Un ciberataque y la fuga de información, hoy por hoy, son uno de los más frecuentes dolores de cabeza de los empresarios en todo el mundo. Este tipo de acciones al margen de la ley, no solo generan significativos perjuicios económicos a las empresas, sino, que, a su vez, afectan negativamente su reputación, y generan cierto grado de desconfianza entre los clientes y la sociedad que a diario consume este tipo de nuevas tecnologías que mueven el comercio y la economía digital a nivel mundial.
En España, la responsabilidad legal se define como “la obligación de toda persona de pagar por los daños y perjuicios que cause en la persona o el patrimonio de otra”, y está determinada y regulada desde el punto de vista civil (regida por el código civil) y penal (regida por el código penal).
TIPOS DE RESPONSABILIDADES FRENTE A UN CIBERATAQUE
Cuando ocurre un ciberataque en una empresa, se ponen de relieve varios escenarios, desde el punto de vista de la Responsabilidad Legal, estos, a grandes rasgos, son:
- Responsabilidad penal del atacante o ciberdelincuente (particular o empresa); que será examinada en primer lugar desde el punto de vista penal y de nuestro código penal, según haya sido la conducta delictiva o delito (s) cometidos por él, o, los autores materiales e intelectual(es) para la consecución de su objetivo. Este tipo de responsabilidad está regulada en el código penal con el fin de juzgar y condenar el tipo de pena (s) o sanción (es) que deberá cumplir o pagar el ciberdelincuente.
- Responsabilidad civil derivada del delito Una vez determinada la responsabilidad penal del ciberdelincuente, se procede a determinar la responsabilidad civil derivada del delito; la cual está dirigida a la materialización y cálculo de la indemnización económica que deberá pagar el ciberdelincuente a la (s) víctima (s) que ha(n) sido afectada (s) o perjudicada (s), con el fin de reparar el daño o perjuicio causado con su conducta penal.
- Responsabilidad civil del empresario: El empresario, o empresa, pese a ser la victima directa de un ataque cibernético, es a su vez responsable de aquellos daños o perjuicios que dicho ataque haya podido haber causado a sus clientes; con quienes, en la mayoría de los casos existe una relación contractual (responsabilidad civil contractual) derivada de la prestación de un servicio o el manejo de información y sus datos. A su vez el empresario es responsable de dicho ciberataque frente aquellos terceros con quienes, a pesar de no tener una relación contractual, se han visto afectados por el ciberataque (responsabilidad civil extracontractual).
- Responsabilidad penal de los empresarios: Los empresarios son responsables penalmente por su propia actuación u omisión, o la de un tercero del que sean responsables por la comisión un delito o ante la falta grave del deber objetivo de cuidado o incumplimiento injustificado de la normativa vigente para la protección de datos e información de sus clientes.
- Responsabilidad laboral del empresario: El empresario es responsable también frente a sus propios trabajadores que hayan sido afectados con el ciberataque y está obligado a la reparación de este tipo de perjuicios.
- Responsabilidad administrativa: Frente aun ciberataque, el empresario también está llamado a responder ante a las autoridades administrativas, de ser el caso, por el incumplimiento injustificado de sus deberes y obligaciones administrativas y legales. Lo que conlleva a sanciones administrativas de tipo económico o sancionatorio, según cada caso.
Una vez detallada de forma muy general algunas de las diferentes responsabilidades en las que pueden incurrir los empresarios ante un ciberataque, es muy importante recomendar mantener las medias de seguridad y protección en materia de ciberseguridad, así como cumplir estrictamente la normativa legal y administrativa actual en materia de protección de datos y riesgos cibernéticos de las empresas, para evitar así problemas legales que nos pueden acarrear muchos dolores de cabeza. Por último, es recomendable y de vital importancia contratar una adecuada póliza de ciberriesgos que contemplé este tipo de riesgos y sus coberturas.
Un post de David Jiménez Fernández
Perito Judicial Informático Forense
Pre-sales BOTECH
