• Opinió
  • L'expert
  • Com reaccionar jurídicament davant d’un incident de ciberseguretat?

Com reaccionar jurídicament davant d’un incident de ciberseguretat?

Les entitats prestadores de serveis digitals s'exposen a sancions de fins a 10 milions d'euros si no protegeixen de manera suficient les dades dels seus clients

Les entitats han d'implementar protocols de ciberseguretat per evitar sancions | iStock
Les entitats han d'implementar protocols de ciberseguretat per evitar sancions | iStock
socio de Font Abogados
Barcelona
05 de Febrer de 2019

A mitjans de gener ens vam despertar amb una notícia impactant: s'acabava de descobrir un dels incidents de ciberseguretat més importants de la història. L'anomenat #Collection1 va exposar més de 73 milions de correus electrònics i 20 milions de contrasenyes a una pàgina web de hackers.

En un context on aquest tipus de successos són cada vegada més freqüents i de més abast, convé posar en relleu els principals riscos jurídics que les organitzacions han d'afrontar.

Àmbit administratiu

Les entitats considerades prestadores de serveis digitals, que no siguin microempreses o petites empreses, han de complir les següents obligacions:

  • Comunicar la seva activitat a la Secretaria d’Estat per a l’Avanç Digital del Ministeri d'Economia i Empresa.
  • Realitzar una anàlisi de riscos en matèria de ciberseguretat que doni cobertura, com a mínim, a aspectes com la seguretat dels sistemes i instal·lacions, la gestió d’incidents, la gestió de la continuïtat de les activitats, la supervisió, auditories i proves i el compliment de les normes internacionals.
  • Notificar als equips de resposta els successos que tinguin efectes pertorbadors significatius sobre la prestació dels serveis digitals.
  • Resoldre els esmentats successos sol·licitant, si escau, ajuda especialitzada.
  • Adoptar les mesures adequades per prevenir i reduir al mínim l’impacte dels incidents.

Segons la normativa, una entitat esdevé prestadora de serveis digitals quan ofereix serveis de la societat de la informació, és a dir, serveis que constitueixen una activitat econòmica per al prestador a distància, per via electrònica i a petició individual del destinatari. Així mateix, ha de tractar-se de serveis de mercats en línia (compravenda o prestació de serveis en línia), motors de cerca en línia o serveis cloud.  L’incompliment d’aquestes obligacions de caràcter administratiu implica sancions de fins a un milió d’euros en els casos més greus.

Protecció de la privacitat

A més a més de fer una anàlisi de riscos que determini les mesures de ciberseguretat més adequades a implementar, les organitzacions tenen l'obligació de notificar a l'Agència Espanyola de Protecció de Dades o, si s'escau, a l'Autoritat Catalana de Protecció de Dades, com més aviat millor i, a poder ser, en el termini màxim de 72 hores, els problemes de seguretat que afectin dades de caràcter personal. Ambdues Autoritats han habilitat canals electrònics per facilitar el tràmit. A banda, també cal documentar l'incident, detallant els fets, efectes i mesures correctores.

De manera paral·lela, si l’incident implica un alt risc per als drets i llibertats de les persones, l’entitat haurà de comunicar el problema als afectats el més aviat possible, utilitzant un llenguatge clar i senzill. L’incompliment d’aquestes obligacions també pot implicar sancions molt elevades, de fins a 10 milions d’euros o imports equivalents al 2% del volum de negoci de l’exercici fiscal anterior.

Responsabilitat penal o civil

Des del moment que una entitat pot ser considerada penalment responsable pels danys informàtics provocats per ella mateixa o, fins i tot, per un treballador sobre el qual no s'ha exercit el necessari control, convé, en primer lloc, determinar els riscos que pot generar l'activitat de l'organització.

"L'empresa és responsable tant dels danys provocats per ella mateixa com per part d'un treballador"

En conseqüència, cal establir els necessaris mecanismes de control a través dels corresponents protocols i canals de denúncia. Aquests han de permetre acreditar la més alta diligència possible per minorar o, fins i tot, extingir una eventual responsabilitat. Altrament, les conseqüències penals poden consistir en importants multes, suspensió de llicències, intervenció judicial, clausura temporal o la dissolució de l'entitat, així com l'obligació d'assumir importants indemnitzacions pels danys i perjudicis causats.

És evident que, a més de ser diligents i àgils a l’hora resoldre problemes en matèria de ciberseguretat, també cal que les entitats i organitzacions implementin els mecanismes de control i de reacció esmentats anteriorment per no haver d’assumir (encara) més conseqüències no desitjades que les dels propis incidents.