Ha pasado ya algún tiempo desde que, en 2016, se publicó el código de Derecho de la Ciberseguridad como compilación de la normativa nacional que regula este ámbito, el de la seguridad de la información que, como es sabido, se ha convertido en un aspecto imprescindible en todos los aspectos de la sociedad digital que estamos creando.
De este tiempo a esta parte, hemos venido siendo testigos de una profunda reforma y actualización de la regulación que afecta a todo lo que tiene que ver con lo digital. Especialmente desde Europa, que ha iniciado una auténtica revolución legislativa para tratar de dar seguridad jurídica a un futuro que se antoja más incierto que nunca.
Sin perjuicio de ello y adaptándose a los ritmos (lentos) de la interpretación jurisprudencial, estas semanas han resultado especialmente interesantes en lo que a ello respecta, pues se han publicado una serie de documentos que pueden suponer -en cierto modo- un punto de inflexión en lo que se refiere a la aplicación de las leyes de ciberseguridad en la empresa.
Bien es cierto que todavía queda mucho por escribir sobre el alcance de la responsabilidad de las empresas en todo lo que tenga que ver con la protección de sus sistemas y de la información que se almacena en aquellos, pero no es menos cierto que poco a poco se van resolviendo controversias que, directa o indirectamente aplicadas al mundo de la ciberseguridad, nos van dando luz sobre cómo debemos interpretar determinados preceptos. Y, muy en particular, en todo lo relativo a la responsabilidad de las empresas y la de sus dirigentes.
Con relación a este extremo, la doctrina viene hablando de un auténtico cambio cultural como consecuencia del “alcance global de la obligación de responsabilidad”, en el entendido de que el espíritu que impregna la nueva regulación sostiene que, no es tanto el cumplimiento formal de la obligación legal o de una medida puntual sino toda la estrategia empresarial adoptada, lo que exime de responsabilidad a la organización responsable de la protección de la redes, de los sistemas y de la información.
En el caso de la protección de datos personales, el Abogado General Pitruzzella ha concluido -acertadamente a mi juicio- que el Reglamento de protección de datos “se basa en la prevención del riesgo y la responsabilidad proactiva del responsable del tratamiento y, por tanto, en un enfoque teleológico que persigue el mejor resultado posible en términos de eficacia, es decir, muy lejos de la lógica formalista vinculada a la mera obligación de cumplir procedimientos específicos que eximan de responsabilidad”.
Lo que hace especial a este concreto proceso, seguido contra la Agencia búlgara de recaudación, es que el afectado plantea que la publicación de información personal, obtenida tras un ciberataque, devenga un daño moral a los afectados del incidente derivada de la inactividad del responsable del tratamiento. En este sentido, es sabido que el artículo 82 del RGPD ya prevé la posibilidad de pedir indemnización en el ámbito de la protección de datos, pero hasta la fecha, el asunto no se había centrado en el ámbito de un ciberataque con fuga de información difundida en foros de internet.
Alineado con lo anterior, el Tribunal Supremo español también se ha pronunciado en un asunto relacionado con la protección de datos, en este caso centrado en el alcance de las cláusulas de indemnidad que las empresas suelen incluir en los contratos que celebran con sus proveedores, y donde tratan de derivar la responsabilidad de protección de datos en aquellos. Sin embargo, declara el Alto Tribunal, que tales clausulas solo cobran sentido en el contexto del contrato del que forman parte, sin que puedan considerarse como un seguro de responsabilidad civil. Es decir, que el responsable del tratamiento puede exigir al encargado a que le indemnice por las infracciones que cometa éste en la ejecución del contrato, pero sólo cuando esa responsabilidad se extienda al responsable. Pero no le legitima a exigir indemnidad cuando las sanciones de la autoridad de control se hayan impuesto por infracciones imputables al responsable, que sean consecuencia de la responsabilidad in vigilando que exige el, en este caso, Reglamento General de Protección de Datos.
Finalmente, también una sentencia del Tribunal Supremo español (en vía civil), de marzo de 2023, nos aporta claridad sobre un aspecto, cada vez más controvertido, como es el de la responsabilidad de los administradores. La argumentación de este tribunal puede analizarse desde la óptica de la obligación de diligencia que deben demostrar los órganos de administración de las empresas (especialmente de las cotizadas) a la hora de gestionar la ciberseguridad de las organizaciones. Así también se recoge en la Directiva NIS2 y, más recientemente, en la Ley española conocida como de protección del denunciante.
En conclusión, la aparición de sentencias y otras resoluciones (que aunque aparentemente dictadas para resolver cuestiones de distintas áreas del Derecho, pueden ser aplicadas -en sus conceptos generales- a la ciberseguridad) demuestra lo que ya sabíamos: que la ciberseguridad no se ciñe exclusivamente a un área en concreto del Derecho, sino que la transversalidad de aquella exige el diseño de estructuras legales dentro de las organizaciones que puedan dar respuesta y cobertura eficaz a estas cuestiones y, sobre todo, a las que están por llegar.