Desde que la ciberseguridad se ha ido generalizando en el mundo empresarial, muchas organizaciones han sido las dudas acerca de los beneficios que podía tener la implementación de medidas de seguridad, más allá de la lógica continuidad del negocio.
Por ejemplo, una de las consecuencias más inmediatas y graves de los ciberataques de tipo ransomware, es que afectan principalmente a la disponibilidad de la información, inutilizando en muchos casos los recursos y dispositivos que la tratan, por lo que se paraliza la actividad. De hecho, este supuesto ya fue puesto de manifiesto cuando la compañía Allianz se negó a dar cobertura a un ataque de ransomware por considerar que se había producido dentro de un contexto de ciberguerra, lo que quedaba expresamente excluido de la cobertura aseguradora de la póliza.
Lógicamente, si la empresa no dispone de un plan de contingencia eficaz que le permita garantizar dicha continuidad del negocio, puede encontrarse, además de los propios perjuicios derivados del incidente, ante reclamaciones de naturaleza legal derivadas del incumplimiento de sus obligaciones contractuales, multas por eventuales robos de información personal, etc.
Así las cosas, ¿podría la empresa afectada alegar fuerza mayor para evitar su responsabilidad legal? No olvidemos que es habitual que en los contratos se incluya una clausula de fuerza mayor (“acts of God, en inglés) como causa de exención de responsabilidad, como también lo es que determinadas normativas prevean supuestos de inimputabilidad por la concurrencia de determinados actos.
En Derecho español, la fuerza mayor ha sido definida por la Jurisprudencia como un suceso imprevisible o que, previsto, fuera inevitable, insuperable o irresistible, siempre que la causa que lo motiva sea independiente de la voluntad del empresario afectado.
En este caso, no parece que los ciberataques puedan ser calificados de acto imprevisible, pues por todos es conocida la probabilidad de sufrir un incidente de seguridad en cualquier momento, incluso a pesar de haber tomado numerosas medidas de protección.
En cambio, en cuanto al segundo aspecto, esto es, a que el incidente se deba a causas inevitables y ajenas a la voluntad de la organización ciberatacada, ya ha habido antecedentes judiciales que, en casos de ransomware, han marcado el camino interpretativo sobre la aplicación de la fuerza mayor como argumento de las empresas para modular su responsabilidad legal o contractual.
En marzo de 2022, la Audiencia Nacional dictó una sentencia en la que autorizó a una empresa, víctima de un ataque de ransomware que paralizó sus sistemas durante varias semanas a iniciar un expediente de regulación temporal de empleo, gracias al cual podría aplicar medidas suspensivas y de reducción de jornada en su plantilla basadas en una de las situaciones que la ley prevé para su autorización, que es el de la concurrencia de una imposibilidad objetiva sobrevenida, tal y como prevé la normativa laboral aplicable.
El tribunal concluyó que en este caso concurrían todos los elementos configuradores que permiten concluir la existencia de causa de fuerza mayor: imposibilidad, existencia de una relación causal entre el incumplimiento de la obligación contractual y el hecho obstativo, inimputabilidad y (al menos) inevitabilidad.
Aunque, con carácter general, lo más relevante de la argumentación de la Audiencia tiene que ver, a mi juicio, con que para poder valorar la concurrencia de tales circunstancias en un ciberataque, requiere de un análisis individualizado sobre si las medidas preventivas y de seguridad adoptadas por la víctima alcanzan un nivel de diligencia adecuado.
Dicho con otras palabras, si la empresa ciberatacada consigue acreditar que implementó medidas técnicas y organizativas de seguridad adecuadas (expresiones, entre otras, incluidas en el RGPD, la Directiva NIS2 o la Directiva sobre resiliencia de entidades críticas), podrá esgrimir el argumento de la fuerza mayor para evitar la eventual responsabilidad legal que se le pudiera reclamar por parte de terceros, ya que tales circunstancias evidencian que el nivel de diligencia empresarial para prevenir el riesgo de sufrir un determinado ciberataque ha sido adecuado conforme a lo que una “conducta prudente hubiera podido evaluar”. Es decir, que si una empresa ha implemento efectivamente ese tipo de medidas, se podrá afirmar que el nivel de previsión y precaución es adecuado dentro del grado de esfuerzo y coste de un ordenado y diligente comerciante.
Por eso se convierte en imprescindible para poder gestionar de forma adecuada el riesgo de ciberseguridad en las empresas el evidenciar que se disponen de medidas suficientes y adecuadas para la prevención y gestión de ciberataques u otros incidentes de ciberseguridad. Entre este tipo de medidas, y así se identifican en la Sentencia, podemos destacar la implementación de un sistema de SGSI, la certificación ISO 27001, la existencia de políticas y metodologías de gestión de la seguridad, póliza aseguradora, y otras medidas tecnológicas tales como antivirus, firewalls, etc.
En este caso, si bien su evaluación individual podría no resultar suficiente, una valoración en conjunto de las medidas de seguridad implementadas podría permitir acreditar un suficiente nivel de diligencia empresarial, lo que puede llevar a la empresa a reducir o, incluso, eliminar, la responsabilidad legalmente exigible así como la de su órgano de gobierno. Las consecuencias de tal situación también deberían ser analizadas, lógicamente, bajo la lupa de la cobertura aseguradora contratada por la compañía.