La responsabilidad por ciberataque es una cuestión que reviste especial importancia, dado el creciente número de entornos de trabajo que utilizan las nuevas tecnologías. Quizá hayas oído que, recientemente, se han bloqueado servicios como Twitter o Spotify, debido a algunos ataques cibernéticos. Además, posiblemente, no haya sido la primera vez que lo escuchas o que, incluso, lo sufres. Pues bien, en estos casos ¿quién asume la responsabilidad?
La cuestión no es en sí quién es el culpable de que se haya producido dicho ataque. De hecho, seguramente nunca te llegues a enterar de esto. Lo que realmente preocupa es quién tendría que asumir la responsabilidad en materia de protección de datos, especialmente en casos en que la víctima es un servicio de interés público para la comunidad o, lo que es lo mismo, un servicio esencial.
Nuevo Reglamento General de Protección de Datos
Lo primero que debes tener en cuenta, en lo que se refiere a la responsabilidad de este tipo de ataques en Internet, es que casi nunca se reconocen de forma pública. Es decir, no te vas a enterar por parte de las propias organizaciones que han acabado afectadas por las consecuencias de un ciberataque, a no ser que resulte evidente y no les quede otra opción que reconocerlo.
Probablemente esto se deba a que no es fácil reconocer que no han podido poner en funcionamiento unas medidas de seguridad adecuadas para amparar la protección de tus datos como usuario.
Por ejemplo, en 2016 hubo un caso muy famoso, en el cual, el responsable de la seguridad en la conocida web de Yahoo tuvo que informar de que les había sido robada información de más de quinientos millones de personas.
En mayo de este año 2018, el día 25, entra en vigor el nuevo Reglamento de Protección de Datos (RGPD). Este tendrá efecto en todos los Estados miembros de la Unión Europea y propiciará modificaciones en la actual Ley Orgánica 15/1999 de Protección de Datos (LOPD). Una vez que el momento está cerca, es cuando muchas empresas comienzan a preguntarse sobre posibles cambios en la responsabilidad por errores de seguridad ante brechas de seguridad y ciberataques.
Puntos a tener en cuenta con la LOPD
En primer lugar, tenemos que mostrarte qué es un ciberataque «DDos». Estos ataques en la red podrían definirse como la ordenación controlada de una gran cantidad de equipos. Dichos equipos tratan de acceder al mismo tiempo a exactamente las mismas páginas web, y así, consiguen colapsarlas y acceder a todos nuestros datos.
El primer importante punto que debes tener en cuenta, una vez que se empiece aplicar el RGPD, es que desde mayo de este año, las empresas tendrán que llevar a cabo, de forma obligatoria, una notificación sobre cualquier fragilidad en la seguridad de sus sistemas.
Cuando una compañía detecte cualquier mínima anomalía de este tipo, deberá informar de la misma a las autoridades competentes. El plazo que tendrá para proporcionar esta información será, como máximo, 72 horas.
Otro elemento que tienes que tener en consideración es que ahora, con el nuevo RGPD, se consagra tu derecho concreto a tener una indemnización por todos los daños y perjuicios que te pudiera haber causado esta brecha de seguridad.
Es decir, que como titular de tus propios datos personales, en el caso de que, debido a un ciberataque, sufras una vulneración de tu derecho a que se protejan tus datos, podrás pedirle una indemnización a la compañía en cuestión.
Especialmente, podrás exigir la indemnización mencionada si la caída o el ciberataque en un servicio se ha producido en una entidad que te hubiera asegurado una total seguridad o bien, que estuviera disponible todos los días del año durante las 24 horas del día.
Condiciones generales que se establecen en el nuevo RGPD
Tras la posibilidad de que exijas cuantiosas indemnizaciones, todas las empresas van a intentar que su responsabilidad por estos ataques virtuales quede cubierta. No obstante, para las condiciones generales que se vayan a establecer en el ámbito del consumo, aún tendremos que esperar a su legislación específica y, posteriormente, a su aplicación práctica.
No obstante, lo que sí es cierto es que en dichas condiciones generales, si nos referimos a renuncias, o bien a excepciones dentro de la responsabilidad por ataques virtuales, tendremos que tener en cuenta el nivel de diligencia que haya seguido la empresa.
Es decir, la cuestión principal que debemos destacar es si la empresa ha cumplido con el canon de seguridad, así como con la protección que, como usuario, le puedes exigir en cada uno de los casos.
La obligación de diligencia en las empresas
La obligatoriedad de cumplir con un adecuado nivel de seguridad procede del principio del «ubi commodum, ubi et periculum«. Es decir, no debes olvidar que quien, con una actividad, se lleva un beneficio, tiene que asumir que la misma conlleva un riesgo. Y es esto lo que quiere decir el principio general del derecho mencionado en latín.
Teniendo en cuenta esto, ¿quién crees que se queda con el beneficio directo e incluso del ahorro de los usuarios en las empresas que ofrecen servicios online? Ya puedes encontrar incluso alguna sentencia que atribuye la responsabilidad del ataque virtual a la entidad bancaria, lo cual también puedes ver reflejado en la Directiva 2016/1148 que habla sobre la ciberseguridad.
En la misma, se establece que a los que proporcionan algún servicio digital, así como a los que ofrecen algún servicio esencial, se les impondrá un nivel especial en la seguridad que nos ofrecen. No importa, en este caso, que el cliente de la entidad sea una empresa.
Tampoco te olvides del Reglamento 910/2014, que habla sobre el gran nivel de seguridad que también se tiene que exigir en la identificación digital. Nos referimos a aquellas entidades que proporcionan redes de comunicación públicas o electrónicas y, también, a los que prestan servicios de confianza.
La conclusión es que la responsabilidad por ciberataque será tan solo de la empresa atacada, a menos que demuestre que aplicó el canon de protección y de diligencia que se le podía exigir.
