Ecija advierte al Ibex de los riesgos y consecuencias legales de no tener un buen protocolo de ciberseguridad

El despacho de abogados Ecija ha advertido al Ibex de los riesgos y consecuencias legales que tienen los grandes grupos si no cuentan con un modelo de gobernanza eficaz ante el impacto de la inteligencia artificial. Las directivas europeas en materia de ciberseguridad plantean un “gran reto” para los consejos de administración de las compañías, que pasan a estar obligados a tener una “gobernanza más profunda”, ha afirmado el socio de mercantil y mercado de valores del despacho y presidente de Iberdrola España, Alberto Alonso Ureba, en un evento celebrado este lunes, al que han acudido representantes de Iberdrola, Telefónica, Santander, Inditex, Prisa, ACS, CaixaBank, Técnicas Reunidas, NH, FCC.

Ecija ha aprovechado la celebración, esta semana, de su quinta reunión anual de más de 200 socios de los 17 países en los que el despacho tiene presencia, además del equipo directivo de Taylor Wessing (despacho anglo-alemán con el que firmaron un acuerdo de colaboración el pasado mes de marzo), para compartir con sus abogados y sociedades cotizadas españolas la fase en la que se encuentra la innovación tecnológica y el nuevo marco regulatorio generado en torno a la misma.

En este sentido, Alonso Ureba, experto en gobierno corporativo, ha animado a las empresas a que “actualicen y revisen” el funcionamiento y aplicación de su política general de riesgo y de seguridad de la información, así como las normas internas sobre políticas de privacidad y de protección de datos, conexión digital o reputación, para evitar brechas de seguridad en sus negocios. De hecho, ha instado a ir más allá y “hacer un esfuerzo” para desarrollar nuevas medidas sobre “innovación”, en las que se contemplen materias como confidencialidad y secretos, propiedad industrial e intelectual y gestión de activos intangibles.

Según ha explicado el abogado, la Unión Europea no indica las medidas que se deben aplicar en cada compañía, sino que deja la decisión a las cúpulas directivas. Por ello, ve la necesidad de que las grandes empresas adapten sus modelos de gobernanza, ya que el legislador comunitario responsabiliza de cualquier incumplimiento de las normas y obligaciones a los miembros de consejo de administración. “Las directivas no son normas societarias, son normas regulatorias, pero es cierto que contempla al órgano de administración y dirección como las instancias obligadas para definir, organizar y supervisar el modelo de gobernanza de una compañía”, ha precisado Alonso Ureba. En otras palabras, Bruselas pide “la implicación del consejo”, ha afirmado.

Cambios que afectan a grandes empresas

A este respecto, el socio de privacidad, cumplimiento normativo y ciberseguridad de Ecija Jesús Yáñez ha subrayado que la directiva europea vigente sobre ciberseguridad, conocida como NIS2 –cuya transposición al ordenamiento jurídico español no puede dilatarse del 17 de octubre de 2024–, ha introducido “cambios importantes” que afectan a empresas con una facturación de 50 millones de euros y más de 200 empleados. Así, ha destacado que, a partir de entonces, serán “sujetos obligados” la cúpula de compañías en sectores como la energía transporte, banca y mercados financieros, seguros, sanidad, laboratorios, investigación, alimentación, fabricación de vehículos, administración pública y bancos centrales, y prestadores de servicios digitales, entre otros.

Es más, ha alertado de que la directiva europea “abre la puerta a los Estados miembros a imponer sanciones penales y responsabilidad de los altos directivos y prohibición temporal para ejercer cargos directivos, así como la suspensión de la autorización de los servicios o actividad que preste la organización”.

“La inteligencia artificial va a impactar en la toma de decisión de las compañías”, ha asegurado Alejandro Touriño, socio director de Ecija, que ha indicado la importancia que tiene “unir mundos que no siempre han caminado de la mano”, como son la tecnología y el buen gobierno. Así, ha intentado concienciar de la importancia que tiene que las compañías acoten en sus bases de datos la información. “La inteligencia artificial es como una lavadora en la que metes cosas y salen cosas distintas. Cuando más cosas metas en la lavadora, más posibilidades hay de encontrar cosas. Y toda esa información y datos de carácter personal no cuenta con el consentimiento con lo que establece el procedimiento general de protección de datos”, ha resumido.

Sanciones y controles externos

En este contexto, el catedrático de derecho mercantil Antonio Roncero ha avisado de que los administradores de las compañías se pueden enfrentar a reclamaciones de indemnizaciones de terceros que denuncien un incumplimiento de las normas europeas. No obstante, ha asegurado que “si hacen las cosas correctamente” y se demuestra que las medidas aplicadas se basan en criterios de proporcionalidad “y no dan pie a arbitrariedades”, no habrá ninguna responsabilidad.

Aún así, ha señalado que los supervisores externos que tendrán la potestad de controlar a las empresas tienen “facultades exorbitantes que no estamos acostumbrados a ver” porque no solo podrán hacer requerimientos e impones multas, sino que también podrán ejercer “acciones en los tribunales”.

En cuanto a las sanciones, otras de las socias que ha intervenido en este evento, Cristina Villasante, ha apuntado que las multas por incumplimiento “pueden llegar hasta un 6% de la facturación anual global de la empresa”. Para evitar esta situación, la experta en propiedad intelectual, industrial y derecho audiovisual ha advertido de que las tecnologías de inteligencia artificial que supongan una vulneración de derechos y un alto riesgo de ciberseguridad, como aquellas que conlleven una vigilancia masiva o manipulación de conductas, están totalmente prohibidas. Mientras tanto, las usadas en plataformas de acceso al empleo o de educación o servicios públicos; o que se sirvan de datos biométricos o chatbots, tendrán que cumplir importantes requisitos de transparencia.

‘Phising’ en cinco minutos

Para dar cuenta los riesgos que existe con el uso las nuevas tecnologías y los avanzados sistemas de inteligencia artificial, el socio director de Ecija ha mostrado ejemplos de casos reales de brechas de seguridad, como puede ser la publicación de información confidencial de una compañía, la vulneración del derecho de imagen y propiedad intelectual, o el avance de la ciberdelincuencia. “No tiene nada que ver la inteligencia artificial de hoy con lo que teníamos hace un año”, ha añadido Touriño.

En esta línea, Yáñez ha mostrado cómo es posible, en tan solo cinco minutos, suplantar la identidad de compañías u organismos públicos y solicitar información personal y bancaria al usuario, para después entrar en el mercado negro de internet y comprar dinero falso, credenciales, datos bancarios o cuentas de correo electrónicos, entre otras cosas. “Falta mucho por hacer para conciencia en todo lo que tiene ver con ciberseguridad y la responsabilidad de los consejos de administración cada vez va a ser mayor”, ha dicho el socio de privacidad, cumplimiento normativo y ciberseguridad.

Sigue toda la información de Cinco Días en Facebook, X y Linkedin, o en nuestra newsletter Agenda de Cinco Días