultades financieras que caracterizan al sistema de salud, tenemos la receta perfecta para “ahogar” empresas, por un lado, y dejar acreedores frutados, por el otro. Considero que debería exigirse la constitución de pólizas de responsabilidad civil a las empresas que pretendan tener y operar ciertas bases de datos. Es importante que los colombianos nos volvamos más exigentes con las empresas que trabajan y se lucran con nuestros datos, para evitar que algún día nos preguntemos: y ahora… ¿Quién podrá defendernos?