De riesgo a obligación: las empresas ya son responsables por ciberataques

La ciberseguridad ha pasado ya de ser un riesgo a convertirse en toda una obligación, que genera responsabilidad a las empresas por los ataques sufridos y que han causado perjuicio a sus clientes o trabajadores. Ya no es solo un sistema para evitar los ataques de los ciberdelincuentes a las empresas. La seguridad de los sistemas empieza a ser un asunto tan importante que las compañías comienzan a pedir a sus proveedores las máximas garantías, y están dispuestas a llegar hasta los tribunales si consideran que su falta de sistemas de seguridad pone en riesgo a sus clientes, a la empresa o a sus negocios. Nace así una nueva responsabilidad.

Además, Los grandes data brokers norteamericanos, esto es aquellas empresas que basan su modelo de negocio en la explotación de datos personales de terceros, comienzan a sufrir el incremento de la protección de la privacidad del usuario, hasta tal punto que en las memorias de salida a bolsa de algunas de ellas, como en el caso de Palantir o Snowflake, ya se advierte a los posibles inversores del impacto negativo que puede provocar este extremo en la rentabilidad prevista del negocio.

En Estados Unidos se han planteado ya los primeros procedimientos judiciales donde la ciberseguridad es la protagonista. En mayo, un juez federal obligó a Capital One a reportar un incidente de seguridad de uno de sus proveedores. El asunto ha dado lugar a una demanda colectiva derivada de una fuga de información masiva.

Por su parte, la Comisión Europea prepara ya una nueva Directiva que permitiría a los consumidores afectados por una fuga de datos, presentar demandas colectivas y exigir indemnizaciones contra la empresa hackeada cuando esta no hubiera implantado medidas de ciberseguridad eficaces que garanticen una custodia diligente de la información. Además, la Directiva europea de whistleblowing también exige que las grandes empresas habiliten un canal interno de denuncias a través del cual los empleados denuncien brechas de seguridad.

Tal y como apuntan los expertos a nivel jurídico, estos asuntos abren la reflexión sobre la importancia que tiene, para las entidades del sector financiero, que la ciberseguridad y la confianza son una prioridad. Y que la falta de medidas técnicas y organizativas, dirigidas a proteger la seguridad de la información por parte de los proveedores tecnológicos puede provocar incuantificables pérdidas económicas, así como un daño reputacional irreparable.

Francisco Pérez Bes, antiguo secretario general del Instituto Nacional de Ciberseguridad (Incibe) y actual socio de Derecho digital en Ecix Group, destaca que “la ciberseguridad hace tiempo que ha dejado de ser un riesgo tecnológico para convertirse en un riesgo de negocio, donde la toma de decisiones adecuadas en materia de ciberseguridad es exigible a los administradores de la compañía, pues garantizar la continuidad de negocio es su responsabilidad”. En España, matiza, “al sector financiero le resulta de aplicación normativa europea sobre protección de sistemas y redes de información, y sobre protección de datos, que obliga a estas instituciones a implementar medidas técnicas y organizativas eficaces para evitar ciberataques o, en su defecto, minimizar su impacto.