MONOLITH LAW OFFICE+81-3-6262-3248Días de semana 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

Riesgo de pérdida de datos y responsabilidad legal de los operadores de sistemas

IT

Riesgo de pérdida de datos y responsabilidad legal de los operadores de sistemas

En ocasiones, en el departamento de sistemas de una empresa, puede ocurrir un problema en el que se pierde información empresarial importante almacenada en la base de datos debido a circunstancias imprevistas. En tales casos, si se ha subcontratado la operación del sistema a un proveedor externo, ¿es legalmente posible responsabilizar a este proveedor externo?

En este artículo, explicaremos a quién recae la responsabilidad legal en caso de pérdida de información en una empresa.

¿Qué significa “operación” en los sistemas IT?

En los sistemas IT, “operación” se refiere, en términos muy simples, al trabajo que implica “continuar utilizando el sistema existente como hasta ahora”. Un sistema que los ingenieros de IT y los programadores han creado (es decir, desarrollado) no termina una vez que se ha construido. Por ejemplo, si se desea realizar una operación que no se puede ejecutar desde la interfaz de usuario, es posible que sea necesario conectar una computadora a la base de datos e ingresar directamente el lenguaje de la computadora (como SQL). Esto puede ser necesario para extraer o modificar datos que no se pueden ejecutar desde la interfaz de usuario.

Estas tareas de operación a menudo son más fáciles de estandarizar que el trabajo de implementar nuevos programas, por ejemplo, mediante la preparación de manuales de procedimientos, y a menudo son más fáciles de subcontratar a proveedores externos.

Sin embargo, incluso si las tareas son fáciles de estandarizar, si implican la operación directa de las bases de datos que la empresa gestiona, es importante tener en cuenta que a menudo están al borde de incidentes a gran escala. Los riesgos de fuga o pérdida de información que posee la empresa pueden aumentar considerablemente si se avanza con la subcontratación sin tener en cuenta la gravedad de la responsabilidad que conlleva la tarea.

El riesgo de pérdida de información está más cerca de lo que pensamos

Existen varios tipos de bases de datos que utilizan las empresas, pero en realidad son un tipo de software. Y los procesos de extracción, modificación, adición y eliminación de datos que se gestionan allí, se realizan básicamente con un lenguaje de computadora llamado SQL.

La importancia del derecho

El trabajo de los técnicos involucrados en los sistemas de TI incluye desarrollo, operación, mantenimiento, entre otros, pero lo que tienen en común es que el manejo de entidades abstractas como “datos” y “lenguajes de computadora” es central. Por lo tanto, incluso si solo se trata de la apariencia del trabajo que se está realizando, un error en la operación de un botón o un pequeño error de entrada puede tener un impacto que se propaga ampliamente de manera impredecible. Este supuesto básico es algo que todas las personas que trabajan con sistemas, ya sean expertos en tecnología de la información o no, deben ser conscientes. Por naturaleza, el trabajo involucrado en los sistemas, si surge algún problema, su impacto a menudo se propaga instantáneamente más allá del departamento en cuestión y más allá de las barreras dentro de la empresa. La razón por la que el derecho es importante para los sistemas se puede explicar de manera uniforme desde la perspectiva tanto del lado del cliente como del contratista.

Riesgo de pérdida de datos corporativos

Tomemos un ejemplo un poco más mundano. La consulta (instrucción) para eliminar todos los datos de una tabla en SQL es simplemente escribir “TRUNCATE”. Al pensar en el riesgo de pérdida de datos de una empresa, no es tan importante conocer la sintaxis de SQL o cómo operar el software de la base de datos. Sin embargo, deberíamos reconocer que, si se trata de cómo eliminar todos los datos almacenados por una empresa, es tan simple como eso. Este reconocimiento de la realidad puede ser el punto de partida para pensar en el riesgo de pérdida de datos de una empresa.

Es cierto que las operaciones tienden a estandarizarse y a menudo no hay problemas si se siguen los procedimientos. Pero al mismo tiempo, si consideramos la posibilidad de que no se sigan los procedimientos y se produzcan situaciones irregulares, la importancia del derecho se vuelve evidente.

¿A quién corresponde la responsabilidad legal por la pérdida de información?

¿Cuál es la responsabilidad legal en caso de pérdida accidental de datos?

La naturaleza legal del trabajo del operador

Entonces, en casos donde los datos se pierden debido a un incidente inesperado y no hay forma de recuperarlos, ¿a quién corresponde la responsabilidad legal? A continuación, analizaremos este tipo de incidentes desde un punto de vista legal.

Es difícil perseguir la obligación de custodia basada en el contrato de depósito

Una de las teorías que se pueden considerar al cuestionar la responsabilidad del operador que maneja los datos es la obligación de cuidado diligente basada en el contrato de depósito remunerado. En términos simples, es similar a perseguir la responsabilidad por daños y perjuicios cuando un operador que acepta la custodia de bienes en un casillero de monedas de pago pierde esos bienes, es decir, si es posible perseguir la responsabilidad por la pérdida de “datos”. Sin embargo, al igual que con la obligación de custodia de “bienes”, no es realista suponer que existe una “obligación de custodia de datos” bajo la ley actual.

Depende del contenido específico del contrato

En última instancia, la cuestión de “quién tiene la obligación de custodiar los datos” es difícil de resolver de manera uniforme basándose en las disposiciones del Código Civil. Por lo tanto, la respuesta debería ser “depende de cómo se estipule en el contenido específico del contrato”.

Y el punto de “¿cuál era el contenido del contrato?” no se determina solo por el contrato en sí, sino que también se juzga en conjunto con las actas de las reuniones. La importancia de las actas de las reuniones se explica en detalle en el siguiente artículo.

https://monolith.law/corporate/the-minutes-in-system-development[ja]

Es difícil perseguir la responsabilidad por actos ilícitos de terceros que no son contratistas

Además, está claro en los precedentes judiciales que es imposible perseguir la responsabilidad por actos ilícitos de terceros que no tienen relación contractual. En el caso judicial, se cuestionó la posibilidad de reclamar daños y perjuicios basados en actos ilícitos en un accidente de pérdida de datos en un servicio de servidor de alquiler.

Un ejemplo típico de un acto ilícito es un accidente de tráfico. Por ejemplo, si una persona resulta herida debido a la negligencia del conductor en un accidente de automóvil, el conductor es responsable no solo penalmente sino también civilmente. Aunque no se celebra un contrato entre extraños para “no golpear a las personas con un automóvil”, se puede considerar que surge la responsabilidad por daños y perjuicios entre individuos. Basándose en este marco de responsabilidad por actos ilícitos, se discutió si era posible perseguir la responsabilidad por la pérdida de datos, incluso si no había una relación contractual directa.

Sin embargo, el tribunal señaló las características de la información digital y declaró que era difícil asumir la existencia de tal obligación.

El servidor no es perfecto y puede fallar, lo que puede resultar en la pérdida de programas, etc. Sin embargo, los programas, etc., son información digital y se pueden copiar fácilmente. Si el usuario ha registrado y guardado el programa, etc., puede reiniciar el programa, etc., incluso si se pierde, y esto es ampliamente conocido (la esencia total del argumento), por lo que los demandantes podrían haber tomado fácilmente medidas para prevenir la pérdida del programa y los datos en cuestión. Dadas las circunstancias de los intereses de ambas partes, los demandantes y los demandados, no hay razón ni necesidad de imponer al demandado, que instala y administra el servidor en cuestión, la obligación de prevenir la pérdida de los registros mencionados para protegerlos. (Omisión) Los demandantes sostienen que el contrato de alquiler del servidor tiene la naturaleza de un contrato de depósito con respecto a los programas o datos de terceros, y sobre esta base, el demandado, como proveedor de servicios de alquiler de servidores, tiene la obligación de cuidado diligente para todos los que almacenan registros en el servidor en cuestión, específicamente, la obligación de no perder los registros del servidor en cuestión, y sobre esta base, sostienen que el hecho de que el demandado haya perdido los registros de los demandantes almacenados en el servidor en cuestión viola la obligación de prevenir la pérdida mencionada anteriormente.


Sin embargo, el demandado solo ha celebrado un contrato de uso de servicios de hosting de servidores compartidos con el usuario A, y no hay relación contractual con los demandantes, y no se puede decir que la custodia del programa en cuestión y los datos en cuestión almacenados en el servidor en cuestión tenga una naturaleza de depósito, por lo que es difícil encontrar una base para que el demandado tenga una obligación de cuidado diligente bajo la ley de actos ilícitos con respecto a los registros almacenados en el servidor en cuestión para los demandantes con los que no tiene una relación contractual. Por lo tanto, simplemente porque el demandado es un proveedor de servicios de alquiler de servidores, no puede asumir una obligación de cuidado diligente con respecto a los registros almacenados en el servidor en cuestión, o una obligación de prevenir la pérdida de registros, en relación con terceros con los que no tiene una relación contractual.

Sentencia del Tribunal de Distrito de Tokio, 20 de mayo de 2009 (Año Heisei 21)

Este fallo señala que no es apropiado suponer la existencia de una “obligación de no borrar datos” con respecto a un tercero (demandante) que no tiene una relación contractual directa. Este fallo ha atraído cierta atención como un caso líder en caso de que ocurran incidentes similares en el futuro.

En conclusión, la persecución de la responsabilidad tiende a ser “difícil”

Además, en términos de contratos que se utilizan comúnmente en la práctica, no hay muchos casos en los que se utilice un contrato que haga que la custodia y la copia de seguridad de los datos sean responsabilidad del operador, y más bien, la mayoría de ellos estipulan que es responsabilidad del usuario (es decir, la empresa del lado del cliente).

Por lo tanto, a menos que se haya llegado a algún acuerdo especial, sería extremadamente difícil legalmente considerar que el operador del sistema tiene la obligación de tomar medidas para prevenir la pérdida de datos.

Lo que se debe hacer para prepararse ante el riesgo de pérdida de información

Siempre haga una copia de seguridad para prevenir la pérdida de datos.

En última instancia, el riesgo de pérdida de información que una empresa puede enfrentar se relaciona principalmente con la información que la propia empresa almacena. Por lo tanto, es probable que se deba decir que la forma en que se considera ese riesgo de pérdida y el tipo de sistema de almacenamiento que se establece son asuntos que la propia empresa debe decidir.

Además, incluso si se reconoce la responsabilidad del operador del negocio, es posible que la compensación por daños no se reconozca en su totalidad debido a la compensación por negligencia. Hay precedentes judiciales en los que se reconoció la compensación por negligencia en casos en los que el demandado, que había estado guardando los datos del demandante en un servidor, eliminó los datos y el demandante no había hecho una copia de seguridad, lo que se consideró “negligencia”.

El demandante pudo haber tomado medidas fácilmente, como hacer una copia de seguridad del contenido del archivo en cuestión, y podría haber prevenido la ocurrencia de daños o haber mantenido los daños al mínimo, a pesar de que no se conservaron los datos del archivo en cuestión en el momento del accidente de eliminación.

Por lo tanto, en este caso, al determinar la cantidad de responsabilidad de indemnización del demandado, se debe aplicar la disposición de compensación por negligencia teniendo en cuenta este punto, lo cual es apropiado para el concepto de equidad en la ley de indemnización por daños.

Por otro lado, el demandante argumenta que no era posible prever que el archivo en cuestión sería eliminado del servidor por el demandado, que es un proveedor de servicios, y que no se puede reconocer la obligación legal de hacer una copia de seguridad, y que la inacción no puede ser considerada negligencia en el sentido legal, por lo que se debe negar la aplicación de la compensación por negligencia.

Sin embargo, para aplicar la compensación por negligencia, es suficiente reconocer la posibilidad de prever la ocurrencia del resultado de la eliminación del archivo en cuestión por parte del demandante, y no es necesario prever la posibilidad de que el archivo en cuestión sea eliminado debido a la violación del deber de cuidado del demandado.

En este caso, está claro que el demandante estaba consciente del riesgo de que los hackers, entre otros, pudieran infiltrarse en la página web, y el demandante reconoce que hay un riesgo de alteración y destrucción de la información en la comunicación por Internet, y que este riesgo era previsible. Por lo tanto, se considera que el demandante había previsto el riesgo de que el archivo en cuestión pudiera ser eliminado debido a causas inherentes a la comunicación por Internet, y se afirma plenamente la posibilidad de prever la ocurrencia del resultado de la eliminación del archivo en cuestión, y no hay obstáculo para afirmar la aplicación de la compensación por negligencia.

Sentencia del Tribunal de Distrito de Tokio, 28 de septiembre del año 13 de Heisei (2001)

En este caso, se decidió que “dado que no se hizo una copia de seguridad, era previsible que el archivo pudiera ser eliminado por alguna razón, como la intrusión de hackers, y por lo tanto, se aplica la compensación por negligencia”, y la cantidad de indemnización por daños se redujo a la mitad.

Resumen

Aunque no se limita únicamente al riesgo de pérdida de datos, cuando se subcontrata el desarrollo de un sistema, los usuarios tienden a preocuparse solo por la experiencia de uso en la interfaz, y a menudo la gobernanza de la organización no se extiende hasta el área de la base de datos que se almacena en segundo plano.

Sin embargo, los precedentes judiciales sugieren que no podemos considerar estos asuntos como problemas ajenos. En otras palabras, debemos ser conscientes de que la implementación de un sistema de gestión que tenga en cuenta el riesgo de pérdida de información, como la realización de copias de seguridad, es en última instancia un problema del lado del usuario (dentro de la empresa).

Los precedentes judiciales sugieren que no prepararse para estos riesgos puede llevar a situaciones irremediables, y deberíamos entender esto como una advertencia de la necesidad de prevención.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Volver arriba