Facultad de Derecho

Facultad de Derecho

Blog Revista Derecho del Estado
Menú
Entradas

Responsabilidad del estado en materia de ciberseguridad.

Por: Samuel Camilo Bernal Cortes [1]

Fundamentos conceptuales de la responsabilidad extracontractual del estado.

En la Constitución Política de 1991, se establece que la nación es un Estado Social de Derecho, fundamentado en principios constitucionales como el bien común, la dignidad humana y el interés general. A priori, el artículo 2 de la Constitución señala unos fines esenciales que el Estado debe cumplir: servir a la comunidad, promover la prosperidad general y garantizar la efectividad de los principios, derechos y deberes consagrados en la Constitución; facilitar la participación de todos en las decisiones que los afectan y en la vida económica, política, administrativa y cultural de la Nación; defender la independencia nacional, mantener la integridad territorial y asegurar la convivencia pacífica y la vigencia de un orden justo. Estos principios se encuentran en el primer título de la Constitución de 1991, titulado «Principios constitucionales». [2]

La Constitución regula específicamente la responsabilidad del Estado en el artículo 90, en el que se establece en su inciso primero: «El Estado responderá patrimonialmente por los daños antijurídicos que le sean imputables, causados por la acción o la omisión de las autoridades públicas.» En el inciso segundo, se agrega que «En el evento de ser condenado el Estado a la reparación patrimonial de uno de tales daños, que haya sido consecuencia de la conducta dolosa o gravemente culposa de un agente suyo, aquel deberá repetir contra este.» Esto regula la responsabilidad de los servidores públicos, sin embargo, el propósito de esta investigación se orienta hacia el primer inciso, que establece que la responsabilidad patrimonial del Estado, ante los daños antijuridicos que se le imputaran, sea por la acción u omisión de las autoridades públicas.[3]

Este principio refleja que el Estado tiene el deber jurídico, social y político de responder por los daños causados por sus autoridades, convirtiéndose en una obligación constitucional. Existen dos regímenes de responsabilidad establecidos en la  legislación nacional: el régimen subjetivo y el régimen objetivo. El primero, el régimen subjetivo, aplica cuando se identifica una falla en el servicio, es decir, cuando el Estado no actúa de manera adecuada. El régimen objetivo, por otro lado, se centra en el resultado del daño antijurídico, independientemente de la conducta del agente del Estado.

Relación entre la responsabilidad del estado y el manejo de datos en razón del mundo cibernético.

El Estado tiene la obligación de responder por los daños causados por su acción u omisión, responsabilidad que también debe extenderse a las vulneraciones en el ámbito de la ciberseguridad. Esta responsabilidad no puede ser indiferente, sino que resulta esencial para la pronta protección de los derechos que pueden verse amenazados frente a un ciberataque. Para comprenderlo de forma sencilla, imaginemos que nuestra computadora está protegida con un candado digital (contraseña) para resguardar documentos, datos e información importantes. Sin embargo, alguien logra abrir ese candado sin nuestro permiso, accediendo, robando o dañando la información almacenada. En este caso, ¿quién debería asumir la responsabilidad por la vulneración de esa seguridad?[4]

En primer lugar, este planteamiento ha sido objeto de múltiples investigaciones, concluyendo mayoritariamente, que tanto el usuario tiene el derecho a la protección de sus datos, establecida por leyes que se alzan hasta de orden estatutario; como del proveedor del servicio o quien administra la información correspondiente. En Colombia, por ejemplo, la ley 1581 de 2012 que dispone la regulación de los datos personales.

Sin embargo, ante las eventualidades que surgen directamente para las entidades públicas, y aun de estas entidades que se convierten en responsables de la información de los usuarios, continúan surgiendo preguntas relevantes y problematizadoras alrededor de la responsabilidad estatal ahora bien, ante la noción de la responsabilidad, derivado de la palabra latina responderé, tiene sus raíces en el derecho romano, donde significaba seguridad, restitución o indemnización . La responsabilidad del Estado es amplia y compleja, pero se puede sintetizar en varios aspectos clave:

•       Es una responsabilidad constitucional.

•       Es responsabilidad de una persona jurídica.

•       Es una responsabilidad directa.

•       Está regida por el derecho público.

•       Es una responsabilidad integral.[5]

El artículo 90 de la Constitución Política de Colombia establece reflejo de  la teoría de la responsabilidad del Estado, que contempla dos regímenes: el subjetivo y el objetivo.

El régimen subjetivo se centra en la falla en el servicio, es decir, cuando el Estado actúa de manera incorrecta, tarde o no actúa, y se fundamenta en tres elementos clave: el daño, la culpa del funcionario y el nexo causal. Por otro lado, el régimen objetivo no se enfoca en la conducta, sino en el resultado del daño. En este caso, el Estado puede actuar legítimamente, pero si esa acción rompe el equilibrio de las cargas públicas que un sujeto no está obligado a soportar, o genera un riesgo excepcional, se considerará responsable.[6]

 En cuanto al manejo de datos personales, este está protegido no solo por el artículo 15 de la Constitución Política de Colombia (Habeas Data), sino también por la Ley 1581 de 2012, que regula la protección de datos personales en el país. Esta ley garantiza el derecho de las personas a conocer, rectificar y suprimir la información que se haya recopilado sobre ellas en bases de datos o archivos. A nivel internacional, Colombia también está adherida al Convenio sobre Ciberdelincuencia de Budapest, que busca combatir el uso de redes informáticas y la información electrónica para cometer delitos, así como la protección de pruebas almacenadas en estas redes.[7]

El proceso de administración de información personal debe respetar los derechos fundamentales de los sujetos involucrados; la finalidad del proceso y de la base de datos debe ser clara y delimitada, y la administración debe justificar la pertinencia y relevancia de la información en función de su finalidad” .

Con respecto a la seguridad digital, el documento de política pública CONPES 3701 de 2011 señala que la evolución, el crecimiento y la sofisticación de los ataques cibernéticos, así como la convergencia tecnológica, exigen la adopción de medidas y controles para proteger al Estado frente a estas nuevas amenazas. Los ataques informáticos, junto con el uso de nuevas tecnologías, representan un riesgo común para todos los países, ya que afectan la seguridad de la información tanto en el sector público como privado, e impactan a la sociedad civil (Planeación, 2011).

La responsabilidad del Estado es, por lo tanto, crucial y no puede ser ignorada en el contexto de la ciberseguridad. Esto se debe a la alta probabilidad de que los usuarios cibernéticos sufran daños, como los causados por amenazas informáticas o el robo de datos. Según el jurista Juan Carlos Henao, “el daño es el elemento primordial de la responsabilidad civil y estatal, y debe ser probado por la persona afectada. El daño puede ser material o inmaterial, y debe ser indemnizado en su totalidad. Existen daños emergentes (pérdidas actuales) y lucro cesante (ganancias futuras no obtenidas).

Es importante resaltar la relevancia de la responsabilidad extracontractual del Estado y su relación con la ciberseguridad en la actualidad. La pregunta que surge, entonces, es: ¿qué medidas toma el Estado para resarcir los daños causados por su acción u omisión en el ámbito de la ciberseguridad? Para responder a esta cuestión, examinaremos un caso en el que se evidenció una clara afectación a los derechos de la información y el manejo de datos de los ciudadanos, y cómo el Estado respondió, proporcionando un precedente que muestra tanto el impacto que puede tener un daño relacionado con la ciberseguridad como las acciones del Estado para hacer frente a esa responsabilidad.

Materialización de la responsabilidad del estado frente a un incidente de ciberseguridad.

La responsabilidad del Estado en materia de ciberseguridad puede analizarse a partir de los regímenes tradicionales de responsabilidad, particularmente el régimen subjetivo y el objetivo. En el primero, la responsabilidad se estructura a partir de la falla en el servicio, la cual se configura cuando las entidades estatales no adoptan las medidas necesarias, idóneas y oportunas para garantizar la protección de la información y los datos personales bajo su custodia. En este contexto, la omisión en la implementación de protocolos de seguridad, controles técnicos o mecanismos de prevención constituye un incumplimiento del deber funcional del Estado, generando la obligación de reparar los daños causados.

Por su parte, el régimen objetivo se materializa cuando se configura un daño antijurídico que el ciudadano no está en la obligación de soportar, independientemente de la existencia de culpa o dolo por parte de la administración. En escenarios de vulneración de la seguridad informática, el daño derivado de la exposición, pérdida o acceso indebido a datos personales puede ser imputable al Estado en la medida en que este tiene la posición de garante frente a la protección de la información. Así, la sola ocurrencia del daño, asociada a la gestión de bases de datos o sistemas de información, puede dar lugar a la responsabilidad estatal.

En este marco, la protección de datos personales adquiere una relevancia central, en tanto impone a quienes administran información la obligación de implementar medidas técnicas, humanas y administrativas adecuadas para evitar riesgos como el acceso no autorizado, la alteración o la pérdida de datos. Esta exigencia no solo se traduce en un deber legal, sino también en una manifestación del principio de responsabilidad en el tratamiento de la información, que obliga a demostrar la adopción de mecanismos efectivos de seguridad. Adicionalmente, la responsabilidad del Estado en ciberseguridad se proyecta en el ámbito internacional, en la medida en que la cooperación entre Estados se convierte en un elemento esencial para enfrentar los delitos informáticos. [8]

La adopción de instrumentos internacionales orientados a combatir la ciberdelincuencia refleja el compromiso estatal de armonizar su legislación interna con estándares globales, fortaleciendo la protección de bienes jurídicos como la privacidad, la confidencialidad, la integridad y la disponibilidad de la información. En este sentido, la constitucionalidad de estos instrumentos reafirma su compatibilidad con los principios fundamentales del ordenamiento jurídico, al tiempo que consolida la obligación del Estado de adoptar políticas públicas, marcos normativos y mecanismos institucionales eficaces para prevenir, mitigar y responder a los riesgos derivados del entorno digital.  la responsabilidad del Estado en materia de ciberseguridad se configura tanto por acción como por omisión, y exige una actuación diligente, preventiva y coordinada, orientada a garantizar la protección de los derechos de los ciudadanos en un contexto marcado por la creciente digitalización y la interdependencia tecnológica.

Concluciones

La responsabilidad extracontractual del Estado en materia de ciberseguridad adquiere hoy una importancia central, debido a los riesgos derivados de la digitalización y el manejo de datos personales. En este contexto, el Estado debe responder tanto por falla en el servicio como por la producción de daños antijurídicos, lo que exige una gestión adecuada de los riesgos cibernéticos.  el marco normativo impone la obligación de implementar medidas técnicas, humanas y administrativas para garantizar la seguridad de la información, bajo el principio de responsabilidad demostrada. Sin embargo, persisten debilidades en la gestión estatal, lo que evidencia la necesidad de fortalecer las capacidades institucionales y adoptar estándares internacionales. la cooperación internacional y la implementación de instrumentos en materia de ciberdelincuencia se consolidan como herramientas clave para proteger derechos fundamentales como la privacidad y la seguridad de la información, lo que obliga al Estado a asumir un compromiso continuo frente a los desafíos del entorno digital.

Bibliografia

1.Velasco Cano, N., y Vladimir Llano, J. (2015). Teoría del derecho neoconstitucionalismo y modelo de estado constitucional en el contexto colombiano. Novum Jus, 9(2), 49–74. https://doi.org/10.14718/NovumJus.2015.9.2.2

2.ROMERO PÁEZ, Nicolás Augusto. La doctrina del estado de cosas inconstitucional en Colombia: novedades del neoconstitucionalismo y la “inconstitucionalidad de la realidad”. Derecho Público Iberoamericano, no. 1, octubre de 2012, pp. 243–264. Disponible en: https://dialnet.unirioja.es/servlet/articulo?codigo=5640552

3. FERNÁNDEZ BERMEJO, Daniel y MARTÍNEZ ATIENZA, Gorgonio. Ciberseguridad, ciberespacio y ciberdelincuencia. Madrid: Thomson Reuters Aranzadi, 2018. ISBN: 978-84-9197-134-4. Disponible en: https://espacio-pre.uned.es/entities/publication/3330fac0-68b0-4c34-9a68-fac2cb16a148

4. GUERRA, Débora L. y PABÓN, Liliana D. Estado del arte de la responsabilidad extracontractual del Estado y sus elementos en Colombia. Revista Espacios, vol. 41, no. 8, 2020. Disponible en: http://www.revistaespacios.com/a20v41n08/a20v41n08p29.pdf

5. ARMENTA ARIZA, Angélica María. El régimen de la responsabilidad patrimonial del Estado en Colombia: el título jurídico de la imputación. Revista Via Iuris, no. 6, 2009, pp. 88–112. Disponible en https://dialnet.unirioja.es/servlet/articulo?codigo=3293455

6. PÉREZ FERNÁNDEZ, Óscar Eduardo. El habeas data en Colombia: su desarrollo y conexidad con los derechos fundamentales. Bogotá: Universidad Católica de Colombia. Disponible en: https://repository.ucatolica.edu.co/server/api/core/bitstreams/3d8b132d-3ec1-4e71-beba-4b592252bb1a/content

7. JOYANES AGUILAR, Luis. Introducción: estado del arte de la ciberseguridad. Disponible en: https://www.pensamientopenal.com.ar/system/files/2015/01/doctrina38717.pdf

[1] Estudiante de Derecho de la Universidad Santo Tomás, seccional Tunja. Miembro estudiantil del Instituto Colombiano de Derecho Procesal y  miembro estudiantil del Colegio de Abogados administrativistas de Colombia .  Ponente a nivel nacional.

  • Velasco Cano, N., y Vladimir Llano, J. (2015). Teoría del derecho neoconstitucionalismo y modelo de estado constitucional en el contexto colombiano. Novum Jus, 9(2), 49–74. https://doi.org/10.14718/NovumJus.2015.9.2.2
  • ROMERO PÁEZ, Nicolás Augusto. La doctrina del estado de cosas inconstitucional en Colombia: novedades del neoconstitucionalismo y la “inconstitucionalidad de la realidad”. Derecho Público Iberoamericano, no. 1, octubre de 2012, pp. 243–264. Disponible en: https://dialnet.unirioja.es/servlet/articulo?codigo=5640552

 

[4] FERNÁNDEZ BERMEJO, Daniel y MARTÍNEZ ATIENZA, Gorgonio. Ciberseguridad, ciberespacio y ciberdelincuencia. Madrid: Thomson Reuters Aranzadi, 2018. ISBN: 978-84-9197-134-4. Disponible en: https://espacio-pre.uned.es/entities/publication/3330fac0-68b0-4c34-9a68-fac2cb16a148

[5] GUERRA, Débora L. y PABÓN, Liliana D. Estado del arte de la responsabilidad extracontractual del Estado y sus elementos en Colombia. Revista Espacios, vol. 41, no. 8, 2020. Disponible en: http://www.revistaespacios.com/a20v41n08/a20v41n08p29.pdf

[6] ARMENTA ARIZA, Angélica María. El régimen de la responsabilidad patrimonial del Estado en Colombia: el título jurídico de la imputación. Revista Via Iuris, no. 6, 2009, pp. 88–112. Disponible en https://dialnet.unirioja.es/servlet/articulo?codigo=3293455

[7] PÉREZ FERNÁNDEZ, Óscar Eduardo. El habeas data en Colombia: su desarrollo y conexidad con los derechos fundamentales. Bogotá: Universidad Católica de Colombia. Disponible en: https://repository.ucatolica.edu.co/server/api/core/bitstreams/3d8b132d-3ec1-4e71-beba-4b592252bb1a/content

[8] OYANES AGUILAR, Luis. Introducción: estado del arte de la ciberseguridad. Disponible en: https://www.pensamientopenal.com.ar/system/files/2015/01/doctrina38717.pdf

Para citar: Samuel Camilo Bernal Cortes «Responsabilidad del estado en materia de ciberseguridad.» en Blog Revista Derecho del Estado, 30 de abril de 2026. Disponible en: https://blogrevistaderechoestado.uexternado.edu.co/2026/04/30/responsabilidad-del-estado-en-materia-de-ciberseguridad/