Hace algunos días se informó profusamente en la prensa un “robo de información” de grandes contribuyentes del que habría sido víctima el Servicio de Impuestos Internos (SII). Aparentemente la situación habría sido desmentida por el mismo Servicio, pero de todos modos creo que es una buena ocasión para preguntarse: ¿qué es un robo de información?.
La pregunta es particularmente relevante ya que ‘la información’ no es un bien susceptible de la figura penal del robo, por cuanto no corresponde a un bien material de aquellos que se pueden percibir con los sentidos, ni adquirirse mediante fuerza; sino que un bien intelectual, inmaterial.
Pero esta característica no significa que no pueda ser objeto de delitos. De hecho hace ya un buen par de décadas que la comunidad internacional ha buscado modelos y fórmulas para proteger la información y evitar que llegue a ser conocida por personas inadecuadas.
La principal norma que en nuestro país se refiere a las transmisiones de información (más bien a los datos de los cuales se puede deducir una determinada información) es la ley de protección de datos personales, que no protege de modo alguno la información de las empresas, sino que sólo la de las personas naturales.
Entonces, ¿qué pueden hacer las empresas para proteger su información?; y además, ¿cuánto vale esa información?, ¿cómo puedo asignarle un valor? (esto es particularmente relevante para saber cuántos recursos será necesario invertir en su protección).
Al igual que una marca comercial, la información no tiene mayor valor sino hasta que alguien, en el mercado, está dispuesto a pagar por ella, y para ello se requiere que esa información sea disponible, es decir, que no sea de aquella información cuya venta o circulación está protegida por ley. Esa es una referencia bastante clara, pero que no siempre es posible conocer.
La otra alternativa es la de analizar, con detalle, los efectos de una posible pérdida de la información que utilizo en mi gestión productiva. Para esto los estándares internacionales llaman a categorizar la información, etiquetarla y asignar, a cada tipo, un conjunto de medidas de seguridad que la protejan desde la perspectiva de la disponibilidad, integridad y confidencialidad, como aspectos mínimos.
Lamentablemente, la legislación en nuestro país se ha quedado completamente ajena a la realidad del altísimo valor que puede asumir la información en nuestros días. De ahí que un caso como el del SII hubiera sido castigado como un robo de equipos computacionales, sin considerar de modo alguno la relevancia de la información que contenían.
Tener conciencia de la importancia de la información es crucial para toda empresa en nuestros días, y hacerse asesorar para su correcta protección es una labor que debe abordarse con seriedad y, en muchos casos, con urgencia. Otro tanto se debe pedir al legislador, ya que nuestra ley de delitos informáticos se cuenta entre las más obsoletas de nuestro ordenamiento jurídico.
Prof. CLAUDIO THOMAS VELOSO
Consejero ICDT