En un contexto donde este tipo de sucesos son cada vez más frecuentes y de mayor alcance, conviene poner de relieve los principales riesgos jurídicos que las organizaciones deben afrontar.

A mediados de enero nos despertamos con una noticia impactante: se acababa de descubrir uno de los incidentes de ciberseguridad más importantes de la historia. El llamado # Collection1 expuso más de 73 millones de correos electrónicos y 20 millones de contraseñas en una página web de hackers.

Es un hecho que pymes y autónomos están integrándose en una sociedad que cada vez usa más intensamente las nuevas tecnologías. Los clientes se mueven por la red desde todo tipo de dispositivos y aplicaciones. Informan sobre sus gustos e intereses, compran y venden en internet, y utilizan las redes para transmitir sus opiniones y quejas.

No obstante las empresas, y los usuarios, somos cada vez más conscientes de los riesgos que acarrea el mal uso de la tecnología. Para los primeros generar confianza es la clave para sobrevivir, pues no podemos permitirnos el lujo de sufrir incidentes de seguridad, por nuestra reputación y por nuestra cuenta de resultados. A los segundos les atormenta la falta de privacidad y el fraude, y se hacen más críticos a la hora de elegir empresas donde no resulten engañados y sus datos estén seguros. En una sociedad totalmente digital nuestros datos personales han aumentado su valor un 100%. Para empresas dedicadas a la publicidad, el saber dónde estamos, cuáles son nuestros gustos y aficiones, en qué trabajamos, etc. se ha convertido en uno de sus más preciados valores. Y por ello se llegan a pagar enormes cantidades de dinero.

Unos y otros tenemos que «invertir» en ciberseguridad para aprovechar las ventajas que ofrece la tecnología.

Las entidades consideradas prestadores de servicios digitales, que no sean microempresas o pequeñas empresas, deben cumplir las siguientes obligaciones:

  • Comunicar su actividad a la Secretaría de Estado para el Avance Digital del Ministerio de Economía y Empresa.
  • Realizar un análisis de riesgos en materia de ciberseguridad que dé cobertura, como mínimo, a aspectos como la seguridad de los sistemas e instalaciones, la gestión de incidentes, la gestión de la continuidad de las actividades, la supervisión, auditorías y pruebas y el cumplimiento de las normas internacionales.
  • Notificar a los equipos de respuesta los sucesos que tengan efectos perturbadores significativos sobre la prestación de los servicios digitales.
  • Resolver los mencionados sucesos o en su caso, ayuda especializada.
  • Adoptar las medidas adecuadas para prevenir y reducir al mínimo el impacto de los incidentes.

Según la normativa vigente, una entidad se convierte prestadora de servicios digitales cuando ofrece servicios de la sociedad de la información, es decir, servicios que constituyen una actividad económica para el prestador a distancia, por vía electrónica y a petición individual del destinatario. Asimismo, debe tratarse de servicios de mercados en línea (compraventa o prestación de servicios en línea), motores de búsqueda en línea o servicios cloud. El incumplimiento de estas obligaciones de carácter administrativo implica sanciones de hasta un millón de euros en los casos más graves.

 

Protección de la privacidad

Además de hacer un análisis de riesgos que determine las medidas de ciberseguridad más adecuadas a implementar, las organizaciones tienen la obligación de notificar a la Agencia Española de Protección de Datos lo antes posible y, a poder ser, en el plazo máximo de 72 horas, los problemas de seguridad que afecten datos de carácter personal. En la AEPD han habilitado canales electrónicos para facilitar el trámite. Aparte, también hay que documentar el incidente, detallando los hechos, efectos y medidas correctoras.

De manera paralela, si el incidente implica un alto riesgo para los derechos y libertades de las personas, la entidad deberá comunicar el problema a los afectados lo antes posible, utilizando un lenguaje claro y sencillo. El incumplimiento de estas obligaciones también puede implicar sanciones muy elevadas.

Responsabilidad penal o civil. El artículo 197.2 del Código Penal se inserta dentro de los delitos contra la intimidad. Ésta, como reiteradamente ha declarado el Tribunal Constitucional, “en cuanto derivación de la dignidad de la persona que reconoce el artículo 10 de la CE, implica la existencia de un ámbito propio y reservado frente a la acción y el conocimiento de los demás, necesario, según las pautas de nuestra cultura, para mantener una calidad mínima de la vida humana”.

Desde el momento que una entidad puede ser considerada penalmente responsable por los daños informáticos provocados por ella misma o, incluso, por un trabajador sobre el que no se ha ejercido el necesario control, conviene, en primer lugar, determinar los riesgos que puede generar la actividad de la organización. La empresa es responsable tanto de los daños provocados por ella misma como por parte de un trabajador.

Cada vez son más los afectados que preguntan por la posibilidad de solicitar una indemnización en caso de incumplimiento de la normativa de Protección de Datos y vulneración de su derecho al honor, a la intimidad y a la propia imagen. Y, sobre todo, ante quién pueden presentar esa petición.

Tenemos varias resoluciones tanto de la AEPD como de los Tribunales en las que se condena a empresas a indemnizar a los afectados por una vulneración de su derecho a la protección de sus datos personales. Esto se produce principalmente en casos de inclusión indebida en ficheros de morosos. O por utilización de datos personales o imágenes sin el debido consentimiento de los titulares.

En consecuencia, hay que establecer los necesarios mecanismos de control a través de los correspondientes protocolos y canales de denuncia. Estos deben permitir acreditar la más alta diligencia posible para aminorar o, incluso, extinguir una eventual responsabilidad. De lo contrario, las consecuencias penales pueden consistir en importantes multas, suspensión de licencias, intervención judicial, clausura temporal o la disolución de la entidad, así como la obligación de asumir importantes indemnizaciones por los daños y perjuicios causados.

Es evidente que, además de ser diligentes y ágiles a la hora resolver problemas en materia de ciberseguridad, también es necesario que las entidades y organizaciones implementen los mecanismos de control y de reacción mencionados anteriormente para no tener que asumir más consecuencias no deseadas que las de los propios incidentes.

Dejar respuesta

¡Por favor introduce tu comentario!
Por favor introduce tu nombre aquí