España - Riesgos derivados de la era digital: responsabilidad legal del empresario ante un ciberataque
El intenso proceso de transformación digital que está sufriendo nuestra sociedad actual impone a las empresas la necesidad de adaptar sus modelos de negocio para responder así a las nuevas necesidades que nacen en un mercado globalizado.
En este escenario, no hay que olvidar que junto a las ventajas y facilidades que aportan las nuevas tecnologías en nuestra vida diaria, especial atención merece el hecho de que ello conlleva también la aparición de un nuevo escenario de riesgos, del que no debemos entender que estemos a salvo, por cuanto las estadísticas sitúan a España como el tercer país más atacado del mundo por los ciberdelincuentes, por detrás de Estados Unidos y el Reino Unido, según el Instituto Nacional de Ciberseguridad (INClBE).
Las ciberamenazas suponen el tercer riesgo a nivel internacional, después de los conflictos armados y el terrorismo, según el Informe de Seguridad Nacional 2016, elaborado por el Departamento de Seguridad Nacional (DSN) de la presidencia del Gobierno.
Lo anterior, trasladado a un plano más práctico, supone que tres de cada cuatro empresas españolas ya han sufrido un ciberataque, lo que deja en evidencia la vulnerabilidad de las redes de información de las que dependen cada vez más las sociedades avanzadas.
Todo lo anterior nos lleva irremediablemente a cuestionamos la siguiente pregunta: ¿son responsables los empresarios en caso de sufrir un ciberataque?
La sombra de la duda planea sobre los eventuales daños que puedan causarse a terceros. y es que, en este punto, la nueva normativa nacida en el seno de la Unión Europea como el embrión para dar respuesta a las necesidades de ciberseguridad impone a las empresas nuevas obligaciones para proteger la información de sus dientes. De tal forma que, de probarse que las mismas no han obrado con la diligencia necesaria, existirían riesgos legales de diversa naturaleza: contractual, extracontractual e incluso administrativa.
Las responsabilidades contractuales y extracontractuales responden al deber general de no dañar a los terceros (alterum non laedere) del que se desprende que la responsabilidad puede nacer con total independencia de obligaciones de cualquier otro tipo que existan entre las partes, ya que el daño se produce por violación de deberes generales de conducta.
Sin embargo, el foco de atención en este escenario debe ponerse sobre la nueva normativa europea que traerá consigo el Reglamento europeo General de Protección de Datos (RGPD), de obligatoria aplicación a partir del 25 de mayo de 2018.
Así pues, se crea un marco más exigente para las empresas, acuñándose el concepto de "accountability" por el que el hecho de garantizar la seguridad de los datos personales pasa de ser una obligación de medios a convertirse en una obligación de resultados, donde no incumplir ya no será suficiente. Además, se configura la obligación de establecer políticas de prevención y realizar evaluaciones de impacto ("Privacy Impact Assessment") cuando, con motivo de su naturaleza, alcance, contexto o fines, existan riesgos específicos para los derechos y libertades de los interesados; así como la obligatoriedad de denunciar, sin dilación indebida, las violaciones o brechas de seguridad ("Data Breach Notification") tanto a la Agencia Española de Protección de Datos (AEPD), como a los propios interesados.
Por tanto, las empresas ciberatacadas podrían ser responsables si no cumplen con sus obligaciones de cumplimiento normativo, por un lado, frente a los perjudicados (a quienes el RGPD les reconoce el derecho a exigir una indemnización por daños materiales e inmateriales) y, por otro, frente a la administración competente, pues el nuevo RGPD establece un nuevo régimen sancionador más agravado, que podría alcanzar hasta los 20 millones de euros o el 4% de la facturación anual global de la empresa (la más alta de las dos cifras).