Artículos
18 de junio de 2024
El derecho a la seguridad personal en el marco de la Cuarta Revolución Industrial
El caso de la ciberseguridad como componente del deber de protección del Estado.
Por: Alejandro José Osuna Carreño[1]
Abstract:
Este artículo propone que debido a la aparición de la cuarta revolución industrial y las consecuencias que implica, el deber de protección del Estado-Nación a los asociados y sus derechos se extiende al ciberespacio, a través de la ciberseguridad, y que en caso de no cumplir con las obligaciones que impone dicho deber de protección podría ver comprometida su responsabilidad en escenarios internacionales.
Keywords:
Seguridad personal, ciberespacio, defensa, Estado-Nación, responsabilidad, ciberataque, ciberdelincuencia, cibercriminalidad, Constitución Política, infraestructura crítica, servicios esenciales, cuarta revolución industrial.
El último inciso del artículo segundo de la Constitución Política consagra que las autoridades de la República están establecidas para, entre otras cosas, “proteger a todas las personas residentes en Colombia, en su vida, honra, bienes, creencias y demás derechos y libertades”[2]. Este es el más claro ejemplo, entre muchos otros, consagrados tanto en la Constitución, como en leyes e instrumentos normativos internacionales en materia de derechos humanos[3], de que existe un deber en cabeza del Estado-Nación, como persona jurídica, de salvaguardar los derechos de los que residen en su territorio. Ahora bien, de la redacción del inciso citado se observa que, la protección que le impone la Constitución Política al Estado requiere este despliegue acciones positivas para garantizarla. Así pues, podría hablarse de tantas acciones positivas de protección como derechos existen, no obstante, el presente artículo se centrará en el derecho fundamental a la seguridad personal.
La seguridad personal no fue expresamente consagrada como un en la Constitución. Sin embargo, debido a su estrecha relación con otros derechos como la vida y la integridad personal, así como con el deber general del Estado de proteger a las personas y sus derechos, la seguridad personal fue reconocida como un derecho fundamental[4]. Más aún, la Corte Constitucional ha determinado el contenido y el alcance del derecho a la seguridad personal, y ha expresado también posee la triple calidad de valor constitucional, derecho colectivo y derecho constitucional[5].
Para efectos del presente artículo se tomará la seguridad personal en su dimensión de derecho colectivo, es decir, un derecho que asiste a todos los ciudadanos que puedan verse afectados por circunstancias que pongan en riesgo bienes jurídicos muy importantes para el conglomerado social[6]; y como un derecho fundamental, a saber, como la facultad que tiene las personas de recibir protección por parte de las autoridades cuando estén expuestas a amenazas que no tengan el deber jurídico de soportar[7].
Hasta este punto se ha argumentado la existencia de un deber general de protección del Estado respecto de las personas y sus derechos, que dentro de dichos derechos se encuentra la seguridad personal, y se definió, al menos en un nivel esencial, en qué consiste dicho derecho. A continuación, se argumentará que los escenarios y las formas de interacción social actuales plantean una serie de nuevos desafíos para la protección y salvaguarda del derecho a la seguridad personal, y, por ello, también para el Estado-Nación.
Actualmente, la sociedad humana atraviesa loque Klaus Schwab definió como “La Cuarta Revolución Industrial”[8], en la cual los avances tecnológicos están generando cambios de paradigma en todas las áreas de la vida, incluyendo la relación entre el Estado y los asociados. Dentro de dichos avances se destacan aquellos que permiten que cada año más personas y dispositivos están conectados al tiempo al ciberespacio, cada vez a una tasa más vertiginosa.
El término ciberespacio no posee una definición única, ha sido definido múltiples veces, desde el sector público y el sector privado, por ejemplo, como “un dominio conformado por un vasto conjunto de redes, cuya manifestación más notoria es el internet, sin que sea la única”[9] o como el “entorno virtual complejo resultante de la interacción de personas, software, hardware y servicios en Internet a través de dispositivos tecnológicos conectados a dicha red”[10]. A consideración del autor, la segunda definición citada es más acertada, ya que da cuenta de que el ciberespacio es un entorno, esencialmente, de interacción donde participan humanos y máquinas, para acceder a servicios.
Ahora bien, el surgimiento de este metaespacio[11], meramente digital, donde desaparecen las limitaciones propias de la materia, “ha llevado a la democratización de un sinnúmero de aspectos de la vida humana, pero también ha creado espacios o lugares cibernéticos a los cuales el derecho no ha llego o ha llegado a medias”[12]. Este retraso en la adaptación del derecho a las nuevas formas de interacción humana en el ciberespacio, ha resultado en una deficiente protección por parte de los Estados. Lo anterior, debido a que los asociados se sumergen en una dimensión que escapa al control y protección estatal convencional, pero que resulta absolutamente necesaria para el desarrollo satisfactorio de las necesidades humanas básicas como el trabajo, la comunicación, el ocio, entre otras, a tal punto que hay sectores de la doctrina que consideran el ciberespacio como un derecho público sujeto a la protección y la defensa estatal[13].
En ese orden de cosas, y tomando en cuenta la ineludible necesidad de la sociedad de un constante conexión a internet, se puede afirmar que el ciberespacio es un elemento central en la sociedad humana actual, pero sobre el cual no pesan o no son fácilmente justiciables o ejecutables las regulaciones y actuaciones del mundo físico. Esta dependencia del ciberespacio y sus especiales características[14], son de las que se aprovechan diferentes actores para cometer actos contrarios al ordenamiento jurídico. Concretamente,
“Un mundo cada vez más globalizado le dio surgimiento a uno de los mayores retos para la humanidad actualmente: la ciberseguridad como respuesta contra las diversas amenazasde la ciberdelincuencia o cibercriminalidad. Estas amenazas no solo afectan a los individuos de manera directa, sino, también a las naciones y al sector privado (…).”[15] (Resaltado fuera del texto)
De la cita anterior, se encuentra que la ciberseguridad es una respuesta que surge desde todos los sectores que se ven expuestos a las amenazas creadas por ciberdelincuentes y cibercriminales. Estos actores cibernéticos al margen de la ley pueden generar afectaciones en todos los niveles de la vida social, desde el secuestro de cuentas de redes sociales de artistas hasta el secuestro de sistemas de información y bases de datos de servicios sociales críticos, como hospitales o centros de control de tráfico. Así pues, la ciberseguridad abordaría temas como las amenazas de daños a infraestructuras fundamentales para la vida en sociedad, como los sectores de energía, agua, el sistema financiero, alimentación, entre otras redes y sistemas[16].
La afectación a infraestructuras de tal criticidad por medio de ciberataques representa no solo un problema para el Estado afectado, al ver comprometidos las instalaciones, la afectación a los servicios que prestan y demás activos, sino también para los asociados al afectar el desarrollo de la vida de la población civil y sus condiciones mínimas de existencia[17].
Existen varios ejemplos de ciberataques que han causado daños a los Estados, empresas y a la población civil, como el ataque al Colonial Pipeline en Estados Unidos que suspendió la operación de uno de los oleoductos más importantes de ese país a través de un ataque con ransomware[18]; o la sospecha de la muerte de una mujer como consecuencia de un ciberataque contra un hospital en Alemania[19].
Ante estas modalidades de ataque, y la magnitud de sus posibles consecuencia, la ciberseguridad se muestra como un nuevo componente esencial del deber general de protección y del derecho a la seguridad personal que los Estados-Nación, incluido el colombiano, deben abordar para protegerse y proteger a las personas que en su territorio residen.
Lo anterior ha sido un tema que se ha venido desarrollando desde el gobierno nacional desde hace algunos años, pero que solo recientemente ha sido tratado de asociar a una normativa específica de carácter general.
A saber, el Consejo Nacional de Política Económica y Social desde hace varios años viene abordando varios aspectos la seguridad digital, a través de documentos conpes.
Primero, el documento CONPES 3701 de 2011 estableció los lineamientos de política para ciberseguridad y ciberdefensa. En este documento se reconoció que la principal problemática del país era que la capacidad de aquel entonces para afrontar amenazas cibernéticas presentaba debilidades y no existía una estrategia de orden nacional sobre el tema[20].
Luego, el documento CONPES 3854 de 2016 reconoció un incremento de las actividades económicas y sociales que venían desempeñándose en el entorno digital, y los riesgos propios de esta forma de desarrollo de dichas actividades[21]. Este documento fue una evolución interesante de enfoque toda vez que cambió el paradigma “al incluir la gestión del riesgo como uno de los elementos más importantes para abordar la seguridad digital”[22].
Más recientemente, el documento CONPES 3995 de 2020 ya habló de una “alta dependencia de la infraestructura digital y el aumento en el uso y adopción de nuevas Tecnologías de la Información y las Comunicaciones (TIC) traen consigo una serie de riesgos e incertidumbres relacionados con la seguridad digital”[23]. En consecuencia, ese documento Conpes estableció la política nacional de confianza y seguridad digital.
Los anteriores documentos, si bien describen políticas públicas relevantes de cara a la ciberseguridad a nivel nacional, carecían de un instrumento normativo que ayudara, a través de la obligatoriedad propia de éstos, a darle alcance a los lineamientos y objetivos que contienen. Sin embargo, esta situación cambió hace relativamente poco con la publicación para comentarios por parte del Ministerio de Tecnologías de la Información y las Comunicaciones de un proyecto de decreto en materia de ciberseguridad.
El proyecto de decreto busca establecer “los lineamientos generales para fortalecer la gobernanza de la seguridad digital, la identificación de infraestructuras críticas cibernéticas y servicios esenciales, la gestión de riesgos y la respuesta a incidentes de Seguridad Digital”[24]. Salvo que se realicen cambios a partir de los comentarios, el proyecto determina que su ámbito de aplicación es sobre toda la administración pública, lo que le da un mayor alcance, al hacerlo obligatorio, que no habían tenido los documentos conpes antes mencionados.
Este instrumento normativo incluye una serie de principios, conceptos, obligaciones, plazos e instancias claramente definidas que, en principio, supondrían un avance de toda la Nación y no sólo de algunas de sus instituciones hacia una mejor gestión de la ciberseguridad.
Se destaca como punto positivo del proyecto de decreto, que se encarga, al menos de forma inicial, de asignar obligaciones y responsabilidades para identificar las infraestructuras críticas cibernéticas y servicios esenciales. Lo anterior, es un buen comienzo para la adecuada gestión de los riesgos de las infraestructuras accesibles a través del ciberespacio que son fundamentales para la vida en la sociedad contemporánea, ya que para poder definir adecuadamente cómo proteger activos y servicios, se deben conocer primero cuáles son y su nivel de relevancia.
Las políticas públicas contenidas en los documentos conpes mencionados y el proyecto de decreto aludido, dan cuenta de que se viene realizando una labor inicial importante de cara a garantizar la seguridad de los asociados en el ciberespacio. Lo anterior, es absolutamente relevante ya que las autoridades de Colombia, gracias a la amplitud e indeterminación del deber general de protección a los asociados y sus derechos, tienen el deber de proteger, y los habitantes el derecho a ser protegidos, también en el ciberespacio. Esto, ya que la ciberdelincuencia y la cibercriminalidad han demostrado ser capaces de poner en riesgo bienes jurídicos especialmente importantes para el conglomerado social, como afectaciones a infraestructuras críticas, o el ciberespacio mismo, que son necesarios para el desarrollo de la vida en sociedad y de la satisfacción de las necesidades básicas.
Más aún, se estima que en caso de que el Estado-Nación no despliegue conductas que activamente busquen la protección de sus asociados en el ciberespacio a través de una adecuada, oportuna, eficiente y eficaz gestión de la ciberseguridad, estaría posiblemente comprometiendo su responsabilidad por omisión en los términos del artículo 90 superior. Un ejemplo, aunque no relacionado con el ámbito del ciberespacio, es la condena en contra de Colombia proferida por la Corte Interamericana de Derechos Humanos por el caso de la “Masacre de Mapiripán”, en la cual la Corte, dentro de sus consideraciones incluyó la siguiente:
“111. Dicha responsabilidad internacional puede generarse también por actos de particulares en principio no atribuibles al Estado. Los Estados Partes en la Convención tienen obligaciones erga omnes de respetar y hacer respetar las normas de protección y de asegurar la efectividad de los derechos allí consagrados en toda circunstancia y respecto de toda persona. Esas obligaciones del Estado proyectan sus efectos más allá de la relación entre sus agentes y las personas sometidas a su jurisdicción, pues se manifiestan también en la obligación positiva del Estado de adoptar las medidas necesarias para asegurar la efectiva protección de los derechos humanos en las relaciones inter-individuales. La atribución de responsabilidad al Estado por actos de particulares puede darse en casos en que el Estado incumple, por acción u omisión de sus agentes cuando se encuentren en posición de garantes, esas obligaciones erga omnes contenidas en los artículos 1.1 y 2 de la Convención.”[25] (Resaltado fuera del texto)
Así pues, con base en la cita anterior, no resulta ilógico pensar que el Estado-Nación puede llegar a ser responsable de violaciones de derechos humanos, especialmente el derecho a la seguridad personal, como consecuencia de omisiones en su deber de protección de los habitantes de su territorio en el ciberespacio. Por ello, la ciberseguridad surge, no solo como un tema primordial para el Estado, sino como un nuevo componente esencial del deber de protección del Estado para garantizar el derecho a la seguridad personal.
[1] Abogado de la Universidad de los Andes. Estudiante de segundo año de la Maestría en Derecho Informático y Nuevas Tecnologías ofrecida por las universidades Externado de Colombia y Complutense de Madrid. Con experiencia laboral en contratación estatal, servicios públicos y responsabilidad del Estado. Actualmente se desempeña como abogado en una entidad financiera completamente digital, con énfasis en contratos informáticos, protección de datos personales y temas asociados a ciberseguridad.
[2] Constitución Política de la República de Colombia. Artículo 2º. 4 de julio de 1991. Recuperado en línea de: http://www.secretariasenado.gov.co/senado/basedoc/constitucion_politica_1991.html
[3] A manera de ejemplo pueden citarse la Declaración Universal de Derechos Humanos de 1948 y la Convención Americana de Derechos Humanos (Pacto de San José) de 1969.
[4] CORTE CONSTITUCIONAL. Sentencia T-411 del 4 de octubre de 2018. Magistrado Ponente: Carlos Bernal Pulido. Referencia: Expediente T-6.727.306.
[5] CORTE CONSTITUCIONAL. Sentencia T-123 del 19 de marzo de 2019. Magistrado Ponente: Luis Guillermo Guerrero Pérez. Referencia: Expediente T-6.844.961.
[6] CORTE CONSTITUCIONAL. Sentencia T-719 del 20 de agosto de 2003. Magistrado Ponente: Manuel Jose Cepeda Espinosa. Referencia: Expediente T-722379.
[7] Ibídem.
[8] SCHWAB, Klaus. La cuarta revolución industrial. Debate, 2016.
[9] República de Colombia. Comisión de Regulación de Telecomunicaciones. Resolución 2058 de 2009, art. 1.9. en GARCÍA, María Camila Medina. El ciberconflicto: nuevos desafíos para el derecho internacional humanitario. Universidad Externado de Colombia, 2018.
[10] MINISTERIO DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES. Proyecto de Decreto “Por el cual se adiciona el Título 21 a la Parte 2 del Libro 2 del Decreto Único Reglamentario del Sector de Tecnologías de la Información y las Comunicaciones, Decreto 1078 de 2015, con el fin de establecer los lineamientos generales para fortalecer la gobernanza de la seguridad digital, la identificación de infraestructuras críticas cibernéticas y servicios esenciales, la gestión de riesgos y la respuesta a incidentes de Seguridad Digital”, pág 5. 2022. Recuperado en línea de: https://www.mintic.gov.co/portal/715/articles-198588_proy_dec_ciber.docx
[11] Esta es una afortunada expresión que he tomado de Emilio Suñé Llinás, profesor Catedrático de la Universidad Complutense de Madrid. Durante sus clases la usa para resaltar que el ciberespacio representa una dimensión más allá de la concepción material del espacio y del hardware que lo sustenta, como un área de interacción completamente digital
[12] FORERO RAMÍREZ, J., 2019. Ciberespacio, ciberseguridad y ciberjusticia en la era digital. 1st ed. Bogotá D.C.: Ibáñez, p.32.
[13] FORERO RAMÍREZ, J., 2019. Ciberespacio, ciberseguridad y ciberjusticia en la era digital. 1st ed. Bogotá D.C.: Ibáñez, p.347, después de citar a CARRILLO, Margarita Robles. El ciberespacio y la ciberseguridad: Consideraciones sobre la necesidad de un modelo jurídico. Instituto Español de Estudios Estratégicos, Documento de Opinión 124, 2015.
[14] Desmaterializado, con la posibilidad de ser asincrónico, fácilmente accesible, con cierto grado de anonimidad, y difícilmente controlable.
[15] FORERO RAMÍREZ, J., 2019. Ciberespacio, ciberseguridad y ciberjusticia en la era digital. 1st ed. Bogotá D.C.: Ibáñez, p.345.
[16] FORERO RAMÍREZ, J., 2019. Ciberespacio, ciberseguridad y ciberjusticia en la era digital. 1st ed. Bogotá D.C.: Ibáñez, p.349.
[17] GARCÍA, María Camila Medina. 2018. El ciberconflicto: nuevos desafíos para el derecho internacional humanitario. Bogotá D.C.: Universidad Externado de Colombia, p 38.
[18] Esto con base en el artículo de The New York Times, recuperado en línea de: https://www.nytimes.com/2021/05/08/us/politics/cyberattack-colonial-pipeline.html
[19] Esto con base en el artículo de The New York Times, recuperado de en línea de: https://www.nytimes.com/2020/09/18/world/europe/cyber-attack-germany-ransomeware-death.html
[20] CONSEJO NACIONAL DE POLÍTICA ECONÓMICA Y SOCIAL. Documento Conpes 3701. 14 de julio de 2011. Pág 2. Recuperado en línea de: https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3701.pdf
[21] CONSEJO NACIONAL DE POLÍTICA ECONÓMICA Y SOCIAL. Documento Conpes 3854. 11 de abril de 2016. Pág 3. Recuperado en línea: https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3854.pdf
[22] Ibidem.
[23] CONSEJO NACIONAL DE POLÍTICA ECONÓMICA Y SOCIAL. Documento Conpes 3995 del 01 de julio de 2020. Pág 3. Recuperado en línea de: https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3995.pdf
[24] MINISTERIO DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES. Proyecto de Decreto “Por el cual se adiciona el Título 21 a la Parte 2 del Libro 2 del Decreto Único Reglamentario del Sector de Tecnologías de la Información y las Comunicaciones, Decreto 1078 de 2015, con el fin de establecer los lineamientos generales para fortalecer la gobernanza de la seguridad digital, la identificación de infraestructuras críticas cibernéticas y servicios esenciales, la gestión de riesgos y la respuesta a incidentes de Seguridad Digital”, pág 5. 2022. Recuperado en línea de: https://www.mintic.gov.co/portal/715/articles-198588_proy_dec_ciber.docx
[25] CORTE INTERAMERICANA DE DERECHOS HUMANOS. Sentencia del 15 de septiembre de 2005. Jueces: Sergio García Ramírez, Presidente; Alirio Abreu Burelli, Vicepresidente; Oliver Jackman, Juez; Antônio A. Cançado Trindade, Juez; Manuel E. Ventura Robles, Juez; y Gustavo Zafra Roldán, Juez ad hoc. Referencia: Caso de la “Masacre de Mapiripán” vs. Colombia.