latest posts

Ciberseguridad

La importancia de los datos personales en evidencias digitales

La pandemia del coronavirus (covid-19) ha permitido un vertiginoso aumento del uso de herramientas digitales, lo cual implica que el tratamiento de datos personales se ha convertido en un asunto de primer nivel. Así, compartimos información, nos relacionamos, nos comunicamos por sistemas digitales y, en general, gran parte de nuestra vida transcurre en la red.

La interacción digital entre individuos ha traído consigo conflictos que, en una sociedad tan golpeada por los cambios inesperados, son cada vez más comunes y en crecimiento. Por esto, no es extraño que, en los litigios y en cualquier área del Derecho, las principales pruebas reposen en la información digital y en los mensajes de datos.

En otro artículo similar, había tenido la oportunidad de hablar de pruebas digitales y mensajes de datos en procesos legales, pero esta vez quiero ir un poco más allá. Desde el conocimiento empírico que he adquirido en casos en donde he tenido la oportunidad de trabajar como perito, he podido identificar que la mayoría de las pruebas digitales solicitadas y posteriormente decretadas y practicadas en procesos legales contienen datos personales. Por esta razón, es casi obligatorio interrelacionar las evidencias electrónicas con el tratamiento de datos personales, tal y como la regulación lo establece.

Interrelación

En nuestro país, la regulación en materia protección de datos personales y presentación de pruebas digitales en escenarios judiciales se interrelaciona o, como diríamos los ingenieros, se sincronizan.

Para este efecto, se debe partir de lo señalado en el artículo 10 de la Ley de Protección de Datos Personales (L. 1581/12), en el que se habilita a los jueces la posibilidad de solicitar datos personales sin autorización de los titulares, en desarrollo de esta facultad, específicamente dentro de la práctica de la prueba. Una vez es nombrado el perito y se posesiona, acepta el encargo e inicia su labor, puede recaudar dichos datos, por supuesto, de acuerdo con las normas procesales correspondientes. Se aclara que el mismo artículo señala que el Régimen de Protección de Datos Personales colombiano es claro en que, así no exista una autorización, se deberá “en todo caso cumplir con las disposiciones contenidas en la presente ley”.

Las disposiciones planteadas por la Ley 1581 del 2012 parten del cumplimiento de todos los principios y los deberes en materia de protección de datos personales. Uno de ellos es el principio de seguridad, el cual indica que se deben incorporar medidas técnicas, humanas y administrativas para evitar riesgos en el tratamiento de los datos personales. Es justo en este punto en el que coinciden los requisitos planteados en el Régimen de Protección de Datos Personales, en el Código General del Proceso (CGP, L. 1564/12) y en la Ley 527 de 1999 (en materia probatoria de los mensajes de datos).

Distintos escenarios

La sincronización de estas leyes tiene tres escenarios desde distintos puntos de vista, pero que confluyen en el propósito de proteger los datos personales en el proceso. Estos son los siguientes:

(i) Los criterios para valorar probatoriamente un mensaje de datos y evaluar su originalidad, de acuerdo con la Ley 527 de 1999, indican que debe existir confiabilidad en la forma en cómo se mantiene la integridad de este, por lo cual, al aplicar el principio de seguridad planteado por la Ley 1581 del 2012, se podría entender que se cumple con esto, toda vez que implicaría la incorporación de medidas técnicas o administrativas que garanticen la integridad a los mensajes de datos en un proceso. Aunado a lo anterior, el CGP es claro en exigir la conservación de los mensajes de datos por las partes de un proceso, de acuerdo con el numeral 12 del artículo 78.

(ii) La identificación del iniciador y cualquier otro factor pertinente de los mensajes de datos que estima el artículo 11 de la Ley 527 de 1999 también permite la aproximación a lo indicado en el principio de transparencia del Régimen de Protección de Datos colombiano. Así, existe un deber de informar a los titulares acerca de los datos personales tratados en mensajes de datos que hagan parte de un proceso. Esto se puede suplir con protocolos de cadena de custodia que, a su vez, también dan cumplimiento con las medidas administrativas asociadas al principio de seguridad de la Ley 1581.

(iii) Las medidas humanas que menciona el principio de seguridad del Régimen de Protección de Datos colombiano se ajustan con lo indicado en los requisitos que debe tener el perito y de los cuales se abordan en los artículos 226 y 235 del CGP. Atributos como la imparcialidad, la preparación y la experiencia, entre otros, son elementos que dan garantía al proceso, asegurando que el tratamiento de datos personales al que hubiere lugar en mensajes de datos se realiza por personas capacitadas para asegurar la información personal de las partes procesales.

Protección en general

En el marco de cualquier proceso judicial, la gestión de evidencias digitales se asocia, en muchas ocasiones, con el tratamiento de datos personales de partes procesales o de personas que no se relacionen con el proceso. Por esto, es fundamental que, aun cuando no se requiera la autorización de titulares, se cumplan los demás aspectos indicados en el Régimen de Protección de Datos Personales.

La administración de justicia no se debe quedar sola en la solicitud de información personal en el marco de cualquier actuación procesal. Debe identificar el responsable del tratamiento de datos personales, lo que trae consigo una serie de compromisos en los que jueces, peritos, auxiliares de la justicia y despachos judiciales confluyen en las acciones responsables y éticas de respeto por los datos personales.

Retos

La constante evolución en materia de trasformación digital que ha tenido la justicia en nuestro país desde el inicio de esta terrible pandemia viene acompañada de retos importantes en materia de protección de datos personales y ciberseguridad, los cuales deben ser abordados desde dos aspectos:

(i) La gestión y la administración de los sistemas de información que tratan constantemente información personal mediante la digitalización de expedientes, notificación de providencias, audiencias orales y demás actuaciones.

(ii) El tratamiento de datos personales que se deban realizar durante cualquier actuación procesal. En este último caso, el perito informático puede brindar un gran apoyo a los administradores de justicia.

En el tratamiento responsable y ético de los datos personales en sistemas de información digital que forman parte de un proceso, se hace indispensable la utilización de estándares internacionales en la gestión de evidencias digitales. En particular, sugiero tener en cuenta lo que indica la Ley Modelo de Comercio Electrónico definida en Colombia en la Ley 527 de 1999, cuyos conceptos son adoptados por el CGP y otras normas procesales.

La preservación o la conservación de los mensajes de datos trae consigo el valor agregado en la protección de los datos personales que se tratan en los procesos judiciales, lo que garantiza, eficientemente, el cumplimiento de los deberes y los principios consagrados en la ley.

Fuente: Ámbito Jurídico