Uno de los peores problemas o riesgos que pueden sufrir las empresas, especialmente ligadas a las TI o con uso intensivo de ellas, es la interrupción de los servicios, tanto desde el punto de vista de la prestación
de ellos como de la información asociada.
Como hemos dicho, los datos son uno de los activos más importantes para las organizaciones, donde los sistemas de información y la disponibilidad de éstos juegan un rol preponderante para la continuidad de un negocio.
Por ello las organizaciones desarrollan e implementan lo que se conoce como BCP (Business Continuity Plan), con el fin de mantener la funcionalidad de una organización, a un nivel mínimo aceptable durante una contingencia. Esto implica que un BCP debe contemplar todas las medidas preventivas y de recuperación para cuando se produzca una contingencia que afecte el negocio.
Un Plan de Continuidad del Negocio (BCP) es el resultado de la aplicación de una metodología interdisciplinaria, llamada cultura BCM, usada para crear y validar planes logísticos para la práctica de cómo una organización debe recuperar y restaurar sus funciones críticas parcial o totalmente interrumpidas, dentro de un tiempo predeterminado, después de una interrupción no deseada o desastre.
La Normativa
Dentro de los estándares en actual aplicación se encuentra el denominado BS 25999, una norma adecuada para toda organización, de cualquier tamaño y sector. Es especialmente apropiada para organizaciones que operan en entornos de alto riesgo, como las finanzas, telecomunicaciones, transporte y el sector público, donde la capacidad de continuar la actividad comercial es primordial para la organización en sí, así como para sus clientes y partes interesadas.
BS 25999 es la primera norma para la gestión de continuidad de negocio, conocida como “Business Continuity Management” (BCM), que se ha concebido para ayudar a minimizar el riesgo de interrupciones de estas características.
La norma ayuda a establecer las bases de un sistema de BCM y para mantener en marcha las actividades durante las circunstancias más inesperadas y desafiantes: protege a los empleados, su reputación y proporciona la capacidad de continuar con la actividad y el comercio.
El estándar BS 25999 ha sido desarrollado por un amplio grupo de expertos de primera categoría que constituyen una muestra representativa de sectores de la industria y de la administración, para establecer el proceso, los principios y la terminología de la gestión de continuidad de la actividad comercial.
Proporciona, asimismo, una base para comprender, desarrollar e implantar la continuidad de negocios en una organización y otorga confianza en los negocios de B2B y de B2C. Además, contiene un conjunto exhaustivo de controles basados en las mejores prácticas de BCM y abarca todo el ciclo de vida de la gestión de continuidad del negocio.
Cómo se relaciona este tema con el derecho, es el desafío que pretendemos desarrollar en estas líneas.
Lo primero que tenemos que precisar es que los casos de interrupción de los servicios o fallas pueden tener su origen básicamente en tres razones: en una falla técnica, en una falla humana o en un ataque interno o externo.
Estas alternativas se enmarcan dentro de lo que el derecho conoce como origen del daño, y para eso nuestro Código Civil distingue entre el dolo, la culpa y el caso fortuito.
En el caso de daños causado por dolo (de intención positiva de inferir injuria a la persona o propiedad de otro, Artículo 44 del Código Civil) el autor actúa de forma intencional o maliciosa, como podría ser el caso de un ataque interno o externo, donde un tercero afecta los equipos o el software de un sistema con el propósito de afectar su normal funcionamiento, como podría entenderse en el caso de un hacker que provoca una caída o suspensión de los sistemas.
En el extremo opuesto, está lo que conocemos como caso fortuito o fuerza mayor, definido en el Artículo 45 del Código Civil como “el imprevisto a que no es posible resistir como un naufragio, un terremoto, los actos de autoridad ejercidos por funcionarios públicos, etc”.
De esta manera, el caso fortuito o fuerza mayor debe ser inimputable, vale decir, que provenga de una causa enteramente ajena a la voluntad de las partes; imprevisible, esto es, que no se haya podido prever dentro de los cálculos ordinarios y corrientes; e irresistible, es decir, que no se haya podido evitar, ni aun en el evento de oponerse las defensas idóneas para lograr tal objetivo.
El problema se presenta, finalmente con la denominada culpa o negligencia, donde el daño es causado culposamente, la conducta es negligente, descuidada o imprevisora, y no presta la atención que debiera según el canon o estándar de diligencia aplicable. Dentro de esta categoría podemos encontrar los casos de falla humana o falla técnica.
¿Cuál es la respuesta del derecho en estos casos?
Como dijimos aquí nos encontramos frente a casos de culpa, que nuestra legislación a su vez divide en culpa grave, culpa leve y culpa levísima (Artículo 44 del Código Civil).
Para nuestro Código Civil la culpa grave, negligencia grave o culpa lata, es la “que consiste en no manejar los negocios ajenos con aquel cuidado que aun las personas negligentes y de poca prudencia suelen emplear en sus negocios propios. Esta culpa en materias civiles equivale al dolo”.
Por su parte, la culpa leve, descuido leve, descuido ligero, es la “falta de aquella diligencia y cuidado que los hombres emplean ordinariamente en sus negocios propios”.
Finalmente, la culpa o descuido levísimo es la “falta de aquella esmerada diligencia que un hombre juicioso emplea en la administración de sus negocios importantes”.
Este marco de referencia nos permite analizar cómo se relaciona la existencia de un BCP con las normas sobre responsabilidad en el ámbito contractual.
El análisis de la culpa contractual se encuentra vinculado a la observación de la conducta desplegada por un prestador de servicios, por ejemplo, en la ejecución de sus obligaciones. Para esclarecer la concurrencia de la culpa el juez no debe auscultar la conciencia del autor del incumplimiento, siendo suficiente la comparación entre la conducta llevada a cabo y aquélla que debería haber desplegado. Se trata de una apreciación objetiva de la conducta del deudor.
En ese sentido es importante agregar que en materia contractual, nuestro Código Civil establece -en el artículo 1547- que cuando el contrato es en beneficio recíproco se responde de la culpa leve.
Esto es importante, pues de acuerdo con las demás normas del Código Civil, si la obligación es “de hacer y el deudor se constituye en mora, podrá pedir el acreedor, junto con la indemnización de la mora, cualquiera de estas tres cosas, a elección suya:
1° Que se apremie al deudor para la ejecución del hecho convenido;
2° Que se le autorice a él mismo para hacerlo ejecutar por un tercero a expensas del deudor;
3° Que el deudor le indemnice de los perjuicios resultantes de la infracción del contrato”.
Las consecuencias de esto no son menores, pues de acuerdo a lo señalado en el Artículo 1556 del mismo Código Civil, la “indemnización de perjuicios comprende el daño emergente y lucro cesante, ya provengan de no haberse cumplido la obligación, o de haberse cumplido imperfectamente, o de haberse retardado el cumplimiento”.
La relevancia de los BCP
Todas estas normas, nos llevan en consecuencia a poder determinar ciertas conclusiones relacionadas con la existencia o no de un Plan de Continuidad de Negocios.
En efecto, imaginemos un caso concreto: una empresa que ofrece servicios de data center, en virtud del cual otra, por ejemplo una empresa bancaria, contrata servicios de respaldo, debe contar con los equipos, software, y demás medidas destinadas a impedir la interrupción de los servicios.
Para una adecuada prestación de los servicios, la proveedora del data center debe contar con una serie de medidas preventivas destinadas a impedir que un ataque, una falla humana o técnica puedan interrumpir los servicios. Esto dentro del marco de un contrato que es de beneficio recíproco, por lo que la empresa responde de la culpa leve.
Por ello, lo razonable, prudente o juicioso es tener un Plan de Continuidad de Negocios, que hará más improbable una interrupción de los servicios. El no contar con ello, podría enfrentar a la empresa a la posibilidad de tener que responder con una indemnización por los perjuicios (daño emergente y lucro cesante) que el incumplimiento culpable -que su falta de previsión- le hayan podido originar a su cliente. Por lo anterior, parece clara la importancia de contar con planes que permitan demostrar que se tomaron todas las medidas razonables para evitar las consecuencias señaladas. De ahí la importancia de un estándar como el BS25999.