Han transcurrido cierto tiempo desde que, en 2016, se dio a conocer el conjunto de leyes de Ciberseguridad como recopilación de las normas nacionales que gobiernan este ámbito, el cual aborda la seguridad de la información. Como es ampliamente conocido, esta cuestión se ha vuelto esencial en todos los aspectos de la sociedad digital que estamos construyendo.

Desde entonces, hemos presenciado una profunda reforma y actualización de la regulación relacionada con todo lo digital. En particular, Europa ha liderado una auténtica revolución legislativa con el objetivo de establecer una base jurídica sólida para un futuro que parece más incierto que nunca.

Sin embargo, y adaptándose al ritmo lento de la interpretación judicial, en las últimas semanas se han producido eventos especialmente interesantes en relación a este tema. Se han publicado una serie de documentos que podrían marcar un punto de inflexión en la aplicación de las leyes de ciberseguridad en el ámbito empresarial.

Es innegable que aún queda mucho por discutir sobre la responsabilidad de las empresas en lo que respecta a la protección de sus sistemas e información almacenada. Sin embargo, poco a poco se van resolviendo controversias que, de manera directa o indirecta, tienen implicaciones en el campo de la ciberseguridad. Estas controversias están arrojando luz sobre la interpretación de ciertos preceptos, particularmente en lo que se refiere a la responsabilidad de las empresas y sus líderes.

En este sentido, la doctrina ha hablado de un cambio cultural significativo derivado del «alcance global de la obligación de responsabilidad». Según esta perspectiva, el espíritu que impregna la nueva regulación sostiene que no es solo el cumplimiento formal de la obligación legal o de medidas específicas lo que exime de responsabilidad a la organización encargada de proteger las redes, sistemas e información. Más bien, se trata de la estrategia empresarial en su conjunto.

Te puede interesar:  Microsoft patenta una IA que imitará a nuestros fallecidos

El Reglamento de protección de datos se basa en la prevención del riesgo y en la responsabilidad proactiva del responsable del tratamiento. Por lo tanto, adopta un enfoque teleológico que persigue el mejor resultado posible en términos de eficacia, alejándose de una lógica formalista vinculada a la mera obligación de seguir procedimientos específicos para eximir de responsabilidad.

Un caso especialmente relevante en este proceso es el que se ha seguido contra la Agencia búlgara de recaudación, donde el afectado plantea que la divulgación de información personal obtenida tras un ciberataque ha causado un daño moral a los afectados debido a la inacción del responsable del tratamiento. Si bien el artículo 82 del RGPD ya contempla la posibilidad de solicitar indemnización en el ámbito de la protección de datos, hasta ahora no se había abordado el tema de un ciberataque con filtración de información difundida en foros de internet.

En línea con lo anterior, el Tribunal Supremo español también se ha pronunciado sobre un asunto relacionado con la protección de datos, enfocándose en el alcance de las cláusulas de indemnidad que suelen incluir las empresas en sus contratos con proveedores, intentando transferir la responsabilidad de protección de datos a estos últimos. Sin embargo, el Alto Tribunal establece que dichas cláusulas solo tienen sentido en el contexto del contrato en el que se incluyen, y no pueden considerarse como un seguro de responsabilidad civil. Es decir, el responsable del tratamiento puede exigir indemnización al encargado por las infracciones cometidas durante la ejecución del contrato, pero solo cuando esa responsabilidad se extienda al responsable. No legitima exigir indemnidad cuando las sanciones de la autoridad de control se hayan impuesto por infracciones atribuibles al responsable, como resultado de la responsabilidad de supervisión que exige el Reglamento General de Protección de Datos.

Te puede interesar:  Winrar: detectada una nueva vulnerabilidad crítica

Por último, una sentencia del Tribunal Supremo español en marzo de 2023 también arroja luz sobre un aspecto cada vez más controvertido, como es la responsabilidad de los administradores. El tribunal argumenta en relación a la obligación de diligencia que los órganos de administración de las empresas, especialmente las cotizadas, deben demostrar al gestionar la ciberseguridad de las organizaciones. Esto también se refleja en la Directiva NIS2 y, más recientemente, en la Ley española conocida como la ley de protección del denunciante.

En resumen, la aparición de sentencias y otras resoluciones, aunque aparentemente se dicten para resolver cuestiones en diferentes áreas del Derecho, demuestra lo que ya sabíamos: que la ciberseguridad no se limita exclusivamente a un ámbito específico del Derecho. Su naturaleza transversal exige el diseño de estructuras legales dentro de las organizaciones que puedan brindar una respuesta y una cobertura efectiva a estas cuestiones, y sobre todo, a las que están por venir.

vía: escudodigital.com