¿Qué responsabilidad legal pueden tener la empresa y los empleados ante un ciberataque?
María del Mar García González, abogada & economista departamento derecho de seguros de HispaColex Bufete Jurídico

Los procesos de digitalización de las empresas se han visto impulsados como consecuencia de la situación vivida durante la pandemia de COVID-19, y esta circunstancia ha sido aprovechada por los ciberdelincuentes, pues son ya innumerables las empresas que han sufrido ciberataques en estos últimos meses.

Resulta evidente que debido al COVID-19 y el nuevo modelo de teletrabajo, han proliferado nuevos tipos de riesgos por ataques cibernéticos y fraudes para empresas y empleados, aumentando la vulnerabilidad de estos agentes frente a ciberdelincuentes. Como consecuencia de ello, los ataques de ransomware están castigando el tejido empresarial, convirtiendo a empresarios y autónomos en víctimas de secuestros de información cada vez con mayor frecuencia, causando graves pérdidas en sus negocios, a nivel reputacional y patrimonial.

Esta crisis ha dejado patente la necesidad de contar con mecanismos de protección, que evite o disminuya a las empresas la responsabilidad en que éstas puedan incurrir ante un ataque cibernético, para ello, nos preguntamos qué responsabilidad cabe imputar a las empresas por un ciberataque externo que sufra su negocio?

Responsabilidad civil

Los empresarios pueden enfrentarse en este tipo de siniestros por reclamaciones de sus propios clientes por responsabilidad civil contractual (1.101 y siguientes del Código Civil) o incluso de terceros afectados por estas sustracciones de información, por responsabilidad civil extracontractual (1.902 y 1089 Código Civil), por los perjuicios que se puedan causar a éstos por la sustracción de información personal que la empresa estuviera gestionando, y ello, en base al deber general de la empresa de no causar daños a terceros, adoptando para ello las medidas de seguridad necesarias y actuando con un nivel de diligencia determinado.

También pueden las empresas incurrir en responsabilidad legal como consecuencia del incumplimiento de lo dispuesto en la Ley Orgánica de Protección de Datos, en su artículo 19 que dispone la obligación de establecer políticas de prevención y realizar evaluaciones de impacto.

Responsabilidad penal

Las empresas deben contar con un “Compliance Penal relativo al Derecho de las Tecnologías de la Información y la Comunicación” mediante el cual detecten todos los posibles riesgos existentes en la corporación y establezcan medidas para proteger los equipos y los datos, pudiendo incurrir en caso contrario en delitos tales como daños informáticos, previstos en el artículo 264 del Código Penal, o en revelación de secretos del art. 197 y siguientes del Código Penal.

Por todo ello, los afectados por sustracción de información o uso indebido de la misma como consecuencia de ataques cibernéticos que sufran empresas que gestionaban sus datos personales, podrían exigir responsabilidad a las empresas que les hayan ocasionado un perjuicio por no cumplir con lo dispuesto en la normativa legal.

En este sentido, resulta fundamental para las empresas, las herramientas de protección con que cuenten a través de sus empleados, ya que gran parte de estos riesgos se producen por errores en el tratamiento de datos de carácter personal por parte de los empleados que tengan acceso a dichos datos en el desempeño de sus funciones, por eso nos planteamos ahora: ¿en qué responsabilidad pueden incurrir los empleados de la empresa que sufre un ciberataque?

Nos encontramos ante la posibilidad de que la empresa que ha sufrido un perjuicio como consecuencia de un ciberataque pueda exigir responsabilidad legal por ello a un empleado, al que habiendo informado de las medidas que debía adoptar para prevenir el riesgo, no haya seguido las pautas, aumentado las posibilidades de sufrir el riesgo, o de agravar sus consecuencias.

Pues bien, consideramos que en estos supuestos, no cabría exigir responsabilidad legal al empleado, en cualquier caso, amonestaciones internas que determine la empresa, debiendo en todo caso responder la empresa de las reclamaciones que se deriven de las consecuencias dañosas generadas a terceros por el ciberataque.

En virtud de todo lo expuesto, entendemos que una solución para las empresas que busquen protección frente a reclamaciones de perjudicados por posibles cibertaques a sus corporaciones, puede ser a través de la contratación de seguros que cubran este tipo de ciberriesgos, y es que, los gastos generados como consecuencia de estos riesgos son cada vez más elevados, según la U-TAD (Centro universitario en tecnología y arte digital) el coste en España de un ciberataque es de 75.000 euros en daños directos, a los que hay que sumar la pérdida de ingresos durante el tiempo que la empresa tiene parada su actividad por el ataque, además de los daños a la reputación de la empresa.

Compartir es demostrar interés!