LOS RECIENTES ATAQUES AL SEPE (Servicio Nacional de Empleo) OBLIGAN A REFLEXIONAR SOBRE LA RESPONSABILIDAD QUE ATAÑE A LAS EMPRESAS EN MATERIA DE CIBER-SEGURIDAD Y PROTECCIÓN DE DATOS.

La importancia de los activos digitales en las organizaciones (datos personales, información clave de negocio, secretos industriales, algoritmos, etc.) y la configuración de sistemas corporativos cada vez más conectados a entornos de terceros, han visto en paralelo incrementarse los riesgos corporativos de naturaleza digital que aquellas afrontan. Crecen muy significativamente no solo el número de ciber-incidentes, sino la tipología de entidades afectadas y la potencial gravedad ,tanto para quienes los sufren directamente como para quienes indirectamente ven comprometidos sus sistemas o activos a resultas del ataque sufrido por otros (clientes, proveedores, partners comerciales).

La gestión de los ciberriesgos se convierte, en este contexto, en una fuente de preocupación relevante dentro de la agenda de los primeros ejecutivos y los consejos de las organizaciones. Más allá del daño intrínseco por la pérdida de datos o informaciones corporativas valiosas, un ciberincidente expone a la organización a implicaciones en materia de cumplimiento normativo o contractual, reclamaciones de terceros, afectación de la cotización bursátil o daño reputacional. Puede también constituir motivo desencadenante de la dimisión de ejecutivos o directivos –como hemos visto en algunos casos recientes– y, en determinadas circunstancias, una fuente de responsabilidad de los propios consejeros.

La normativa general y, concretamente, el Reglamento General de Protección de Datos obliga a cualquier entidad a disponer de medidas técnicas y organizativas adecuadas y suficientes para hacer frente a los riesgos que amenazan a la información que mi organización custodia, y a actuar con diligencia debida para prevenir y evitar cualquier incidente de seguridad, y a minimizar sus daños llegado el caso de que finalmente se produzca”.

Nuestra responsabilidad legal se extiende hacia otros aspectos, como puede ser la de que un incidente provoque daños a terceros, por ejemplo, incumplimiento de un contrato derivado de la paralización de mi negocio, por el mal funcionamiento del servicio, o la responsabilidad de los administradores cuya falta de diligencia en la gestión de un ciberataque puede haber provocado una bajada del precio de la acción o un daño en la reputación de

La incidencia del SEPE, apunta a ser un ataque lanzado indiscriminadamente a través de correos maliciosos que les ha afectado”.

“Este tipo de ataques tienen dos premisas, propagarse y cifrar los ficheros que encuentran a su paso con objeto de pedir un rescate. Entiendo que el motivo de que el servicio aún no se haya restaurado es por la dificultad en la limpieza, es un proceso que se debe llevar con cautela para evitar mayor propagación.

En cuanto a las responsabilidades legales que   una empresa o firma puede tener si se demuestra que es negligente  ,abarcan a las responsabilidades penales, civiles subsidiarias o administrativas”.

“Penales por daños informáticos o revelación de secretos entre otras según se puede determinar algunos artículos del Código Penal (264 y del 197 al 200). En el ámbito civil, según el artículo 82 del RGPD, cualquier persona que haya sufrido daños tendrá derecho a recibir del responsable o del encargado del tratamiento una indemnización por los perjuicios sufridos”.

“En esa línea debemos tener planes proactivos y reactivos para evitar, contener y paliar los posibles ataques que puedan venir. Debemos tener una política de seguridad con los medios técnicos y humanos necesarios, con auditorias periódicas y con formación a usuarios recurrente”.

“No obstante, la mejor de actividad de prevención qué se puede realizar es la formación a los usuarios una vez más diré que es la mejor garantía para estar prevenidos”.

Por último, y en función del alcance del ataque y el tipología de datos involucrados, habría que analizar tomar medidas adicionales, como por ejemplo informar a los afectados para que puedan tomar por su parte las medidas de seguridad oportunas dado el caso, además de cualquier otra acción adicional que la organización determine oportuna para preservar su reputación en situaciones como Estas, pese a lo que no estaremos exentos de que cualquier perjudicado, reclame en el  supuesto de sufrir perjuicios.

Sobre las responsabilidades legales que pueden generar un ciberataque de este tipo, “pueden ser muy variadas, en función de las características de la negligencia, pero somos conscientes de sanciones millonarias aplicadas a casos análogos .

Conviene poner en contexto estos riesgos desde el punto de vista de los deberes de diligencia y supervisión de los administradores de las sociedades . En derecho español, el deber de diligencia del administrador (se le exige el estándar del “ordenado empresario”, art. 225 de la Ley de Sociedades de Capital, LSC) se ha visto clarificado en las últimas reformas de 2014 con menciones explícitas al deber de cada administrador de tener la “dedicación adecuada”,  de “adoptar las medidas precisas para la buena dirección y el control de la sociedad”; así como al “deber de exigir” y el “derecho de recabar de la sociedad” la información adecuada y necesaria que le sirva para el cumplimiento de sus obligaciones.

 

 

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Ver más

  • Responsable: Angeles Lozano.
  • Finalidad:  Moderar los comentarios.
  • Legitimación:  Por consentimiento del interesado.
  • Destinatarios y encargados de tratamiento:  No se ceden o comunican datos a terceros para prestar este servicio. El Titular ha contratado los servicios de alojamiento web a Raiola Networks que actúa como encargado de tratamiento.
  • Derechos: Acceder, rectificar y suprimir los datos.
  • Información Adicional: Puede consultar la información detallada en la Política de Privacidad.

Ir arriba
Los datos personales facilitados por usted o por terceros forman parte de un fichero responsabilidad de Gestioneficaz con la finalidad de gestionar y mantener los contactos y relaciones que se produzcan como consecuencia de la relación que mantiene en los servicios que se generan exclusivamente.    Ver Política de cookies
Privacidad