A mediados de enero nos despertamos con una noticia impactante: se acababa de descubrir uno de los incidentes de ciberseguretat más importantes de la historia. El llamado #Collection1 expuso más de 73 millones de correos electrónicos y 20 millones de contraseñas a una página web de hackers .
En un contexto donde este tipo de sucesos son cada vez más frecuentes y de más alcance, conviene poner de relieve los principales riesgos jurídicos que las organizaciones tienen que afrontar.
Ámbito administrativo
Las entidades consideradas prestamistas de servicios digitales, que no sean microempresas o pequeñas empresas, tienen que cumplir las siguientes obligaciones:
- Comunicar su actividad a la Secretaría de Estado para el Avance Digital del Ministerio de Economía y Empresa.
- Realizar un análisis de riesgos en materia de ciberseguretat que dé cobertura, como mínimo, a aspectos como la seguridad de los sistemas e instalaciones, la gestión de incidentes, la gestión de la continuidad de las actividades, la supervisión, auditorías y pruebas y el cumplimiento de las normas internacionales.
- Notificar a los equipos de respuesta los sucesos que tengan efectos pertorbadors significativos sobre la prestación de los servicios digitales.
- Resolver los mencionados sucesos solicitante, si procede, ayuda especializada.
- Adoptar las medidas adecuadas para prevenir y reducir al mínimo el impacto de los incidentes.
Según la normativa, una entidad acontece prestamista de servicios digitales cuando ofrece servicios de la sociedad de la información, es decir, servicios que constituyen una actividad económica para el prestamista a distancia, por vía electrónica y a petición individual del destinatario. Así mismo, tiene que tratarse de servicios de mercados en linea (compraventa o prestación de servicios en linea), motores de busca en linea o servicios cloud. El incumplimiento de estas obligaciones de carácter administrativo implica sanciones de hasta un millón de euros en los casos más graves.
Protección de la privacitat
Además de hacer un análisis de riesgos que determine las medidas de ciberseguretat más adecuadas a implementar, las organizaciones tienen la obligación de notificar a la Agencia Española de Protección de Datos o, si se tercia, a la Autoridad Catalana de Protección de Datos, cuanto antes mejor y, a poder ser, en el plazo máximo de 72 horas, los problemas de seguridad que afecten datos de carácter personal. Ambas Autoridades han habilitado canales electrónicos para facilitar el trámite. A banda, también hay que documentar el incidente, detallando los hechos, efectos y medidas correctoras.
De manera paralela, si el incidente implica un alto riesgo para los derechos y libertades de las personas, la entidad tendrá que comunicar el problema a los afectados el más bien posible, utilizando un lenguaje claro y sencillo. El incumplimiento de estas obligaciones también puede implicar sanciones muy elevadas, de hasta 10 millones de euros o importes equivalentes al 2% del volumen de negocio del ejercicio fiscal anterior.
Responsabilidad penal o civil
Desde el momento que una entidad puede ser considerada penalmente responsable por los daños informáticos provocados por ella misma o, incluso, por un trabajador sobre el cual no se ha ejercido el necesario control, conviene, en primer lugar, determinar los riesgos que puede generar la actividad de la organización.
"La empresa es responsable tanto de los daños provocados por ella misma cómo por parte de un trabajador"
En consecuencia, hay que establecer los necesarios mecanismos de control a través de los correspondientes protocolos y canales de denuncia. Estos tienen que permitir acreditar la más alta diligencia posible para aminorar o, incluso, extinguir una eventual responsabilidad. De lo contrario, las consecuencias penales pueden consistir en importantes multas, suspensión de licencias, intervención judicial, clausura temporal o la disolución de la entidad, así como la obligación de asumir importantes indemnizaciones por los daños y perjuicios causados.
Es evidente que, además de ser diligentes y ágiles a la hora resolver problemas en materia de ciberseguretat, también hace falta que las entidades y organizaciones implementen los mecanismos de control y de reacción mencionados anteriormente para no tener que asumir (todavía) más consecuencias no deseadas que las de los propios incidentes.