William Alexander López Sandoval
Abogado, magíster en Derecho de Seguros y doctorando en Derecho Privado de la Universidad de Salamanca (España)

En los primeros días de marzo, en diferentes redes sociales y grupos de trabajo de WhatsApp dedicados al estudio de derecho de las nuevas tecnologías, entre ellos sobre la protección de datos, se corría el rumor de que la Dirección de Impuestos y Aduanas Nacionales (Dian), había sufrido una exfiltración[1] de datos personales de más de 18 millones de contribuyentes. A su vez, se decía que en la dark web estaban vendiendo dicha base de datos por cerca de 2.000 USD, sumándole una configuración para obtener más información.

Antes de continuar en esta primera parte, es menester conceptuar sobre incidentes de seguridad, ya que el mismo está definido en el literal f) del numeral 2.1., del capítulo segundo, del título V de la Circular Única de la Superintendencia de industria y Comercio (SIC), de la siguiente manera: “(ii) Incidentes de seguridad. Se refiere a la violación de los códigos de seguridad o la pérdida, robo y/o acceso no autorizado de información de una base de datos administrada por el responsable del tratamiento o por su encargado…” (negrilla fuera del texto original).

El 5 de marzo, la entidad, mediante comunicado de prensa 033, dio a conocer: “La Dirección de Impuestos y Aduanas Nacionales (DIAN) y CIEL INGENIERÍA, proveedor externo que administra el sistema de agendamiento de citas, adelantan investigaciones técnicas y forenses con el apoyo de proveedores especializados, para determinar si se produjo una exfiltración de información desde los sistemas de la entidad...”.

Un día después, la entidad, mediante comunicado de prensa 034, confirmó lo que por los pasillos digitales ya se conocía: efectivamente, había sufrido una exfiltración de datos personales de contribuyentes, pero en ninguno de los comunicados la entidad señala qué datos personales fueron exfiltrados/expuestos, es decir, la misma responsable y/o encargada de tratamiento de datos personales, que es la entidad, no informa a los contribuyentes y al público en general, entre ellos titulares de los datos personales, si la brecha de seguridad de datos personales expuestos corresponde a datos públicos, semiprivados, privados, conforme a lo preceptuado por la Ley 1266 de 2008, o de categoría especial de datos sensibles, conforme lo señala la Ley 1581 de 2012.

Ahora bien, los comunicados de prensa (033 y 034), preliminarmente están orientados bajo el principio de responsabilidad demostrada “Accountability” y de igual forma bajo las indicaciones de la guía de la SIC (guía para la gestión de incidentes de seguridad en el tratamiento de datos personales), sobre el manejo de incidentes de seguridad en materia de protección de datos personales.

Costos de una brecha de seguridad de datos personales

De acuerdo con los informes anuales de IBM, el costo promedio de una filtración de datos personales, o mejor conocido como un data breach le está costando a una empresa o entidad gubernamental alrededor de los 4,37 millones de dólares, ya que este promedio lo arrojan las cifras de los últimos seis  años así (en dólares): para el año 2025, el costo aproximado de un data breach fue de 4,44 millones; para el año 2024 de 4,88 millones; para el año 2023 4,45 millones; para el años 2022 de 4,35 millones; para el año 2021 4,24 millones y en plena pandemia del covid-19, en el año 2020, fue de 3,86 millones. (López, W. A. 2024, pág. 92[2]).

¿Por qué los datos que maneja la entidad de los contribuyentes son de importancia relevante?

La entidad como responsable y/o encargada de tratamiento de datos personales de los contribuyentes, maneja bases de datos de carácter tributario y aduanero de los mismos. Dichos datos pueden ser de carácter público, semiprivados, privados, incluso sensibles (Ley 1266 de 2008 y Ley 1581 de 2012). Toda vez que estos datos lo conforman un conjunto de datos financieros, económicos y jurídicos de personas naturales (nacionales o extranjeras, residentes en el país[3]) o jurídicas, que se utilizan para fiscalizar y recaudar impuestos. Por lo tanto, en estas bases de datos es frecuente encontrar datos personales tales como:

- Información exógena (reportada por terceros): son datos enviados por bancos, aseguradoras, empleadores y otras entidades sobre operaciones realizadas con los contribuyentes.

- Declaraciones tributarias: documentos donde el contribuyente reporta sus ingresos, egresos, costos, deducciones, patrimonio y es donde paga sus impuestos (renta, IVA, retención en la fuente, retenciones, impuesto al patrimonio, a la riqueza, etc.).

- Registro Único Tributario (RUT): identifica, ubica y clasifica a los contribuyentes, sujetos de obligaciones tributarias.

- Datos de otras entidades: la entidad también puede obtener información de otras entidades que le permiten complementar y cruzar los datos de los contribuyentes y así realizar seguimientos para determinar el cumplimiento de las obligaciones con la entidad y/o identificar posibles conductas que requieran revisión y seguimiento.

Por lo anterior, la información que maneja la entidad de los contribuyentes es un caldo de cultivo para los ciberdelincuentes, por lo que el incidente de seguridad que sufrió hace unos días la entidad no es menor, máxime cuando a raíz de dicha vulneración de datos personales, se pueden desprender una serie de delitos informáticos donde el/los contribuyentes serán los más afectados por esa falla de seguridad. Así lo señala la guía para la gestión de incidentes de seguridad en el tratamiento de datos personales de la SIC, en el paso N° 3, relacionado a “Identificar los daños para las personas, las organizaciones y el público en general”. Aunque la entidad en sus comunicados 033 y 034 reitera que la información de carácter tributario y aduanera no fue expuesta–filtrada.

Para finalizar esta primera parte, surge preguntas como: ¿está obligada la entidad a notificar esta brecha de seguridad a otras entidades de otras jurisdicciones, en el evento que maneje datos personales de personas, por ejemplo, de ciudadanos de la Unión Europea, o solamente a los interesados afectados? Lo anterior, debido a que en el comunicado de prensa N° 34 la entidad menciona que “adelantan las acciones correspondientes para reportar el caso a la Superintendencia de Industria y Comercio, como autoridad nacional de protección de datos personales” en Colombia, pero qué sucede con los contribuyentes extranjeros que tienen acá o no su residencia, sino en otra jurisdicción, pero que están obligados a tributar en Colombia, conforme el artículo 10 del Estatuto Tributario[4]y dichos datos los almacena y trata la entidad.

Recordemos que, en Colombia, el plazo para notificar a la autoridad de protección de datos personales sobre la brecha de seguridad (incidentes de seguridad), es de 15 días hábiles: “… deberán reportarse al RNBD por parte de los responsables del tratamiento que se encuentran obligados a registrar sus bases de datos en el RNBD dentro de los quince (15) días hábiles siguientes al momento en que se detecten y sean puestos en conocimiento de la persona o área encargada de atenderlos”.

Frente a la notificación a los titulares de la información, conforme al paso N°. 5 de la Guía para la gestión de incidentes de seguridad en el tratamiento de datos personales de la SIC, la entidad generó dos comunicados oficiales, donde brinda a nivel general una recomendaciones de seguridad y el canal para atender las inquietudes con el incidente, pero surge la pregunta: ¿es obligatorio un comunicado personal a cada titular de la información afectado? En los dos comunicados, la entidad nunca menciona la cantidad de contribuyentes a quienes se les filtraron sus datos personales.

Aunque hay que precisar que legalmente la entidad no está obligada a informar del incidente de seguridad a los titulares, es un deber ético. No obstante, conforme al principio de accountability antes mentado, si un responsable de tratamiento de datos personales ha tenido un incidente de seguridad y tiene implementado este principio, debería notificar a los titulares. Esto último es relevante para comprender el alcance de una de las coberturas de seguros de ciberriesgos, contratada por la entidad para atender estas eventualidades.

Para la siguiente entrega, se analizará el contrato de seguro de ciberriesgos que tiene contratada la entidad, a partir de la póliza de protección digital que, a la fecha del incidente de seguridad, está vigente y que, a la luz de los hechos en comento, pudo verse afectada en varias de sus coberturas.

Siga nuestro canal de WhatsApp

Gracias por leernos. Si le gusta estar informado, suscríbase y acceda a todas nuestras noticias, los datos identificadores y los documentos sin límites.