Desde que la digitalización comenzó a permear el mercado, cambiando drásticamente el comercio y los procesos de trabajo, las estrategias organizativas no han tenido demasiado en cuenta aquellas relacionadas con la ciberseguridad.

No obstante, y dadas las extraordinarias circunstancias que vivimos desde hace ya muchos meses, los procesos de digitalización de las empresas se han visto impulsados como nunca hasta ahora: el tejido empresarial de este país ha sido en buena medida capaz de desarrollar nuevas estrategias y mecanismos de adaptación a la situación actual.

La crisis provocada por el Covid-19 ha evidenciado la importancia de un teletrabajo seguro en las empresas. Sin embargo, y asociado a estos nuevos esquemas, han aumentado los riesgos cibernéticos.

Por suerte, también ha aumentado la conciencia en el mundo empresarial de los problemas que puede conllevar un parón de su actividad, una pérdida masiva de datos o una extorsión cibernética.

Por ello, la inversión en infraestructuras y redes, se convierte en pilar fundamental para fortalecer la ciberseguridad de las empresas y minimizar los riesgos a los que pueden quedar expuestas, independientemente de cuales sean las dimensiones de las mismas.

¿Puede la empresa incurrir en un incumplimiento legal tras un ciberataque?

“La respuesta es simple. Sí. La empresa autora de un ciberataque puede incurrir en responsabilidad penal, derivada de la comisión de dos posibles delitos, el primero, de daños informáticos (art. 264 del Código Penal (CP en adelante)), y el segundo, de revelación de secretos (art. 197 al art. 200 CP). Y ello sin olvidar la responsabilidad civil subsidiaria de la persona jurídica, tipificada en el art. 120.4 CP”.

De la misma forma, incluso la propia empresa atacada puede sufrir consecuencias, en vía administrativa y en vía civil, si carece de las pertinentes medidas de seguridad, sobre las que hablaremos más adelante.

¿Qué tipo de infracciones puede incurrir una empresa?

Del tipo infracciones administrativas, éstas se pueden dividir en leves, graves y muy graves.

InfracciónSupuesto de hechoSanción
LevesNo proporcionar información requerida por la AEPD. No atender solicitudes de rectificación o cancelación.600€ – 6.000€
GravesMantener datos inexactos.

No recabar consentimiento de los titulares

60.000€ – 300.000€
Muy gravesComunicación de datos sin requisitos legales.

Tratar datos sensibles sin consetimiento expreso y escrito del afectado.

300.000€ – 600.000€

Vía Civil y la exigencia de responsabilidad

De un lado tenemos la responsabilidad contractual (art. 1.101 y siguientes del Código Civil) y extracontractual (art. 1902 y 1.089 CC), que encuentran su justificación en el deber general de no dañar a terceros, adoptando las medidas de seguridad necesarias y actuando con un nivel de diligencia determinado. No obstante, “la empresa puede quedar exonerada de responder de aquellos daños que no hayan podido preverse, o cuando no quede demostrado el nexo de causalidad (art. 1.105 y 1.107 CC)”.

De otro lado, siempre y cuando se pruebe el incumplimiento de la Ley Orgánica de Protección de Datos, quedando suficientemente acreditada la producción de daños y siendo los mismos susceptibles de valoración, los interesados tendrán reconocido el derecho a indemnización, en virtud de lo dispuesto en el art. 19 LOPD.

Hablando de la protección de datos, interesa traer a colación las previsiones establecidas en el Reglamento General de Protección de Datos, que incluye un régimen de responsabilidad más estricto. Esto se traduce en una serie de obligaciones para las empresas, que van desde la realización de evaluaciones de impacto (PIA) hasta la obligación de denunciar, en un plazo prudencial y breve, las brechas de seguridad a los propios interesados y a la Agencia Española de Protección de Datos (AEPD en adelante).

¿Existe alguna exoneración?

No todo va a ser negativo, también es cierto que existen formas de quedar exonerado de la mentada responsabilidad o de aminorarla. A este respecto, contemplamos la posibilidad de elaborar un programa de Compliance o contratar una póliza de cyber – seguros.

De conformidad a los arts. 24 y 32 del Reglamento Europeo de Protección de Datos (RGPD en adelante), el responsable del tratamiento, en este caso la empresa o la organización, tiene la obligación de garantizar la seguridad de los datos de carácter personal que haya recabado, aplicando en cada momento las medidas necesarias para evitar cualquier daño (“responsabilidad proactiva” o “accountability”) y respondiendo por todos daños que sufran esos datos (obligación de resultado). Así pues, para cumplir con las obligaciones impuestas en materia de protección de datos, es necesario dotar a esos datos de unas medidas de seguridad adecuadas (ciberseguridad), y crear un procedimiento o protocolo que permita minimizar el riesgo, genere una cultura de cumplimiento y dote a la organización de un sistema de alertas e incidencias (Compliance).


Sobre los autores

  • Letizia Bisignano Robledo, abogada,
  • Ángel Mene Dosada, Legal Trainee.
  • Área de Litigación y Arbitraje. AGM Abogados

Dejar una respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.