Ciberseguridad y deberes de los administradores: la nueva frontera de la diligencia empresarial

-

 

En la empresa contemporánea, la ciberseguridad dejó de ser un asunto exclusivo del área de sistemas para convertirse en una manifestación concreta del deber de diligencia de los administradores. Cuando la información constituye un activo económico, reputacional y estratégico, la omisión frente al riesgo digital puede traducirse en responsabilidad jurídica.

Por eso, la ciberseguridad dejó de ser un asunto exclusivamente técnico. Hoy es una cuestión de gobierno corporativo, cumplimiento normativo y responsabilidad empresarial. La pregunta ya no es solamente si una empresa cuenta con antivirus, servidores seguros o copias de respaldo. La verdadera pregunta es si sus administradores han actuado con la diligencia suficiente para identificar, prevenir, mitigar y responder razonablemente frente a los riesgos digitales.

En Colombia, el punto de partida se encuentra en el artículo 23 de la Ley 222 de 1995. Esta norma establece que los administradores deben obrar de buena fe, con lealtad y con la diligencia de un buen hombre de negocios. Además, les impone deberes específicos como realizar los esfuerzos conducentes al adecuado desarrollo del objeto social, velar por el cumplimiento de la ley y los estatutos, guardar y proteger la reserva comercial e industrial de la sociedad y abstenerse de utilizar indebidamente información privilegiada.

Estos deberes, aunque fueron formulados antes del actual desarrollo tecnológico, adquieren hoy una lectura renovada. La diligencia empresarial ya no puede limitarse a la administración financiera, contractual o societaria tradicional. En un entorno en el que los activos más valiosos de una compañía pueden estar alojados en sistemas digitales, bases de datos, códigos fuente, plataformas, algoritmos, expedientes electrónicos o información confidencial de clientes, la ciberseguridad se convierte en una expresión concreta del deber de diligencia.

De esta manera, los administradores deben adoptar decisiones razonables e informadas en materia de seguridad digital. Esto implica conocer los riesgos relevantes de la compañía, aprobar políticas internas, asignar recursos suficientes, exigir controles adecuados, supervisar el cumplimiento normativo y documentar las decisiones adoptadas. No se espera que todos los administradores sean expertos técnicos en ciberseguridad, pero sí que comprendan la magnitud del riesgo y actúen con criterio empresarial responsable.

La omisión puede ser jurídicamente significativa. El artículo 24 de la Ley 222 de 1995 dispone que los administradores responden solidaria e ilimitadamente por los perjuicios que, por dolo o culpa, ocasionen a la sociedad, a los socios o a terceros. Además, en casos de incumplimiento o extralimitación de funciones, violación de la ley o de los estatutos, se presume la culpa del administrador.

Esto significa que, ante un incidente grave, no basta con afirmar que el ataque provino de un tercero. La discusión jurídica puede desplazarse hacia otra pregunta: ¿la compañía y sus administradores habían adoptado medidas razonables para prevenir, detectar y gestionar ese riesgo? Si la respuesta es negativa, la brecha digital puede convertirse en un problema de responsabilidad patrimonial.

El riesgo aumenta cuando la compañía trata datos personales. La Ley 1581 de 2012 establece que el tratamiento de datos personales debe sujetarse, entre otros, a los principios de seguridad y confidencialidad. El principio de seguridad exige adoptar medidas técnicas, humanas y administrativas necesarias para evitar la adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento de la información. El principio de confidencialidad obliga a quienes intervienen en el tratamiento de datos no públicos a garantizar la reserva de la información, incluso después de finalizada su relación con las actividades de tratamiento.

Además, los responsables y encargados del tratamiento tienen deberes específicos. Entre ellos se encuentran conservar la información bajo condiciones de seguridad, exigir el respeto de las condiciones de seguridad y privacidad, adoptar manuales internos de políticas y procedimientos, y reportar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.

La consecuencia no es menor. La Superintendencia de Industria y Comercio puede imponer sanciones a responsables y encargados del tratamiento de datos personales, incluyendo multas de carácter personal e institucional hasta por el equivalente de dos mil salarios mínimos mensuales legales vigentes, suspensión de actividades relacionadas con el tratamiento, cierre temporal de operaciones e incluso cierre definitivo cuando se trate de operaciones que involucren datos sensibles.

En el plano societario, la Superintendencia de Sociedades también tiene facultades sancionatorias. El numeral 3 del artículo 86 de la Ley 222 de 1995 le permite imponer multas, sucesivas o no, hasta de doscientos salarios mínimos legales mensuales a quienes incumplan sus órdenes, la ley o los estatutos. Esta facultad puede adquirir relevancia cuando el incumplimiento del deber de diligencia, de reserva o de gestión de riesgos se conecta con obligaciones societarias o de gobierno corporativo.

El nivel de exigencia, además, no es idéntico para todas las compañías. Hay sectores en los que el deber de diligencia debe ser interpretado con mayor rigor. Las entidades del sector salud, educativo, financiero, asegurador, tecnológico o de comercio electrónico manejan información especialmente sensible o crítica. En estos casos, la exposición al riesgo no solo afecta a la sociedad, sino también a pacientes, estudiantes, consumidores, usuarios financieros, proveedores y terceros que confían su información a la empresa.

La ciberseguridad, entonces, debe entenderse como un proceso permanente, no como una reacción posterior al incidente. Los administradores deben promover evaluaciones periódicas del estado de los sistemas, auditorías internas o externas, protocolos de respuesta a incidentes, planes de continuidad del negocio, capacitación del personal, gestión de accesos, controles sobre proveedores tecnológicos, cláusulas contractuales de seguridad y mecanismos de trazabilidad documental.

Aquí aparece un punto central: la diligencia no se mide únicamente por el resultado, sino por la razonabilidad del proceso de decisión. Una compañía puede sufrir un incidente aun habiendo adoptado medidas adecuadas. Pero la posición jurídica de sus administradores será muy distinta si pueden demostrar que evaluaron riesgos, solicitaron conceptos técnicos, aprobaron políticas, destinaron presupuesto, hicieron seguimiento y actuaron oportunamente frente a las alertas.

También debe considerarse la protección del secreto empresarial. El artículo 23 de la Ley 222 de 1995 impone a los administradores el deber de guardar y proteger la reserva comercial e industrial de la sociedad. Esta obligación se complementa con el régimen andino de propiedad industrial. La Decisión 486 de la Comunidad Andina protege el secreto empresarial y exige que quien tenga acceso a este con ocasión de su trabajo, empleo, cargo, profesión o relación de negocios se abstenga de usarlo, divulgarlo o revelarlo sin causa justificada.

En términos prácticos, una falla de ciberseguridad puede comprometer secretos empresariales como bases de clientes, estrategias comerciales, listas de precios, desarrollos tecnológicos, fórmulas, metodologías, modelos financieros, información contractual, diseños, bases de datos o planes de expansión. La pérdida de esta información no siempre se repara con una indemnización. En muchos casos, el daño principal consiste en la pérdida de ventaja competitiva.

Por ello, la responsabilidad de los administradores frente a la ciberseguridad debe analizarse desde una triple dimensión. Primero, como deber legal de cumplir normas sobre protección de datos, reserva empresarial, estatutos sociales y regulación sectorial. Segundo, como deber contractual frente a clientes, proveedores, aliados estratégicos y titulares de información. Tercero, como deber fiduciario o societario de proteger el interés de la compañía y preservar sus activos intangibles.

La dificultad está en que la tecnología avanza más rápido que las normas. Esto obliga a interpretar los deberes clásicos de los administradores a la luz de nuevos riesgos. Buena fe, lealtad y diligencia no son conceptos estáticos. En la empresa contemporánea, esos deberes incluyen la obligación de comprender que la información es un activo, que la seguridad digital es una condición de continuidad empresarial y que la omisión tecnológica puede convertirse en culpa jurídica.

En definitiva, la ciberseguridad se ha convertido en una nueva frontera del deber de diligencia empresarial. La pregunta ya no es si los administradores deben ocuparse de los riesgos digitales, sino qué tan razonable, informada y verificable ha sido su gestión frente a ellos. En una economía donde la información sostiene la confianza, la ventaja competitiva y la continuidad del negocio, ignorar la seguridad digital no es una simple omisión técnica: puede ser una forma de negligencia societaria.


Referencias en APA 7.ª edición

Comisión de la Comunidad Andina. (2000). Decisión 486 de 2000: Régimen común sobre propiedad industrial. Comunidad Andina.

Congreso de Colombia. (1995). Ley 222 de 1995, por la cual se modifica el Libro II del Código de Comercio, se expide un nuevo régimen de procesos concursales y se dictan otras disposiciones. Diario Oficial No. 42.156.

Congreso de Colombia. (2012). Ley 1581 de 2012, por la cual se dictan disposiciones generales para la protección de datos personales. Diario Oficial No. 48.587.

 

Entradas más populares de este blog

Alas de Cambio: Desafíos y Perspectivas en la Modernización de la Fuerza Aeroespacial Colombiana

-
Imagen
CONTENIDO: 1.     AFIRMACIONES Y ACLARACIONES 2.     INTRODUCCIÓN 3.     LA HISTORIA DE LA INDUSTRIA DE DEFENSA AÉREA EN COLOMBIA. LOS PRIMEROS AÑOS DE LA FAC LOS TIPOS DE AVIONES QUE SE USABAN POR LA FAC EN SUS INICIOS AVIONES DE OBSERVACIÓN AVIONES DE TRANSPORTE LA TRANSFORMACIÓN CONTINUA DE LA FAC LA DÉCADA DE 1970 LA CREACIÓN DE LA EMPRESA COLOMBIANA DE AVIACIÓN (ELCA) LA DÉCADA DE 1980 LA DÉCADA DEL 2000 4.     LA ACTUALIDAD EN LA FAC 5.     EL FUTURO DE LA FUERZA AEROESPACIAL COLOMBIANA 6.     EXPLORANDO FRONTERAS CELESTIALES: COLOMBIA Y SU DERECHO AL ESPACIO ULTRATERRESTRE 7.     MODERNIZACIÓN URGENTE PARA SALVAGUARDAR LA SEGURIDAD NACIONAL DE COLOMBIA Y CAPACIDADES OPERATIVAS DE LA FUERZA AEROESPACIAL CONTEXTUALIZACIÓN GENERAL DE “POSIBLES O FUTURAS” AMENAZAS. LAS AMENAZAS TERRORISTAS Y LAS NECESIDADES DE MODERNIZACIÓN IMPLICACIONES EN TEMAS DE SEGURIDAD IMPLICACIO...
Leer más

Coautoría y determinación en homicidio agravado: análisis de la Sentencia SP1975-2025 (Rad. 64285) de la Sala de Casación Penal de la Corte Suprema de Justicia

-
Imagen
  Resumen La Sentencia SP1975-2025 de la Sala de Casación Penal (1.º de octubre de 2025) resuelve una impugnación especial contra la primera condena de segunda instancia dictada por el Tribunal Superior de Neiva. La Corte modifica la calificación de la participación del acusado M.L. —de determinador a coautor — y confirma lo demás de la sentencia condenatoria por homicidio agravado . El fallo ofrece criterios nítidos para diferenciar la determinación (art. 30 CP) de la coautoría (art. 29 CP), y depura los estándares de valoración probatoria bajo el procedimiento de la Ley 600 de 2000 . Asimismo, niega nulidades por prescripción y por supuesta irregularidad en la indagatoria de un coimputado. Palabras clave: coautoría, determinación, homicidio agravado, valoración probatoria, impugnación especial, Ley 600/2000.   1. INTRODUCCIÓN La línea divisoria entre determinación y coautoría suele tensarse cuando el aporte del partícipe trasciende la mera inducción y se ...
Leer más

Sentencia de Tutela Nº T-262/25, Corte Constitucional, 17-06-2025

-
  Fecha de sentencia:   17 Junio 2025 Número de expediente:   T-10302817 Número de sentencia:   T-262/25 Fecha de publicación:   24 Junio 2025 Tipo de documento:   Sentencia de Tutela Demandado:   LA EMPRESA Demandante:   JULIA Como antecedentes de este caso se tiene que la actora formuló una queja por acoso ante el Comité de Convivencia Laboral de la entidad empleadora y ésta la archivó tras sostener que no existían los elementos de juicio suficientes que demostraran las conductas objeto de reproche. En sede de tutela se cuestionó la anterior decisión, al igual que la terminación unilateral del contrato de trabajo, por lo cual se solicitó que se impartiera la orden de reintegro. Se analizó temática relacionada con la figura del acoso laboral, el derecho al debido proceso en el trámite de una queja por acoso laboral y su relación con el enfoque de género. La Sala concluyó que la accionada vulneró el precitado derecho porque, además de que no valor...
Leer más