Fabio Alberto Salazar Lopera

 Los riesgos en los procedimientos de seguridad informática están

dirigidos a la posibilidad de que con estos se afecten otros
derechos involucrados en el sistema.
 Existen vulneraciones al derecho a la intimidad de los
trabajadores, terceros o usuarios, cuando en la investigación de
incidentes de seguridad se dañan o ponen en peligro datos o
informaciones personales, mediante la revelación o la propia
destrucción de estos.
 La investigación que permite el C.P.P. para la recolección de
elementos materiales de prueba y evidencia física, para la
penalización de delitos informáticos constituyen una nueva
responsabilidad penal, si no se respetan las normas vigentes.
 Hay forma de adelantar procedimientos legítimos de
investigación de delitos informáticos sin que esto constituya un
delito contra la intimidad y otros bienes jurídicos.
 El objetivo es reducir o prevenir el riesgo jurídico de los
administradores del sistema de información.
 Estipular una política de seguridad clara en cuanto al uso de
los sistemas de información (NTC- 17799 y 27002 de 2005).
 Los términos de uso y las políticas de seguridad de un sistema
de información publico o privado deben ser conocidos y
aceptados por todos los usuarios, a través del consentimiento
como manifestación de la voluntad.
 Aplicación del principio de “beneficencia informática” para los
activos de información.
 Aplicación del principio de relevancia jurídica frente a los
incidentes de seguridad.
 Aplicación de las causales de ausencia de responsabilidad.
 La posición de garante frente los activos de información.
 Es un documento legal para la definición de los sistemas de
información, de los activos y de las responsabilidades legales y
contractuales.
 Implica responsabilidades y derechos que deben ser conocidos y
aceptados por las partes, mediante un acuerdo de voluntades.
 Como contrato, es ley para las partes y debe ser ejecutado de
buena fe.
 Todo el ordenamiento jurídico tiene vigencia dentro de la política
de seguridad.
 Definirse claramente los procedimientos de seguridad informática
que permitirán unas reglas de juego en la investigación (Debido
Proceso).
 El usuario deberá conocer y aceptar las políticas mediante su
consentimiento, el cual comprende entre otras, la posibilidad de
ser monitoreado (Valoración ética del consentimiento).
 Son aquellos que se “activan” con ocasión de un incidente de
seguridad en un sistema de información y deben estar definidos:
◦ Monitorización: actividades de registro, supervisión, protección
y actividades diarias (NTC- ISO 27002).
◦ Evaluación de los controles de sistema de gestión de la
seguridad.
◦ Recolección de pruebas digitales: sobre bases de datos,
equipos o registros electrónicos.
 En sí, todas aquellas actividades que realiza el administrador
de un sistema de información para controlar y proteger los
activos de la información y orientar al personal en el uso.
Finalidad: identificar el responsable de una conducta e
implementar las practicas para proteger los activos de
información y aportar elementos materiales de prueba para
una investigación.
 Son aquellos que se “activan” con ocasión de un incidente de
seguridad en un sistema de información y deben estar
definidos:
◦ Monitorización: actividades de registro, supervisión,
protección y actividades diarias (NTC- ISO 27002).
 Queda proscrito todo registro o allanamiento sobre bienes ajenos sin
previa orden del juez competente (Art. 14 Ley 906 del 2004).
 Lo propio sucede con las bases de datos restringidas al uso publico.
 La monitorización en una política de seguridad es una actividad privada
que se realiza sobre bienes propios, donde basta la autorización por su
titular, siempre que no se afecten derechos fundamentales.
 Finalidad del procedimiento es garantizar el ejercicio del derecho
informático y a la información.
 Puede suceder que esta monitorización recaiga sobre efectos personales,
entonces la política debe ser clara en la forma como deben disponerse,
los datos e información personal.
 Son aquellos que se “activan” con ocasión de un incidente de
seguridad en un sistema de información y deben estar
definidos:
◦ Recolección de pruebas digitales: sobre bases de datos,
equipos o registros electrónicos.
 En virtud del derecho de contradicción, las partes tendrán
derecho a conocer y a controvertir pruebas, así como
intervenir en el proceso de formación de las evidencias
físicas o elementos materiales probatorios (Art. 15 Ley
906 de 2004).
 Deberá ser recolectada, preservada y presentada ante la
autoridad competente, conforme a las reglas de los
códigos de procedimiento civil y penal.
Finalidad: demostrar la existencia de una responsabilidad
por el uso o el abuso de un sistema de información.
 Los usuarios del sistema pueden tener información
personal dentro del sistema:
◦ Datos relativos al individuo.
◦ Documentos de propiedad intelectual.
◦ Información confidencial.

Si esta información se llegare a conocer o a

destruir con ocasión de un procedimiento puede
incurrirse e un delito.
 Estos procedimientos están motivados por la
protección de los siguientes bienes jurídicos
tutelados por el Estado:
◦ De la violación a la intimidad, reserva e
interceptación de comunicaciones.
◦ De la protección a la información y a los datos.

Todo el proceso sancionatorio penal o disciplinario

gira en torno a estos dos intereses.
 Problema ético:
 Es viable que el consentimiento dado de manera previa y general,
pueda ser utilizado para la renuncia a derechos fundamentales?
 Los derechos fundamentales son derechos subjetivos que están
protegidos por un interés publico y que son esenciales para la
vida en comunidad, por ende son indisponibles.
 Es por esto que en un conflicto de derechos, tendrá aplicación
preferente el de mayor jerarquía.
 No se podrán anteponerse derechos fundamentales, para
beneficiarse del propio dolo.
 Estaría justificada una monitorización a un sistema de
información cuando con ello se pretenden proteger intereses
legítimos y no como mecanismo de seguimiento personal (Art.
223 Ley 906 del 2004).
 Pese a la existencia de la libertad en la formación de la prueba,
corresponde a la fiscalía dirigir y coordinar la investigación.

 ACTUACIONES QUE NO REQUIEREN AUTORIZACIÓN JUDICIAL PREVIA PARA

SU REALIZACIÓN:
◦ ARTÍCULO 213. INSPECCIÓN DEL LUGAR DEL HECHO. Inmediatamente
se conozca la ocurrencia de un incidente.
◦ ARTÍCULO 215. INSPECCIONES EN LUGARES DISTINTOS AL DEL HECHO.
◦ ARTÍCULO 216. ASEGURAMIENTO Y CUSTODIA. La prueba debe ser
recolectada y custodiada adecuadamente, respetando el derecho a la
intimidad.
◦ ARTÍCULO 219. PROCEDENCIA DE LOS REGISTROS Y ALLANAMIENTOS.
En los casos de flagrancia y cuando existan indicios de una conducta
punible previo el diligenciamiento de una proforma y ser ordenado por
el fiscal.
 No podrá recaer sobre comunicaciones personales.
 Requiere el consentimiento del propietario del bien.
 Son responsables por los activos de información quienes la
crean, la administran y la usan.
 Recae sobre las redes, los equipos, los documentos, las bases
de datos y sobre la información (Ley 1273 del 2009).
 También sobre las condiciones de uso, frente a lo cual se
acepta un reglamento, mediante un consentimiento expreso.
◦ Entre otras, sobre la conservación de archivos y fuentes de carácter
personal, sobre lo cual existen conflictos en los procedimientos.
◦ Al respecto, la exigencia seria en que el usuario no conserve archivos de
carácter personal, o relativos a su persona dentro del sistema de
información privado, porque esto puede dañar o afectar los activos de
información del titular.
◦ Si los conserva, que se clasifiquen en carpetas separadas que permitan la
monitorización sin intervención a efectos personales.
 Hace analogía al mismo principio aplicado en la medicina, según
el cual el medico deberá determinar que es lo mas conveniente
para un paciente, así esto represente alguna lesión para el
paciente, con el animo de propender su bienestar.
 En este caso, la intervención a los sistemas de información
propios se justifica gracias al consentimiento del usuario para
garantizar la mejor gestión de la seguridad, lo cual no implica
una facultad ilimitada, sino mas bien ajustada a los derechos que
puedan verse afectados.
 Si en una monitorización o en una recolección probatoria se
presenta de manera inintencionada un conocimiento de
información privada o reservada, no se producirá lesión a los
bienes jurídicos si esta información no es revelada y si la
finalidad del procedimiento es preservar la seguridad informática.
 De la violación a la intimidad, reserva e interceptación de
comunicaciones

◦ Artículo 192. Violación ilícita de comunicaciones. El que

ilícitamente sustraiga, oculte, extravíe, destruya, intercepte,
controle o impida una comunicación privada dirigida a otra
persona, o se entere indebidamente de su contenido …

 Los procedimientos de seguridad informática pueden

representar intervenciones sobre efectos personales, que bajo la
forma de comunicaciones tengan datos o creaciones
intelectuales que están protegidas.
 De la violación a la intimidad, reserva e interceptación de
comunicaciones

◦ “Artículo 194. Divulgación y empleo de documentos

reservados. Modificado por el art. 25, Ley 1288 de 2009. El
que en provecho propio o ajeno o con perjuicio de otro
divulgue o emplee el contenido de un documento que deba
permanecer en reserva…”

 Los usuarios del sistema informático pueden contar con

documentos o datos referentes a la persona que no pueden ser
desconocidos con ocasión de un procedimiento informático, lo
cual incluye, por acción o por omisión, la divulgación o
aprovechamiento de los datos personales (Art. 25 Ley 599 de
2000).
 De la violación a la intimidad, reserva e interceptación de
comunicaciones

◦ “Artículo 195. Acceso abusivo a un sistema

informático. Modificado por el art. 25, Ley 1288 de
2009, Derogado por el art. 4, Ley 1273 de 2009. El que
abusivamente se introduzca en un sistema informático
protegido con medida de seguridad o se mantenga contra la
voluntad de quien tiene derecho a excluirlo …”

 La política de seguridad o los términos de uso, deben

comprender la posibilidad de realizar monitorización de los
archivos personales.
 En virtud del derecho de propiedad intelectual, un usuario de un
sistema de información podría mantener excluido de sus efectos
personales a cualquier persona, aduciendo protección a la
intimidad.
 Es un derecho fundamental que protege la esfera privada de
las personas para que no sea molestada por terceros, en
todos los aspectos de su vida que solo atañen a su titular.
 Hay dos expresiones: la inviolabilidad del domicilio y de las
comunicaciones.

 Tiene una doble connotación:

◦ es el conjunto de hechos íntimos – privados. ( lo que esta
fuera del conocimiento de los extraños)
◦ el derecho a la intimidad es una dimensión de la esfera de la
libertad individual que debe estar protegida de la coacción
 El objeto de protección del derecho fundamental al hábeas
data es el dato personal que tiene como características: “i)
estar referido a aspectos exclusivos y propios de una persona
natural, ii) permitir identificar a la persona, en mayor o menor
medida, gracias a la visión de conjunto que se logre con el
mismo y con otros datos; iii) su propiedad reside
exclusivamente en el titular del mismo, situación que no se
altera por su obtención por parte de un tercero de manera
lícita o ilícita, y iv) su tratamiento está sometido a reglas
especiales (principios) en lo relativo a su captación,
administración y divulgación.

 Corte Constitucional, Sentencia C – 1011 de 2008, M.P. Jaime

Córdoba Triviño
Cuando diversos principios constitucionales
entran en colisión, corresponde al juez
constitucional no sólo estudiar la
constitucionalidad de la finalidad perseguida por
la medida examinada sino, además, examinar si la
reducción del derecho es proporcionada, a la luz
de la importancia del principio afectado.
Debe el juez
-determinar si el trato diferente y la restricción a
los derechos constitucionales son "adecuados"
para lograr el fin perseguido

-sison "necesarios", en el sentido de que no exista

otro medio menos oneroso en términos de
sacrificio de otros principios constitucionales para
alcanzar el fin perseguido

--si son "proporcionados stricto sensu", esto es,

que no se sacrifiquen valores y principios que
tengan un mayor peso que el principio que se
pretende satisfacer.”
Para atender los intereses del titular y los derechos de
terceros, es preciso atender a este principio, según el cual
pretende resolver un dilema o juicio ético de proteger un
derecho frente al otro, cuando el principio afectado es más
importante que el otro.

•Para investigar un sistema informático, se podrán intervenir

incluso los archivos personales, para determinar la ocurrencia
de un incidente de seguridad.
•Esta facultad está limitada al deber de mantener
reservada la información confidencial.
•En la recuperación de un sistema informático, deberá primar
la protección a los datos informáticos, por encima de los
programas o redes que la componen.
•Si de la ocurrencia de incidentes de seguridad se produce la
afectación a valores superiores como la vida, la integridad
física, la dignidad del titular o la libertad, deberá privilegiarse
su protección sobre otros derechos.
•Ante el daño y la pérdida de información primará el derecho
a la información privilegiada que a los datos públicos o que
no representen información confidencial.
Es un limite para el legislador y para las partes a la hora de
determinar el alcance de las disposiciones legales o
contractuales, en la política de seguridad, para determinar la
gravedad de las conductas y las consecuencias jurídicas
acordes con estas.
“El legislador, en ejercicio de las competencias
constitucionales de las que es titular, puede establecer
procedimientos distintos y consagrar regímenes
diferenciados para el juzgamiento y tratamiento penitenciario
de delitos y contravenciones, pudiendo, incluso, realizar
diferenciaciones dentro de cada uno de estos grupos, en la
medida en que unos y otros se fundamenten en criterios de
razonabilidad y proporcionalidad que atiendan una valoración
objetiva de elementos tales como, la mayor o menor
gravedad de la conducta ilícita, la mayor o menor repercusión
que la afectación del bien jurídico lesionado tenga en el
interés general y en el orden social, así como el grado de
culpabilidad, entre otros.”
sentencia C-592/98 (M.P. Fabio Morón Díaz)
 El procedimiento de investigación se justifica si existen
elementos que permitan inferir la ocurrencia de un hecho.
 Si el procedimiento se inicia por otras razones como la
conveniencia o la mera liberalidad, se estaría atentando contra
los derechos del individuo.
 La investigación debe centrarse en los daños efectivamente
ocurridos sobre los sistemas de información, los activos, las
bases de datos y la información.
 No puede basarse en presunciones infundadas o por razones
personales.
 Una investigación debe fundarse sobre resultados objetivos
que afecten o pongan en riesgo los activos informáticos.
 En los procedimientos de seguridad informática no habrá
responsabilidad y por ende no podría ser culpable el
administrador de activos de información, si su actuar se
encuentra fundado:
 Artículo 32. Ausencia de responsabilidad. No habrá lugar a
responsabilidad penal cuando:
◦ “Num. 2. Se actúe con el consentimiento válidamente emitido por parte del
titular del bien jurídico, en los casos en que se puede disponer del mismo.”
Los procedimientos que se apoyen en la política de seguridad estarán
amparados por esta causal, pues cuentan con autorización del titular para
proceder a la investigación.
◦ “Num. 7. Se obre por la necesidad de proteger un derecho propio o ajeno
de un peligro actual o inminente, inevitable de otra manera, que el agente
no haya causado intencionalmente o por imprudencia y que no tenga el
deber jurídico de afrontar. “ El administrador o investigador esta facultado
para intervenir los sistemas de información cuando exista un peligro de
perdida o destrucción de información reservada o privilegiada.
 El desarrollo del procedimiento de seguridad informática,
pone al administrador o al investigador en el deber jurídico de
impedir el resultado frente a los bienes jurídicos tutelados por
el Estado, asumiendo la posición de garante:
 Artículo 25. Acción y omisión. La conducta punible puede ser
realizada por acción o por omisión.

 Son constitutivas de posiciones de garantía las siguientes

situaciones:
 Cuando se asuma voluntariamente la protección real de una
persona o de una fuente de riesgo, dentro del propio ámbito
de dominio.
 Las intervenciones sobre los sistemas de información están
legitimadas por el consentimiento dado en los términos de uso, en
protección de los intereses privados gracias a la política de
seguridad.
 Todo daño a los sistemas de información público o privado, tiene
consecuencias identificables, cuando este es relevante frente a los
bienes jurídicos tutelados.
 Tales intervenciones pueden recaer sobre efectos de la esfera privada
del individuo, pero amparados en el consentimiento para el uso del
sistema, y dando aplicación a la posición de garante, podrá
conocerse la verdad sobre los hechos, gracias al deber de mantener
reservada la información confidencial y reservada de todos los
individuos.