La Responsabilidad por el Hecho Ajeno: Lecciones en protección de datos derivadas del caso Scotiabank

La era digital ha transformado radicalmente el panorama de riesgos para las empresas. Donde antes la principal preocupación eran los activos físicos, hoy la información, como se sabe, se ha convertido en el recurso más valioso y, a su vez, en uno de los más vulnerable. La reciente sanción impuesta por la Superintendencia de Industria y Comercio (SIC) a Scotiabank Colpatria, por más de $700 millones de pesos por una presunta violación al régimen general de protección de datos, es una manifestación palpable de esta nueva realidad y un llamado de atención sobre principios jurídicos que, aunque clásicos, adquieren una vigencia renovada: la responsabilidad por el hecho ajeno y la culpa in vigilando.

El caso en cuestión es un arquetipo de la amenaza interna. No se trató de un ciberataque perpetrado por una organización criminal externa, sino de una acción deliberada de un funcionario del propio banco. Según la investigación de la SIC, este empleado utilizó sus accesos autorizados para extraer y compilar una base de datos con información sensible de más de 700,000 clientes en un periodo de casi cuatro años continuos, con la intención de comercializarla. Este hecho pone de relieve que la mayor vulnerabilidad de una organización puede no estar en su firewall, sino en su capital humano.

La decisión de la autoridad de protección de datos no se centró en si la venta de la información se concretó o no, sino en un aspecto más profundo y relevante para el derecho corporativo: la falla en el deber de custodia y seguridad. La SIC determinó que la entidad financiera no había implementado las medidas técnicas y administrativas apropiadas y suficientes para prevenir la fuga de información. En otras palabras, la organización falló en su obligación de supervisar eficazmente las actividades de sus dependientes, materializando así la figura de la culpa in vigilando.

Este concepto, arraigado en el derecho civil, establece que quien tiene a su cargo el cuidado o la dependencia de otra persona debe responder por los daños que esta cause en el ejercicio de sus funciones. Se presume que, si el dependiente causó un perjuicio, fue porque el principal no ejerció adecuadamente su poder de dirección y control. Si bien esta presunción admite prueba en contrario, la carga probatoria para la empresa es inmensa: debe demostrar que, a pesar de haber actuado con la máxima diligencia y prudencia, le fue imposible prever o impedir el hecho dañoso. En el contexto de la Ley 1581 de 2012 (Régimen General de Protección de Datos Personales), este deber de diligencia se traduce en la obligación de adoptar medidas demostrables para garantizar la seguridad de los datos, lo que se conoce como el Principio de Responsabilidad Demostrada (accountability).

La sanción a Scotiabank es, por tanto, un recordatorio de que la responsabilidad empresarial no es delegable en la buena fe del empleado. La confianza, si bien es un pilar de la relación laboral, no constituye una eximente de responsabilidad ante la ley ni ante terceros.

Lecciones Jurídicas y Estratégicas del caso

Este precedente administrativo nos obliga a extraer lecciones críticas que toda junta directiva y gerencia legal debería incorporar a su mapa de riesgos. No se trata solo de evitar una multa, sino de proteger la reputación corporativa y la confianza de los clientes, activos que son mucho más difíciles de recuperar.

1. El control prevalece sobre la confianza: Desde una óptica legal, el "principio de mínimo privilegio" debe ser la piedra angular de la gestión de acceso a la información. Esto implica que cada empleado debe tener acceso únicamente a los datos y sistemas indispensables para el ejercicio de sus funciones específicas. Otorgar permisos amplios bajo la premisa de la confianza es, a ojos del regulador, una negligencia. Las empresas deben poder demostrar que han realizado una segregación de funciones y una gestión de perfiles de usuario rigurosa como parte de su debida diligencia.

2. La tecnología como aliado probatorio: La supervisión no puede ser meramente nominal. En la era digital, la vigilancia se ejerce a través de la tecnología. La implementación de soluciones de Prevención de Pérdida de Datos (DLP), sistemas de monitoreo de actividad de usuarios (UAM) y auditorías de registros (logs) no son solo herramientas operativas, sino elementos probatorios fundamentales. Ante una investigación, la capacidad de demostrar que se contaba con sistemas que alertaban sobre la descarga masiva de archivos o el envío de información sensible a dominios externos puede ser la diferencia entre una defensa sólida y una sanción.

3. La cultura de cumplimiento como atenuante del riesgo: Una política de seguridad de la información archivada en un cajón carece de valor estratégico. Es indispensable que dicha política se materialice en una cultura organizacional viva. Esto se logra con capacitaciones periódicas, simulacros de incidentes, cláusulas claras en los contratos laborales sobre el manejo de información confidencial y la creación de canales de denuncia efectivos. Fomentar una cultura donde cada empleado se entienda como un custodio de los datos de la empresa y de sus clientes reduce la probabilidad del acto doloso y demuestra un compromiso real con el cumplimiento.

4. La responsabilidad solidaria: Es importante recordar que, frente a la víctima, la responsabilidad del empleador y del empleado puede ser solidaria. El afectado puede reclamar la totalidad de la indemnización a la empresa por su mayor solvencia. Sin embargo, la compañía conserva la "acción de repetición", es decir, el derecho a exigirle legalmente al empleado el reembolso de lo que pagó por su culpa. Aunque recuperar estos fondos puede ser difícil, ejercer esta acción envía un mensaje contundente sobre la intolerancia a este tipo de conductas.

En definitiva, el caso Scotiabank debe catalizar una reflexión profunda en el empresariado colombiano. La protección de datos no puede concebirse ya desde visiones de silos separados, sean estos meramente técnicos o estrictamente jurídicos. Ha dejado de ser un asunto aislado para convertirse en un pilar de la estrategia empresarial y de la gobernanza corporativa, un concepto holístico que abarca a la totalidad de la organización. La pregunta que todo gerente debe hacerse hoy no es si confía en sus empleados, sino si ha implementado y puede demostrar los controles necesarios para vigilar eficazmente el activo más valioso de su compañía: la información.