Corrientes invernales en defensa corporativa: ciberseguridad y lucha contra la corrupción
Ninguna compañía está ya a salvo, desde bancos, empresas de logística, líneas aéreas, empresas de retail o sanitarias
El mes de febrero, ventoso en el calendario napoleónico, nos ha dejado dos potentes corrientes invernales de interés para la defensa legal de las compañías, imbricadas con lo que constituyen, probablemente, dos de los principales retos que pueden encarar en los próximos tiempos: la defensa frente a los riesgos de ciberdelincuencia y la protección frente a los riesgos de corrupción, que requieren asesoramiento polivalente, versátil y pragmático, no dogmático o teorético-judicial.
La primera corriente tiene que ver con la ciberseguridad y la respuesta frente a la ciberdelincuencia. Hace escasos días, el Ministerio del Interior presentaba su estrategia nacional en materia de ciberseguridad y daba datos de interés de 2022: uno de cada cinco delitos en España se comete ya en la red; se contabilizaron 375.506 ciberdelitos, un 72% más que en 2019; el 90% eran estafas o fraudes informáticos en sus diferentes modalidades.
Justifican el mayor celo el impacto reputacional, la discontinuación en las operaciones, riesgos legales con contrapartes contractuales, la amenaza sobre datos personales de empleados o clientes, el riesgo de bloqueo, extorsión o sustracción de datos o fondos que un ciberataque organizado puede originar. Ninguna compañía está ya a salvo, desde bancos, empresas de logística, líneas aéreas, empresas de retail o sanitarias.
No obstante, la legislación comunitaria se ha reforzado en la materia recientemente. La Directiva 2022/2055, de 14 diciembre, sobre ciberseguridad, reemplaza a la Directiva 2016/1148, que había sido objeto de dispar transposición. Se persigue elevar el nivel de ciberseguridad en la Unión. Se amplía el círculo de empresas que deben implementar medidas y protocolos de seguridad, pasando de los operadores de servicios esenciales a las entidades públicas o privadas, incluidas medianas empresas, y a las entidades esenciales e importantes, con más subsectores abarcados. Se expanden los aspectos materiales sobre los que deben instrumentarse los protocolos (seguridad en la cadena de suministro; seguridad en la adquisición, desarrollo y mantenimiento de sistemas y redes de información; ciberhigiene y formación en ciberseguridad; criptografía; seguridad de los recursos humanos, políticas de control de acceso y gestión de activos; uso de soluciones de autenticación multifactorial).
La Directiva 2022/2557 introduce medidas de resiliencia para las calificadas como entidades críticas que comprenden variados sectores. Las medidas de resiliencia son amplias. Se regula la comprobación de antecedentes y la notificación de incidentes. Se refuerza el control de cumplimiento por las entidades críticas a través de misiones de seguimiento de los Estados miembros.
La segunda corriente tiene que ver con la respuesta y defensa frente a la corrupción. La Ley 2/2023, de 20 febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, transpone la Directiva 2019/1937, de 23 de octubre, en el actual contexto de recepción de fondos comunitarios Next Generation.
Es innegable que existe un riesgo serio de eventual malversación, ante lo cual tanto la Fiscalía de la Unión Europea, regulada por la Ley Orgánica 9/2021, como los informantes que trabajen en el sector privado o público a los que alcanza la nueva Ley 2/2023, tienen un rol claro.
Asistimos ya a varias investigaciones policiales y diligencias de instrucción promovidas por la Fiscalía europea, con su nuevo entorno procesal (juez con funciones de garantía, control de la instrucción por el fiscal, avocación de asuntos, relación con los fiscales nacionales o nuevos incidentes cautelares).
La regulación completa de los sistemas interno y externo de información o canales de denuncia, la obligatoriedad en empresas desde 50 trabajadores, el rol de la nueva Autoridad Independiente de Protección del Informante, los contornos de las medidas de protección del informante y los deberes corporativos justifican revisar procedimientos de forma hábil.
Unos protocolos actualizados a la normativa y estado de la técnica en ciberseguridad y canales de denuncia devienen indispensables, por ende, para una eficaz defensa corporativa ante incidentes, sea por ciberfraude o fraude a los intereses comunitarios, que pueden llevar aparejadas investigaciones de diversa índole, acciones judiciales cruzadas ante distintos órdenes, eventuales negociaciones harto complejas con los perpetradores, amén de la responsabilidad penal de las compañías o abultadas responsabilidades civiles en causas judiciales complejas conexas e, incluso, transfronterizas.
Víctor Mercedes, abogado del Estado en excedencia y socio responsable de Procesal en Watson Farley & Williams Spain