En el 2013, según “Krebs on Security”, se realizó un ataque de “hackeo” a la base de usuarios de Adobe, afectando los datos personales y confidenciales de los usuarios vinculados a aproximadamente 38 millones de cuentas y produciendo pérdidas de 2,9 millones de dólares. En este caso, los culpables lograron obtener acceso a una gran cantidad de identificaciones de clientes de Adobe, nombres, contraseñas cifradas, números de tarjetas de crédito/débito cifradas, fechas de vencimiento y más.
Ante esta clase de situaciones “The American Bar Association (ABA)” tiene como objetivo promover el desarrollo de la profesión jurídica, garantizar que todos los ciudadanos tengan acceso a los servicios legales y mejorar la justicia. Para ello, ha llevado a cabo dos decisiones éticas que se relacionan a abogados, tecnología y lo que hacen los abogados en caso de incumplimiento de protección de datos en su oficina.
¿Qué hacer cuando se recibe información de un cliente?
La primera de ellas es La opinión 477R (mayo 2017), la cual hace referencia a las obligaciones de los abogados con respecto al conocimiento tecnológico. Esta opinión responde ¿Cómo se reconcilia con una situación en la que un cliente no quiere utilizar una comunicación segura, o no quiere proteger sus datos al trabajar con usted? El Comité de Ética concluyó que “se puede requerir que un abogado tome precauciones especiales de seguridad para protegerse contra la divulgación inadvertida o no autorizada de información del cliente cuando sea requerido por un acuerdo con el cliente o por ley, o cuando la naturaleza de la información requiera un mayor grado de seguridad”.
En tales casos, los abogados deben tener en cuenta diferentes factores al determinar el mejor método y más seguro para comunicarse con los clientes. Esta determinación debe hacerse caso por caso y los temas a considerar incluyen la sensibilidad de la información, la probabilidad de divulgación si no se emplean salvaguardas adicionales, el costo de emplear salvaguardias adicionales, la dificultad de implementar las salvaguardas, y la medida en que las salvaguardias afectan negativamente la capacidad del abogado para representar a los clientes.
¿Qué hacer cuando se violan los datos electrónicos o un ciberataque?
La otra decisión ética es la opinión formal de ABA 483 que se refiere al esfuerzo por evitar una violación de datos. En tales casos, un abogado debe mantenerse actualizado sobre los riesgos y beneficios de incorporar tecnología en la prestación de servicios legales, proteger razonablemente la información del cliente, y asegurar el cumplimiento de otros abogados, personal y proveedores externos de las políticas de ciberseguridad.
En el contexto de una violación de datos, ser competentes tecnológicamente significa que un abogado debe monitorear una violación de datos después de que haya ocurrido un incidente cibernético, actuar razonable y rápidamente para detener el incumplimiento y mitigar los daños, llevar a cabo una investigación posterior a la infracción para asegurarse de que se haya detenido y evaluar razonablemente los datos perdidos o accedidos.
Si ocurre una violación de datos, un abogado debe notificar a los clientes actuales y anteriores de la violación y mantener a los clientes actualizados sobre la respuesta del abogado y el plan de mitigación. Asimismo, la opinión de la ABA establece que “si se activa una obligación de notificar después de la infracción, un abogado debe hacer la divulgación independientemente del tipo de esfuerzos de seguridad que se implementaron antes de la infracción”. Es decir, no existe una manera de evadir la responsabilidad para que los abogados eviten la obligación posterior a la infracción de notificar a los clientes.
Este artículo representa el criterio de quien lo firma. Los artículos de opinión publicados no reflejan necesariamente la posición editorial de este medio. Delfino.CR es un medio independiente, abierto a la opinión de sus lectores. Si desea publicar en Teclado Abierto, consulte nuestra guía para averiguar cómo hacerlo.
