Responsabilidad legal de las empresas sobre ciberseguridad

Según el último informe del Departamento de Seguridad Nacional, los ciberataques se han convertido en la segunda amenaza real para España. Este tipo de problemas no solo generan daños económicos a las empresas, también afectan negativamente su reputación e imagen, generando desconfianza a sus clientes.

Un aspecto que preocupa a todos los departamentos de cualquier empresa es la responsabilidad legal en cuanto a ciberseguridad se refiere. La responsabilidad legal es “la obligación de toda persona de pagar por los daños y perjuicios que cause en la persona o el patrimonio de otra”, y está determinada y regulada desde el punto de vista civil (regida por el código civil) y penal (regida por el código penal).

Para imputar un delito de ciberseguridad al empleado, se debe justificar una relación jurídica entre este y la empresa, además de probar que las acciones se han cometido están dentro de las obligaciones del empleado imputado.

Corporate Compliance 

 El Corporate Compliance es un conjunto de procedimientos y buenas prácticas que las empresas deben llevar a cabo para identificar y clasificar los riesgos operativos y legales a los que se enfrentan y establecer mecanismos internos de prevención, gestión, control y reacción frente a ellos.

Para muchas organizaciones  estas medidas han dejado de ser una opción voluntaria, para ser un requisito a integrar dentro de su estrategia para poder protegerse ante situaciones de riesgo que pondrían en serios problemas la estabilidad y continuidad de la actividad de su negocio.

Recientemente, el Ministerio de Hacienda ha incluido en la Orden HFP/1030/2021, de 29 de septiembre, que las empresas deben contar con un plan de cumplimiento que garantice que han adoptado las medidas necesarias para prevenir y detectar problemas de ciberseguridad mediante los llamados programas de compliance, para acceder a los fondos europeos.

“El objetivo principal de esta norma es establecer las obligaciones que deben cumplir las administraciones y entidades públicas para combatir la corrupción, pero exigiendo controlar los procesos y requerir a los beneficiarios que firmen un compromiso”

Manuel Sánchez Soler, asociado sénior de Compliance

Tipos de responsabilidades frente a un ciberataque

Cuando se produce un ciberataque en una empresa se activan varios escenarios:

• Responsabilidad penal: Será examinada en primer lugar desde el punto de vista penal y de nuestro código penal, según haya sido la conducta delictiva o delito (s) cometidos por él, o, los autores materiales e intelectual(es) para la consecución de su objetivo. Este tipo de responsabilidad está regulada en el código penal con el fin de juzgar y condenar el tipo de pena (s) o sanción (es) que deberá cumplir o pagar el ciberdelincuentes.

• Responsabilidad civil: Una vez determinada la responsabilidad penal del ciberdelincuentes, se procede a determinar la responsabilidad civil derivada del delito. Determinar una indemnización económica que deberá pagar el ciberdelincuentes a las víctimas afectadas con el fin de reparar el daño o perjuicio causado con su conducta penal.
• Responsabilidad civil del empresario: El empresario a pesar de ser víctima directa de un ciberataque, es responsable de aquellos daños o perjuicios que dicho ataque haya causado a sus clientes.

• Responsabilidad penal de los empresarios: Los empresarios son responsables penalmente por sus propios actos o los de un tercero a su cargo, como un trabajador por la falta de protección de datos e información de sus clientes.

• Responsabilidad laboral del empresario: El empresario es responsable también frente a sus propios trabajadores que hayan sido afectados con el ciberataque y está obligado a la reparación de este tipo de perjuicios.

• Responsabilidad administrativa: Frente a un ciberataque, el empresario también está llamado a responder ante las autoridades administrativas por el incumplimiento injustificado de sus deberes y obligaciones administrativas y legales. Lo que conlleva a sanciones administrativas de tipo económico o sancionatorio, según cada caso.

Si quieres asesoramiento legal para tu empresa frente a situaciones de ciberseguridad, ponte en contacto con nosotros a través de [email protected] o llamando al 900 52 52 45.