Hackeos y ciberdelincuencia, ¿hacia dónde deben dirigirse las leyes para proteger a usuarios y empresas?

Otros puntos que ameritan una actualización desde la perspectiva legal, y que son demandados por el mundo empresarial, son directrices en materia de inteligencia artificial y el Internet de las Cosas / Nahel Abdul Hadi - Unsplash.
Otros puntos que ameritan una actualización desde la perspectiva legal, y que son demandados por el mundo empresarial, son directrices en materia de inteligencia artificial y el Internet de las Cosas / Nahel Abdul Hadi - Unsplash.
Considerando que los delitos cibernéticos causan daños profundos como el robo y destrucción de propiedad intelectual y de datos personales y financieros, cabe preguntarse ¿cómo está cambiando la industria de datos la práctica legal?
Fecha de publicación: 18/10/2023

Cuando en junio de este año se difundió que Microsoft sufrió el robo de los datos personales de 30 millones de usuarios, sumado a otros ciberataques de años anteriores, se revivió la discusión de cuán protegidas están las empresas, especialmente las grandes tecnológicas, contra la ciberdelincuencia. 

Según Cybersecurity Ventures, a una tasa de crecimiento de 15 % anual hasta 2025, el hackeo podría reportarle una ganancia de 10.500 millones de dólares a los ciberdelincuentes de todo el mundo (esto incluye en su vasta fauna no solo a individuos sino también a cárteles de narcotráfico, hacktivistas, crimen organizado y fuerzas armadas informales). Y los ataques cibernéticos seguirán ocurriendo.

Según un estudio de Moody’s, las industrias más atacadas son todas las que dependen de infraestructuras críticas como los hospitales (el robo de datos médicos para chantaje se ha incrementado exponencialmente); servicios públicos domésticos; de transporte y bancarios; las telecomunicaciones; la energía; los productos químicos y la tecnología y, dentro de estas, las víctimas más comunes son las pequeñas y medianas empresas, que suelen tener menor capacidad de protección (aunque las grandes no están exentas de sufrir ataques, como los hackeos a Microsoft, Huawei, Google Play Store y ASUS, por solo nombrar algunas, han demostrado).


De interés: Registro de marcas tridimensionales, ¿cuáles son las dificultades que hay que sortear?


Alicia Lloreda, socia de Lloreda Camacho, recuerda que el principal reto hoy en día, desde la propiedad intelectual, es la protección de dichos activos en espacios virtuales como el metaverso ya que estos nuevos espacios representan un reto frente a la forma tradicional de protección de los diferentes derechos de PI, al no existir claridad sobre la legislación aplicable.

Sin embargo, el derecho ha venido adaptándose a esta nueva realidad y, por medio de diferentes decisiones, se ha venido sentando jurisprudencia y se han venido adoptando ciertas prácticas, aclarando el panorama, permitiendo a los titulares de derechos tener un poco más de certeza sobre la forma de defensa de sus activos en espacios virtuales.

Considerando que los delitos cibernéticos causan daños graves —como el robo y destrucción de propiedad intelectual, datos personales y financieros, reducción de la productividad y ganancia, fraudes y malversación de fondos, daño a la reputación y un extenso gasto en investigación forense y restauración y eliminación de datos pirateados y sus sistemas—, cabe preguntarse ¿cómo está cambiando la industria de datos la práctica legal? Y también, ¿qué tanto debe cambiar?

Para José Miguel de la Calle, socio del departamento de derecho público de Garrigues Colombia, sería prudente, al menos a nivel regional, que se establezca una norma comunitaria, similar al Reglamento General de Protección de Datos (RGPD) de la Unión Europea.

“Esta tarea no sería imposible, especialmente considerando ejemplos como la Decisión 608 de la Comunidad Andina de Naciones, que aborda la protección y promoción de la competencia a nivel regional y que ya es un esbozo del camino que podría seguir América Latina como bloque”, refiere.

El experto asegura que el crecimiento de servicios digitales que utilizan la información personal de los usuarios como insumo principal, incluyendo el procesamiento de datos sensibles relacionados con el rostro y las huellas dactilares, “se ha asociado con una preocupante frecuencia de incidentes de seguridad que comprometen la integridad de dicha información”.

“Es necesario que la industria de los datos, desde una perspectiva legal, deje de ser considerada simplemente bajo ordenamientos nacionales o territoriales, especialmente si se toma en cuenta que, dada la evolución actual y los riesgos en constante aumento para la gestión de la información, las organizaciones se han visto obligadas a identificar y mitigar los riesgos legales desde diversas perspectivas jurisdiccionales, lo que implica un cambio fundamental en las prácticas legales”.


¿Eres experta o experto en Propiedad Intelectual? ¿Ya te suscribiste a nuestro boletín especializado? Da clic aquí


Camilla do Vale Jimene, socia de Opice Blum, Bruno Advogados Associados, considera que la industria de los datos está obligando a los profesionales del derecho a mantenerse actualizados en la materia.

“El objetivo es brindar asesoramiento eficaz a los clientes y navegar por el complejo panorama legal creado por la era digital, pues con la creciente cantidad de datos generados y almacenados por empresas como Microsoft y Amazon, la privacidad y la seguridad se han convertido en cuestiones legales críticas”. 

Ante realidades como estas, regulaciones como el GDPR y la Ley General de Protección de Datos (LGPD) de Brasil, que han introducido requisitos estrictos sobre cómo las organizaciones recopilan, procesan y protegen los datos personales, son el mejor recurso para impulsar todos los procesos de protección necesarios (poniendo parte de la responsabilidad de cuidado y prevención en las empresas).

Lloreda añade que las compañías deben crear conciencia sobre el manejo de datos personales por parte de sus empleados y proveedores, generando políticas que les permitan hacer un control efectivo sobre los flujos de información y la forma en que se puede acceder a la misma, para esto, medidas que garanticen la anonimización de los datos podrán ser herramientas que permitan a las compañías mantener de una manera más segura la información.

Lo anterior representa un reto importante en la medida en que las compañías deben entender que cualquier manejo de información implica el cumplimiento de las normas, resalta, mientras recuerda que es indispensable que los programas y políticas de seguridad de la información, pero especialmente su implementación, sean eficientes y efectivos.


Más sobre propiedad intelectual: Proyecto de Rendición de Cuentas: ¿Qué cambios en derechos de autor plantea Uruguay (y no le gustan a Spotify)?


Responsabilidad penal de los ciberdelincuentes y su ambivalencia

Endurecer las penas contra los ciberdelincuentes es la propuesta más común para combatir los hackeos, cuando de involucrar a otros entes en la protección de datos se trata.

Hay distintos convenios y normativas diseñadas para establecer políticas penales contra los ciberdelincuentes, una de estas, de carácter internacional, es el Convenio sobre la ciberdelincuenciao Convenio de Budapest—, impulsado por el Consejo Europeo en 2001, con 48 artículos, que abarcan la normativa, metodología de aplicación y estrategias de cooperación entre los países firmantes y entre quienes están Argentina, Brasil, Chile, Colombia, Costa Rica, Paraguay, Perú y República Dominicana, como miembros, y México como Estado observador.

Los miembros trabajan en su actualización y añadidura de protocolos adicionales que permiten estar a la par con las nuevas formas de ciberdelincuencia.

Como se trata de un convenio cooperativo, la participación de los estados firmantes facilita la investigación de crímenes e infracciones y facilita la reforma de los marcos regulatorios de algunas naciones miembro, que suelen actualizarse (Argentina, Chile, Brasil, México y Colombia las han actualizado a raíz de este convenio) para endurecer las penas contra la ciberdelincuencia.


Querrás leer: ESG: El valor de una marca socialmente responsable


Normas más estrictas

A pesar de que es patente e indiscutible la necesidad de establecer responsabilidades penales, muchos países podrían “exagerar” en la modificación de sus marcos legales. Es el caso de Jordania.

En este país, la nueva ley sobre ciberdelincuencia, que entrará en vigor este año, ha sido señalada por distintas organizaciones humanitarias como excesivamente restrictiva, pues, acusan, restringe y penaliza indebidamente las actividades en línea que realicen personas y organizaciones e impone penas por publicar contenido ofensivo para las autoridades, lo que derivaría en una censura subjetiva de las actividades ciudadanas y dejaría de lado el combate objetivo a la delincuencia organizada en torno a los datos virtuales.

La Asociación para el Progreso de las Comunicaciones también ha denunciado los excesos en el control que pretenden imponer algunos gobiernos contra la ciudadanía, amparados bajo la intención de monitorear la ciberdelincuencia. 

Este grupo ha determinado diversos casos de uso abusivo de las leyes contra los ciberdelitos (detectaron casos concretos en Arabia Saudita, Cuba, Egipto, Jordania, Libia, Nicaragua, Rusia, Uganda y Venezuela) para criminalizar a mujeres, personas sexodiversas, opositores políticos y otras minorías, por lo que se han dado a la tarea de alertar sobre los peligros inherentes de avanzar en severos estándares internacionales (como los discutidos en la Convención Internacional sobre Ciberdelincuencia), sin considerar los contextos nacionales ni los derechos humanos, particularmente de grupos históricamente marginados. Lo importante, recuerdan, es proteger contra los hackeos mientras se salvaguarda la libertad de opinión y de expresión.

Human Rights Watch publicó esta semana un artículo señalando la importancia del precario equilibrio entre la protección de los datos resguardados por organismos, empresas y entes gubernamentales y el derecho a la información y expresión de los ciudadanos. 


Otros temas: Nueva marca de Twitter: ¿Elon podrá registrar la X?


Ausencias en las normas

Entretanto los organismos multilaterales discuten convenios y las naciones se ajustan, los abogados, como señalaron Jimene y de la Calle, deben estar a la vanguardia de las adaptaciones y asesoramiento sobre cuáles son las mejores prácticas o las adaptaciones más urgentes que deben hacerse para aumentar la seguridad en entornos digitales.

Adolfo Gómez, asociado sénior del departamento de derecho público de Garrigues Colombia, explica que aunque no es necesario sostener que los marcos normativos se encuentran desfasados, sí requieren de una actualización que los equipe de mecanismos efectivos de coordinación con autoridades de protección de datos de otras regiones o países, al estilo del RGPD europeo.

“La ausencia de mecanismos en las normas de protección de datos de algunos países de la región hace difícil una interacción entre jurisdicciones que fomente medidas de respuesta eficaces para hacer frente a incidentes de seguridad bajo el entendido de que muchos de ellos ocurren desde locaciones internacionales”.


Podrías volver a leer: Barbie: ¿Cómo Mattel cuida su propiedad intelectual en la publicidad de la película?


Tomando en cuenta esto, otros puntos que ameritan una actualización desde la perspectiva legal, y que son demandados por el mundo empresarial, son directrices en materia de inteligencia artificial y el Internet de las Cosas, “en donde el flujo de información personal es colosal y el régimen legal no ofrece respuestas concretas a las problemáticas legales que estas tecnologías pueden acarrear”, apunta.

En este sentido, Jimene precisa que, para proteger sus datos, las empresas tienen como tarea esencial desarrollar y hacer cumplir una política integral de ciberseguridad que describa los protocolos de seguridad, las responsabilidades de los empleados, los procedimientos de respuesta a incidentes y la capacitación continua. 

Mejores prácticas

Desde la perspectiva individual, los usuarios deben elegir contraseñas seguras y únicas para todas las cuentas y dispositivos en línea, el uso de un administrador de contraseñas para generar y almacenar contraseñas complejas es recomendable, así como la habilitación de una autenticación multifactor y tener cuidado con los correos electrónicos, mensajes o llamadas no solicitados. 

Si de la práctica legal se trata, es prudente recordar que la Industria de Datos (o Industria 4.0) “está remodelando los modelos de negocio”.

Por ejemplo, el auge de la tecnología blockchain y los contratos inteligentes permite contratos automatizados y autoejecutables, realidades ante las que “el derecho contractual debe adaptarse para reconocer la validez legal de los contratos inteligentes y abordar cuestiones como disputas que surgen de errores de código o vulnerabilidades”.

“Sobre todo porque el derecho contractual desempeña un papel central en la adaptación a estos cambios, al proporcionar el marco legal para definir y hacer cumplir los acuerdos que rigen estas relaciones comerciales en evolución”, comenta Jimene.

Al respecto, Natalia Franco, socia de Lloreda Camacho, destaca que, desde la perspectiva de propiedad intelectual, la protección en la era digital se puede garantizar mediante el registro de las marcas, patentes, diseños industriales, derechos de autor y, en general de todos los derechos de PI, ante cada oficina encargada de dicha protección y en cada jurisdicción de interés, por esto, teniendo en cuenta que en la era digital existe una mayor conectividad así como la posibilidad de obtener información instantáneamente:

lo ideal es que los activos de propiedad intelectual se encuentren protegidos por la autoridad competente y en la jurisdicción correspondiente. Adicionalmente, desde una perspectiva de datos personales, la protección de la información se deberá garantizar con la implementación de programas de privacidad y seguridad de la información robustos, en donde la privacidad se considere desde el diseño de las iniciativas, contando con estudios de impacto de privacidad que permitan identificar los riesgos y establecer las mejores maneras de afrontarlos.

María Alejandra de los Ríos, directora asociada de Lloreda Camacho, complementa lo que dice su compañera:

 

las buenas prácticas incluirán el registro de las marcas en las clases que abarcan los productos y servicios que se ofrecen en los espacios virtuales, como el metaverso. Las clases más comunes para el registro de NFT son la 9, 35, 41 y 42 de la Clasificación Internacional de Niza. La creación de manuales de uso de IA al interior de las compañías también es una buena práctica, con el fin de que exista claridad sobre el uso de dicha herramienta así como parámetros que respeten la propiedad intelectual de la compañía al momento de usar dichas herramientas.

Add new comment

HTML Restringido

  • Allowed HTML tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Lines and paragraphs break automatically.
  • Web page addresses and email addresses turn into links automatically.