La empresa es responsable de los ciberdelitos de sus empleados
Si, así de fuerte y así de simple.
Contenidos
“Los delitos que un empleado pudiera cometer en relación a la privacidad de los datos personales y contra la seguridad de los sistemas de información pueden generar responsabilidad penal de la empresa para la que trabaje.”
Pero esta afirmación tan contundente tiene truco. Esto sera así sólo si la empresa no ha adoptado las medidas de prevención necesarias para evitar su comisión.
La fiscal jefa de Sala del Tribunal Supremo y coordinadora nacional contra la Criminalidad Informática, Elvira Tejada, así lo hizo constar durante las VII Juntas de Gobierno del Consejo General de la Abogacía Española (CGAE) que se celebraron a primeros de Junio en Granada
“Hay una normativa de protección de datos que hay que cumplir y si su incumplimiento implica responsabilidades delictivas, podría derivarse de él la responsabilidad penal de la persona jurídica”, indicó Tejada en una ponencia que resultó bastante interesante, pues se produjo justo después de la oleada masiva de ataques de ransomware (WannaCry y similares) que se produjo durante el mes de mayo.
Recordemos que en la última reforma del Código Penal se estableció como tipo delictivo el mero hecho de “acceder” a un sistema informático de forma no autorizada, independientemente de lo que luego se pueda hacer o no dentro de ese sistema o equipo. Para mis colegas hackers, mucho cuidado con esta modificación. Aunque encontreis una vulnerabilidad en un sistema y la comuniqueis a sus responsables, que sepais que estais cometiendo un delito. Seguro que en alguna charla volverá a surgir este debate ético que tenemos en la “comunidad hacker”.
Pero quizá el aspecto clave de todo este asunto viene por el nuevo Reglamento Europeo de Protección de Datos (del que ya se ha hablado mucho en muchos sitios), en el que se tendrá especial énfasis en que la posición de la empresa respecto a la seguridad de los datos personales (y ya que estamos, lo suyo es aplicarlo a la ciberseguridad en general) sea una posicion proactiva. Si alguno llegáis a este post un poco de rebote, os recomiendo revisar la web de INCIBE, sobre todo en lo que se refiere a las herramientas de ciberseguridad para PYMES: https://www.incibe.es/protege-tu-empresa
Amenaza de sanciones millonarias
No quiero terminar este post sin recordar que a los riesgos económicos y reputacionales que implica ser más vulnerable ante un posible ciberataque, hay que añadir la posibilidad de ser sancionado por no haber adoptado las medidas de protección exigidas por el Reglamento de protección de datos. Las multas, con esta norma, podrán alcanzar los 20 millones de euros o el 4% del volumen anual de negocio, lo cual no es poca cosa.
Mi admirada Silvia Barrera (@sbarrera0 en Twitter), que si todavía algún despistado no la conoce os recuerdo que es jefa de la Sección Técnica de la Unidad de Investigación y Tecnología de la Policía Nacional, y una excelente profesional y divulgadora de todo lo relacionado con la ciberseguridad, comentaba textualmente que “La denuncia es un medio más, pero no la solución. La solución es tener protocolos de respuesta, saber exactamente qué hacer las 24 horas siguientes a un ataque. Hay que tener un plan de reacción. Luego sí, denunciar e investigar, pero esa no puede ser la única solución”.
Estoy de acuerdo con ella, y la principal medida pasa por realizar para tu empresa un Plan Director de Ciberseguridad, que es algo que suena como muy del “CSI Las Vegas”, pero que en el fondo no es más que aplicar una metodología formal para realizar un estudio de los principales aspectos que afectan a la seguridad informática de una empresa.
No me olvido (pues estoy dentro de esta masa) que España es un país de autónomos y micro-empresas, pero no nos olvidemos que con pequeñas estructuras, muchas veces gestionamos datos personales, datos médicos, tarjetas de crédito, etc… y en muchas ocasiones no se cuenta ni con un sistema mínimamente automatizado de control de accesos y copias de seguridad (lo básico, vamos…).
Otro día os hablaré más en detalle de lo que supone realizar un Plan Director de Ciberseguridad, pero de momento si alguna empresa está interesada, lógicamente me pongo a su disposición para prestar mis servicios y ayudarles a llevarlo a cabo.