A inicios del presente año se informaba del ataque a firmas de abogados de los Estados Unidos mediante ransomware (Ambrogi, 2020); esta práctica -que fue la misma que sufrió en 2017 DLA Piper- bloquea el acceso a información de una base de datos a cambio de un pago, caso contrario se procede a publicar la información.
Este, evidentemente, no es un evento aislado: en 2019, el 25% de los estudios legales de los Estados Unidos ha sufrido por lo menos una violación de datos (Ortus Group, 2019); mientras que el 73% de de las principales firmas de abogados del Reino Unido han sido atacadas por ciberdelincuentes (McElherron, 2019).
Una situación como la descrita ha llevado a que se propongan protocolos de ciberseguridad, como por ejemplo, las Cybersecurity Guidelines elaboradas por IBA’s Presidential Task Force on Cybersecurity (2018), las cuales abarcan el uso de tecnología, la organización de procesos y el entrenamiento a los usuarios en el ámbito legal de la información digitalizada y de los centros de almacenamiento.
Sin embargo, esta práctica no se debe circunscribir a la gestión de estudios de abogados (en todo nivel), sino que se debe generalizar a todas las áreas en donde esté de por medio el manejo de información propia de la industria legal.
1. La necesidad de la ciberseguridad en el arbitraje internacional
En efecto, el tipo de información que se maneja en el sector legal (sensible, confidencial y privilegiada), más aún cuando la misma se ha digitalizado, hace que los centros que la administren sean naturalmente objeto de atención por parte de ciberatacantes.
Bajo este escenario, en el marco de una adecuada relación entre Arbitraje y Tecnología (Arbitration Tech) caracterizada por una cultura organizacional consciente de los riesgos que implica que la información de las partes en un arbitraje se digitalice, surge la necesidad de establecer mecanismos de ciberseguridad en el ámbito arbitral (Campos, 2020); es decir, formas de aseguramiento de la “información que se almacene en medios digitales y en los sistemas interconectados que la procesan” (Mendoza, 2015).
el mantra en ciberseguridad: “It’s when not if” es decir, no es cuestión de “si” se producirá un ataque, sino “cuándo” se llevará a cabo, es aplicable a todos los intervinientes en un arbitraje
A nivel del arbitraje internacional, la realidad nos muestra que se han dado intrusiones a la información digitalizada. Es común la referencia al ciberataque que, en 2015, sufrió la página web de la Permanent Court of Arbitration con relación a un arbitraje entre China y Filipinas en donde se discutía un problema de delimitación marítima (Peterson, 2015).
Por ello, el mantra en ciberseguridad: “It’s when not if” (Ries, 2017); es decir, no es cuestión de “si” se producirá un ataque, sino “cuándo” se llevará a cabo, es aplicable a todos los intervinientes en un arbitraje, lo cual determina la necesidad de contar con medidas de ciberseguridad en materia arbitral (Naish, 2018; Morel de Westgaver, 2017).
Como se aprecia, la ciberseguridad se presenta como una necesidad, dada la vulnerabilidad de la información que ha sido digitalizada, lo que independientemente de los requerimientos técnicos ha llevado, inclusive, a que se formule un Cybersecurity Law (Kosseff, pp. 994-1010).
En este punto, hay que tener presente que una vez que se produce la violación de la información en un arbitraje, ello genera una serie de problemas que ameritan ser enfrentados. Por ejemplo, de forma panorámica (Sussman, pp. 10-12) se han identificado algunos de estos problemas:
i) el establecimiento de deberes en los árbitros [y de los centros de arbitraje] respecto de los riesgos de la ciberseguridad,
ii) el delicado problema de admisibilidad de los medios probatorios obtenidos ilegalmente a través de ciberataques,
iii) el desarrollo de problemas vinculados a la autenticación de documentos,
iv) el establecimiento de sanciones a las partes que obtengan información a través de ciberataques,
v) el impacto psicológico en la elaboración de la decisión cuando de por medio, admitidos o no, estén medios probatorios obtenidos ilegalmente, y
vi) deber de declaración de los árbitros de la ocurrencia de ciberataques.
2. Protocolos de ciberseguridad en el soft law del arbitraje internacional
En esta coyuntura, el establecer protocolos de manejo de información que implementen aspectos de ciberseguridad en el ámbito arbitral se reafirma como una necesidad, más aún cuando se lleva a la práctica un correcto entendimiento del Arbitraje y Tecnología (Arbitration Tech). En esa línea se ha sugerido (Duarte, 2019a) que los protocolos arbitrales que se instauren deben tener en consideración las siguientes directrices:
i) identificación (de información y de los riesgos inherentes);
ii) protección (a través del establecimiento de protocolos de seguridad),
iii) detección (implementar herramientas para identificar las infracciones a la seguridad),
iv) respuesta (a través de protocolos de respuesta y mitigación) y
v) recuperación (respecto de la información que ha sido vulnerada).
Recientemente, se debe destacar el Protocol on Cybersecurity in International Arbitration (2020) (en adelante, Protocol on Cybersecurity) elaborado por International Council for Commercial Arbitration (ICCA), la New York City Bar Association (NYC Bar) y el International Institute for Conflict Prevention & Resolution (CPR).
Este documento, diseñado para el arbitraje comercial internacional, pero cuyas directrices pueden ser tomadas como referencia para el arbitraje doméstico, ha reconocido una serie de principios que tienen como objetivo:
i) identificar los riesgos de seguridad de la información en el proceso arbitral, que incluye tanto ciberseguridad y riesgos de seguridad física;
ii) la importancia de la seguridad de la información para mantener la confianza del usuario en el régimen del arbitraje general;
iii) el papel esencial desempeñado por las personas involucradas en el arbitraje en la mitigación efectiva de riesgos; y
iv) algunas de las medidas de seguridad de la información accesibles disponibles para mejorar todos los días las prácticas de seguridad.
El Protocol on Cybersecurity se articula a través de catorce principios y seis anexos, los cuales tienen como finalidad “proporcionar una recomendación marco para guiar a los tribunales arbitrales, las partes y las instituciones arbitrales” con relación a “cuáles son las medidas de seguridad de la información razonables para aplicar a un arbitraje en particular” (Principio
1). Sin embargo, tal como sucede cuando está de por medio políticas de ciberseguridad, éstas tienen que involucrar necesariamente a las personas que participan en cada uno de los eslabones de la cadena del, para este caso, arbitraje. Por ello es que se establece que los árbitros, centros arbitrales y partes deben asegurar que “todas las personas involucradas directa o indirectamente en un arbitraje, en su nombre, conozcan y sigan toda medida de seguridad de la información adoptada en un procedimiento, así como el impacto potencial de cualquier incidente de seguridad” (Principio 3).
Esta directriz es de indiscutible importancia, aunque su implementación no es sencilla de ser efectuada. Téngase en consideración que en el ámbito del desarrollo del arbitraje participan diferentes clases de terceros (piénsese en los peritos o los testigos, por ejemplo), todos los cuales deben adoptar el estándar de ciberseguridad que se haya predispuesto para el arbitraje, ello no solo con la finalidad de evitar eventuales responsabilidades, sino de no exponer la información que se ventile en el arbitraje.
3. Precisiones operativas del Protocol on Cybersecurity (2020)
A nivel específico hay algunos aspectos que resaltar del Protocol on Cybersecurity.
En primer lugar, este indica que “no reemplaza la ley aplicable, reglas de arbitraje, obligaciones profesionales o éticas u otras obligaciones vinculantes” (Principio 4); lo cual es de suma importancia ya que la implementación del protocolo no implica, por ejemplo, establecer un régimen alternativo a la protección de los datos personales prevista legalmente, sino uno concurrente; aplicable a la actividad de las partes, abogados, árbitros y centros arbitrales.
Esto permite reconocer que los protocolos de ciberseguridad son solo un factor dentro de un entramado mayor destinado a la protección de la información de las partes en el arbitraje y que, por lo tanto, para su diseño se requiere de una articulación en diversos niveles (legal, reglamentos arbitrales, guías específicas en ciberseguridad de los reglamentos arbitrales o de los árbitros, protocolos de ciberseguridad previstos por las partes, entre otros).
En segundo lugar, se establecen parámetros para fijar las medidas de seguridad a aplicarse en cada arbitraje en particular; algunos de ellos son los siguientes:
a) “el perfil de riesgo del arbitraje” (teniendo en cuenta: la naturaleza de la información, riesgos relacionados con la materia controvertida, la identidad de las partes, testigos, peritos e instituciones arbitrales, el tipo de industria, el valor de controversia, entre otros);
b) “las prácticas existentes de seguridad de la información, infraestructura y capacidades de las partes, árbitros e instituciones arbitrales y la medida en que las prácticas abordan las categorías de seguridad de la información” (el Principio 7 enuncia algunas: gestión de activos, controles de acceso, encriptación, seguridad de comunicaciones, gestión de incidentes de seguridad de información, entre otras);
c) “la carga, los costos y los recursos relativos de las partes, árbitros y cualquier institución administradora”;
d) “proporcionalidad relativa al tamaño, valor y perfil de riesgo de la disputa”; y
e) “la eficiencia del proceso arbitral” (Principio 6).
La enumeración de estos factores es de vital importancia ya que permite advertir que no hay fórmulas estáticas para el diseño de los protocolos de ciberseguridad, sino que los mismos deben tener la flexibilidad suficiente para adecuarse a las necesidades de cada arbitraje.
En tercer lugar, se reconoce al Tribunal Arbitral la capacidad de “modificar las medidas previamente establecidas para el arbitraje, a solicitud de cualquiera de las partes o por iniciativa propia del tribunal, a la luz de las circunstancias cambiantes del caso” (Principio 12), lo cual se enmarca dentro del espíritu de flexibilidad que debe caracterizar a los protocolos de ciberseguridad.
Siempre dentro de las prerrogativas del Tribunal Arbitral, se establece que en caso de “violación de las medidas de seguridad de la información adoptadas para un procedimiento de arbitraje o la ocurrencia de un incidente de seguridad de la información, el tribunal arbitral puede, a su discreción:
a) asignar los costos relacionados entre las partes; y/o
b) imponer sanciones a las partes” (Principio 13).
Como se aprecia, las sanciones no se establecen de forma expresa, pero ello resulta necesario en aras de preservar el principio de tipicidad ante las partes del arbitraje.
Finalmente, los principios del Protocol on Cybersecurity concluyen indicando que “no establecen ninguna responsabilidad ni estándar de responsabilidad, incluyendo pero no limitándose a la responsabilidad contractual, mala praxis profesional o negligencia” (Principio 14), esto se justifica en el propio carácter referencial de los protocolos de ciberseguridad.
4. Reflexión final
Es en este contexto, si bien hay que indicar la indudable importancia de los protocolos para el desarrollo de las actuaciones arbitrales de forma virtual a nivel del arbitraje internacional, tales como el Seoul Protocol on Video Conferencing in International Arbitration (marzo, 2020) o la ICC Guidance Note on Possible Measures Aimed at Mitigating the Effects of the COVID-19 Pandemic (abril, 2020), también se debe enfatizar en que no son instrumentos suficientes desde una política integral de administración de riesgos de la información, propia del Arbitration Tech, lo cual debe ser advertido por centros de arbitraje, árbitros, abogados y partes tanto en los arbitrajes internacionales como nacionales, para proceder a una mejora continua y constante de la práctica arbitral.
(*) Héctor Campos García es Profesor de Derecho Privado en la Pontificia Universidad Católica del Perú y en la Universidad de Lima.
Tiene estudios en Legal Tech por la Escuela Superior de Administración y Dirección de Empresas – Executive Education (Barcelona). Coordinador del Grupo de Investigación “El rol de los smart contracts en el sistema de transferencia de las titularidades” en el Centro de Investigación, Capacitación y Asesoría Jurídica (CICAJ-PUCP). Asociado del Área de Prevención y Solución de Conflictos (Litigios- Arbitraje) en Linares Abogados.
NotiVeraz