Ilier Navarro. El momento de afrontar un ciberataque exige una respuesta rápida y la adopción de medidas técnicas inmediatas para intentar frenar la acción de los delincuentes y mitigar los daños causados a la organización. Casi todos los protocolos incluyen diversos escenarios dependiendo de la gravedad de los ataques, con guías de actuación adaptadas a cada situación. Y se detallan los pasos a seguir una vez que se ha logrado recuperar el control, de manera que se acometan actuaciones para la evaluación y refuerzo de los planes de contingencia. Sin embargo, en más casos de los deseados se dejan en segundo plano las consecuencias legales que pueden surgir de estos ataques.
Incorporar a un asesor legal en la gestión de crisis vinculada a un ciberataque resulta muy recomendable, especialmente a la hora de valorar las obligaciones administrativas y el impacto en términos de responsabilidad civil que puede tener la acción de los atacantes. Y es que no solo el ciberdelincuente tendrá que afrontar su responsabilidad legal por los hechos que ha cometido en caso de que la policía logre identificarle y detenerle.
Lo habitual es que la compañía opte por perseguir penalmente a los hackers informáticos mediante la interposición de una denuncia. En este caso, el asesor jurídico tendrá que trabajar codo con codo con el equipo técnico para la obtención de pruebas que permitan acreditar los delitos de los que se acuse a los delincuentes. Adicionalmente, conviene analizar la responsabilidad de los proveedores de servicios informáticos, por si existe la posibilidad de reclamar daños y perjuicios.
Sin embargo, además del daño económico y reputacional que puede causar un ciberataque, hay que tener en cuenta que la empresa que ha sido objeto de estas actuaciones delictivas también podría tener que responder por las consecuencias sufridas por terceros, tanto el ámbito civil como administrativo e, incluso, penal.
La responsabilidad legal por un ciberataque
En el primero de los casos, puede tener que afrontar procedimientos judiciales por responsabilidad civil frente a los clientes y usuarios. Por una parte, está la responsabilidad contractual, por ejemplo, por la interrupción del servicio que ofrece como consecuencia del ataque informático. El producto o servicio que ofrece la compañía que ha sido objeto de la intrusión puede no ser entregado con la calidad debida o, directamente, suspenderse, por lo que los clientes podrían reclamar una indemnización por daños y perjuicios, debido al incumplimiento contractual.
En este caso, los demandantes deben acreditar que los daños que han padecido están directamente relacionados con la falta de prestación del servicio. Y, por su parte, la compañía demandada debe centrarse en demostrar que se ha producido alguno de los supuestos de exoneración de responsabilidad y probar que actuó con diligencia al aplicar las medidas de seguridad adecuadas en sus sistemas.
Pero hay más. También está la responsabilidad extracontractual, cuando los afectados por la no prestación del producto o servicio como consecuencia del ciberataque sean otras personas que no hayan firmado un contrato con la empresa víctima de los ciberdelincuentes. Se le podría imputar a la compañía una responsabilidad objetiva por el hecho de estar obligada a no causar un daño a otro. Es decir, se pueden dar situaciones de responsabilidad “en cascada”. Las pruebas serán fundamentales y también dependerá de si el ataque ha sido perpetrado por ciberdelincuentes ajenos a la entidad. En este aspecto, será de gran ayuda que las empresas cuenten con un seguro de responsabilidad civil.
¿Y si los afectados son personas jurídicas? Si se trata de intermediarios comerciales, también habría que tener en cuenta lo establecido en el Código de Comercio, especialmente en los que tiene que ver con incumplimientos contractuales, por lo que la empresa atacada podría tener que asumir las reclamaciones que planteen los clientes finales de estas empresas intermediarias.
Otras consecuencias legales
Dependiendo del sector de la compañía que ha sufrido el ciberataque, puede haber responsabilidad legal de acuerdo con la regulación específica del sector industrial en el que la organización desempeña su actividad o bien si esta es considerada un operador crítico. También como consecuencia de la legislación territorial del lugar donde la empresa desarrolla su actividad. En todo caso, las autoridades pueden determinar que ha existido algún tipo de infracción e imponer las multas correspondientes.
Por otra parte, habrá que estar al tanto de la normativa sobre protección de datos personales si, por ejemplo, ha habido una filtración que haya afectado a este tipo de información. La empresa podría tener responsabilidad administrativa si se comprueba que ha incumplido con su deber de diligencia o que ha infringido sus obligaciones como responsable del tratamiento y no ha adoptado las medidas técnicas y organizativas proporcionadas y adecuadas para la seguridad de los datos personales. Habrá que determinar si la ausencia, insuficiencia o ineficacia de las medidas ha posibilitado el acceso ilícito y el robo de los datos personales. Si se ha contratado a un encargado del tratamiento, también habrá que determinar si la responsabilidad se le debe imputar a él y, por tanto, si debe responder por la infracción y sanción.
Otro aspecto determinante se da cuando hay una brecha de seguridad. En estos supuestos, la compañía afectada debe tener en cuenta las obligaciones de notificación de la violación de la seguridad no solo ante la Agencia Española de Protección de Datos (AEPD), sino también a los propios titulares de los datos personales que se han filtrado.
Finalmente, también podría existir responsabilidad penal. Podría darse el caso de que la persona jurídica tuviera la condición de perjudicada, pero también de responsable penal como consecuencia de los mismos hechos: el ciberataque.