La versión de su navegador no está debidamente actualizada. Le recomendamos actualizarla a la versión más reciente.

Cómo reaccionar jurídicamente ante un incidente de ciberseguridad.

Publicado 09/06/2019

A mediados de enero nos despertamos con una noticia impactante: se acababa de descubrir uno de los incidentes de ciberseguridad más importantes de la historia. El llamado # Collection1 expuso más de 73 millones de correos electrónicos y 20 millones de contraseñas en una página web de hackers. En un contexto donde este tipo de sucesos son cada vez más frecuentes y de mayor alcance, conviene poner de relieve los principales riesgos jurídicos que las organizaciones deben afrontar.

Es un hecho que pymes y los autónomos están integrándose, a veces a la fuerza, en una sociedad que cada vez usa más intensamente las nuevas tecnologías. Los clientes se mueven por la red desde todo tipo de dispositivos y aplicaciones. Son también activos: nos informan sobre sus gustos e intereses, compran y venden en internet, y utilizan las redes para transmitir sus opiniones y quejas.

No obstante las empresas, y los usuarios, somos cada vez más conscientes de los riesgos que acarrea el mal uso de la tecnología. Para los primeros generar confianza es la clave para sobrevivir, pues no podemos permitirnos el lujo de sufrir incidentes de seguridad, por nuestra reputación y por nuestra cuenta de resultados. A los segundos les atormenta la falta de privacidad y el fraude, y se hacen más críticos a la hora de elegir empresas donde no resulten engañados y sus datos estén seguros. Unos y otros tenemos que «invertir» en ciberseguridad para aprovechar las ventajas que ofrece la tecnología.

Las entidades consideradas prestadores de servicios digitales, que no sean microempresas o pequeñas empresas, deben cumplir las siguientes obligaciones:

  • Comunicar su actividad a la Secretaría de Estado para el Avance Digital del Ministerio de Economía y Empresa.
  • Realizar un análisis de riesgos en materia de ciberseguridad que dé cobertura, como mínimo, a aspectos como la seguridad de los sistemas e instalaciones, la gestión de incidentes, la gestión de la continuidad de las actividades, la supervisión, auditorías y pruebas y el cumplimiento de las normas internacionales.
  • Notificar a los equipos de respuesta los sucesos que tengan efectos perturbadores significativos sobre la prestación de los servicios digitales.
  • Resolver los mencionados sucesos solicitante, en su caso, ayuda especializada.

Adoptar las medidas adecuadas para prevenir y reducir al mínimo el impacto de los incidentes.

Según la normativa vigente, una entidad se convierte prestadora de servicios digitales cuando ofrece servicios de la sociedad de la información, es decir, servicios que constituyen una actividad económica para el prestador a distancia, por vía electrónica y a petición individual del destinatario. Asimismo, debe tratarse de servicios de mercados en línea (compraventa o prestación de servicios en línea), motores de búsqueda en línea o servicios cloud. El incumplimiento de estas obligaciones de carácter administrativo implica sanciones de hasta un millón de euros en los casos más graves.

Protección de la privacidad

Además de hacer un análisis de riesgos que determine las medidas de ciberseguridad más adecuadas a implementar, las organizaciones tienen la obligación de notificar a la Agencia Española de Protección de Datos lo antes posible y, a poder ser, en el plazo máximo de 72 horas, los problemas de seguridad que afecten datos de carácter personal. En la AEPD han habilitado canales electrónicos para facilitar el trámite. Aparte, también hay que documentar el incidente, detallando los hechos, efectos y medidas correctoras.

De manera paralela, si el incidente implica un alto riesgo para los derechos y libertades de las personas, la entidad deberá comunicar el problema a los afectados lo antes posible, utilizando un lenguaje claro y sencillo. El incumplimiento de estas obligaciones también puede implicar sanciones muy elevadas, de hasta 10 millones de euros o importes equivalentes al 2% del volumen de negocio del ejercicio fiscal anterior.

Responsabilidad penal o civil. Desde el momento que una entidad puede ser considerada penalmente responsable por los daños informáticos provocados por ella misma o, incluso, por un trabajador sobre el que no se ha ejercido el necesario control, conviene, en primer lugar, determinar los riesgos que puede generar la actividad de la organización. La empresa es responsable tanto de los daños provocados por ella misma como por parte de un trabajador.

En consecuencia, hay que establecer los necesarios mecanismos de control a través de los correspondientes protocolos y canales de denuncia. Estos deben permitir acreditar la más alta diligencia posible para aminorar o, incluso, extinguir una eventual responsabilidad. De lo contrario, las consecuencias penales pueden consistir en importantes multas, suspensión de licencias, intervención judicial, clausura temporal o la disolución de la entidad, así como la obligación de asumir importantes indemnizaciones por los daños y perjuicios causados.

Es evidente que, además de ser diligentes y ágiles a la hora resolver problemas en materia de ciberseguridad, también es necesario que las entidades y organizaciones implementen los mecanismos de control y de reacción mencionados anteriormente para no tener que asumir (todavía) más consecuencias no deseadas que las de los propios incidentes.

Compártenos en tus redes

Directiva de cookies

Este sitio utiliza cookies para el almacenamiento de información en su equipo.

¿Lo acepta?