Nuevo filón para los bufetes: demandas masivas por fallos de ciberseguridad
La ley española permite reclamar a las compañías que no cuenten con la protección adecuada. El nuevo reglamento europeo amplía el marco de responsabilidad
Tras conocerse la noticia del gran ataque informático sufrido por la empresa Equifax, esta ha comenzado a recibir múltiples demandas de sus usuarios en reclamación de indemnizaciones por los daños sufridos.
Estas reclamaciones se basan en que, según se ha sabido, la compañía no tenía instalados los sistemas de seguridad necesarios para detectar e impedir el ataque ni contaba con un responsable de seguridad informática. Esto permitió que durante casi tres meses los atacantes pudiesen sustraer sin dificultad millones de datos de los usuarios de la empresa, sin que esta fuera consciente de la situación. Y para empeorar el caso, una vez que lo supo tardó más de un mes en informar al público.
Al igual que ha sucedido en otros casos, los fallos de seguridad en las empresas están dando lugar a un aluvión de reclamaciones, abriendo así paso a una nueva línea de negocio para los despachos que puedan ofrecer a sus clientes el asesoramiento legal para actuar contra las compañías que se han mostrado negligentes en la custodia de sus datos personales.
La cuestión que se plantea es qué consecuencias tendría para una empresa española un ataque similar al sufrido por Equifax, careciendo de las necesarias medidas de seguridad.
Infracción administrativa
Pablo Fernández Burgueño, abogado especializado en ciberseguridad, señala que en nuestro país las empresas que son ciberatacadas pueden sufrir dos tipos de consecuencias: la administrativa y la civil.
La primera puede consistir en la imposición de una sanción de hasta 600.000 euros por parte de la Agencia Española de Protección de Datos (AEPD) por vulneración de la Ley Orgánica de Protección deDatos (LOPD). Para ello es necesario que medie o bien una denuncia por parte de un particular afectado o bien una inspección de oficio. A continuación, se abriría una inspección, seguida de una propuesta de sanción y la imposición de la multa, que sería recurrible ante la sala de lo contencioso-administrativo de la Audiencia Nacional.
Reclamación en vía civil
Según Maitane Valdecantos, responsable de derecho TIC en Eurotax, la posibilidad de demandar a una empresa ante una situación análoga a la de Equifax se basa en el artículo 19 de la LOPD, que expresamente reconoce el derecho a indemnización de aquellos interesados “que, como consecuencia del incumplimiento de lo dispuesto en la presente ley por el responsable o el encargado del tratamiento, sufran daño o lesión en sus bienes o derechos”.
Esta acción de reclamación de daños y perjuicios se deberá ejercitar ante la “jurisdicción ordinaria”, la civil y, aunque no es preceptivo acudir a la AEPD con carácter previo a la interposición de esta acción, ambos expertos recomiendan hacerlo para obtener una resolución de la Agencia sobre las infracciones y poder acreditar el incumplimiento de la ley, que es base para esta acción.
Pero, según destacan ambos letrados, este derecho a la indemnización no es automático, pues, además de tener que probarse el incumplimiento de la ley, “debe acreditarse que efectivamente se han producido daños o perjuicios que, además, deben ser susceptibles de valoración”. Para ello, señala Fernández Burgueño, “una resolución sancionadora previa es de bastante utilidad”, por lo que recomienda presentar primerodenuncia ante la Agencia y, a continuación, iniciar la vía judicial.
No existe un baremo prefijado para determinar el alcance de estas indemnizaciones, por lo que deberá analizarse qué datos han sido sustraídos, cuál es el sujeto afectado y cuál es el alcance territorial, cuantitativo y cualitativo de esa sustracción, teniendo en cuenta igualmente que las consecuencias de esos ataques no suelen ser inmediatas, pues los ciberdelincuentes venden o alquilan la información sustraída a terceros o realizan acciones contra las personas afectadas a lo largo del tiempo.
También podría incluirse en esta reclamación la indemnización de los daños morales sufridos, si bien ambos expertos advierten de la dificultad de probarlos, pues para la viabilidad de estas pretensiones nuestros tribunales suelen exigir “consecuencias objetivas que puedan ser verificadas”, algo que no es fácil de hacer en el caso de daño moral, que requeriría de un informe psicológico.
Sin embargo, Maitane Valdecantos destaca que el nuevo Reglamento europeo de Protección de Datos, que será de efectiva aplicación en unos meses, abre más claramente esa posibilidad, ya que reconoce expresamente en su artículo 82 que toda persona que hubiese sufrido daños materiales o morales como consecuencia de una infracción de esta norma tendrá derecho a solicitar una indemnización.
El escenario del RGPD
Y es que, como destaca el profesor y abogado experto en derecho digital Borja Adsuara, la nueva norma europea va a introducir un marco mucho más exigente para las empresas.
A partir de mayo de 2018, cuando comience a ser plenamente aplicable, una corporación que sufra un ciberataque puede incurrir en varias infracciones: en primer lugar, por no haber implantado las medidas técnicas y organizativas apropiadas a fin de proteger los derechos y libertades de los interesados y, además, por no haber realizado, en los plazos previstos, la comunicación de una violación de la seguridad de los datos personales a la autoridad de control y a esos interesados.
Por otra parte, estas infracciones podrán acarrear fuertes sanciones. Pero sobre estas, Adsuara critica que “el RGPD crea una grave inseguridad jurídica al limitarse a establecer una horquilla para estas multas que va de 0 a 20 millones de euros o el 4% de la facturación global de la empresa, sin fijar unos criterios objetivos claros de graduación“. Por ello, como señala gráficamente, una sanción puede ir “de la nada a la guerra nuclear”.
En cuanto a la reclamación de indemnización por los interesados, este experto destaca la posibilidad que abre la norma europea de acudir a la mediación o al arbitraje, como una vía extrajudicial de resolución de conflictos que podría salir más rentable a las empresas que la sanción de la autoridad de control (que conlleva también el desprestigio que supone una multa), y también parece más interesante para los afectados titulares delos derechos vulnerados, porque serían los destinatarios directos de la indemnización, en el caso de que proceda, y no el Tesoro.