CIBERATAQUES Y RESPONSABILIDAD CIVIL EMPRESARIAL: ¿QUIÉN PAGA LOS DAÑOS?

CIBERATAQUES Y RESPONSABILIDAD CIVIL EMPRESARIAL: ¿QUIÉN PAGA LOS DAÑOS?

La externalización de servicios y el almacenamiento en la nube son el estándar operativo de muchas organizaciones. La pregunta sobre quién asume la responsabilidad tras un ciberataque se ha vuelto más compleja y necesaria que nunca. Cuando los datos de sus clientes se ven comprometidos por un ataque a uno de sus proveedores, ¿es la empresa una simple víctima o también es legalmente responsable de los perjuicios causados?

En este artículo profundizamos en la responsabilidad civil empresarial en la cadena de subcontratación, analizando las obligaciones legales y las vías de defensa.

El Escenario: La Cadena de Subcontratación y el origen del Problema

Para ilustrar la complejidad de la situación, partimos de un caso real y muy habitual. Una empresa A (por ejemplo, una gestoría) gestiona la contabilidad de sus clientes y, para ello, contrata los servicios de almacenamiento de datos de la empresa B (un proveedor de software de gestión). A su vez, la empresa B utiliza los servicios de «cloud» de una empresa C (un gigante como Amazon Web Services, Google Cloud o similar), que es quien posee la infraestructura física de servidores donde reside la información. Un día, la empresa C sufre un ciberataque de ransomware, y todos los datos, incluidos los de los clientes de la empresa A, son encriptados y secuestrados.

Este modelo de subcontratación es extremadamente común y eficiente, pero crea una cadena de responsabilidades que debe ser cuidadosamente analizada. En el marco del Reglamento General de Protección de Datos (RGPD), la empresa A es la «Responsable del Tratamiento», ya que decide por qué y cómo se tratan los datos de sus clientes. Las empresas B y C son «Encargados del Tratamiento», pues procesan los datos por cuenta de la empresa A. Esta distinción es fundamental para determinar las obligaciones de cada una.

¿Víctima o Responsable? El doble papel de la Empresa Intermediaria

Ante el ciberataque, la empresa A es, sin duda, una víctima directa. Su operativa se ve paralizada y su propia información está comprometida. Sin embargo, desde la perspectiva de sus clientes, la empresa A es el único interlocutor con el que tienen una relación contractual y en quien depositaron su confianza para custodiar sus datos. Por lo tanto, aunque sea una víctima, no queda automáticamente exenta de su responsabilidad civil frente a los posibles daños y perjuicios que sufran sus clientes, como la filtración de datos sensibles, el uso indebido de los mismos o la simple paralización de su actividad por no poder acceder a su información.

La ley obliga a analizar si la empresa A actuó con la diligencia debida en la protección de esos datos, incluso cuando la gestión directa estaba en manos de terceros.

El Fundamento Jurídico de la Responsabilidad Civil

Para determinar si la empresa A debe indemnizar a sus clientes, debemos acudir a dos cuerpos normativos principales: el Código Civil español y el Reglamento General de Protección de Datos (RGPD) europeo.

 La Responsabilidad Contractual en el Código Civil

Entre la empresa A y sus clientes existe una relación contractual (un contrato de prestación de servicios). Este contrato, aunque no lo explicite, lleva implícita una obligación de custodia y confidencialidad sobre la información confiada. Si los datos se ven comprometidos, se produce un cumplimiento defectuoso del contrato.Para que un cliente pueda reclamar, debe acreditar tres puntos clave:

Para que un cliente pueda reclamar, debe acreditar tres puntos clave:

  1. La existencia de un daño real y demostrable (económico, de reputación, etc.).
  2. El incumplimiento de una obligación por parte de la empresa A (la de proteger sus datos).
  3. Una relación de causalidad directa entre el fallo de seguridad y el daño sufrido.

El Reglamento General de Protección de Datos (RGPD) en un ciberataque empresarial

El RGPD es aún más específico y contundente en esta materia. Impone obligaciones proactivas tanto al Responsable (empresa A) como al Encargado (empresa B).

  • Artículo 32 (Seguridad del tratamiento): Obliga a ambas partes a aplicar «medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo». Esto incluye la encriptación, la evaluación de riesgos y la capacidad de restaurar la información rápidamente.
  • Artículo 82 (Derecho a indemnización y responsabilidad): Establece claramente que «toda persona que haya sufrido daños y perjuicios […] como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización». Es fundamental destacar que, si varias empresas están implicadas, la responsabilidad puede ser solidaria. Esto significa que el cliente afectado podría reclamar la totalidad de la indemnización a la empresa A, sin perjuicio de que esta, posteriormente, se la reclame a la empresa B.

 ¿Cómo Puede una Empresa Exonerarse de Responsabilidad en un Ciberataque?

La empresa A no será responsable automáticamente. La ley prevé supuestos de exoneración, pero probarlos en el contexto de un ciberataque es un desafío cada vez mayor. Las dos principales líneas de defensa son la demostración de la debida diligencia y la alegación de fuerza mayor.

La «Debida Diligencia»: La Prueba Clave de la Defensa

Para quedar exonerada, la empresa A debe demostrar de forma incuestionable que actuó con la máxima diligencia. Esto no consiste simplemente en contratar a un proveedor, sino que implica:

  • Auditar al proveedor: Haber realizado una investigación previa sobre las medidas de seguridad de la empresa B antes de contratarla.
  • Exigir garantías contractuales: El contrato entre A y B debe incluir cláusulas específicas sobre seguridad, protocolos de actuación ante incidentes, obligación de notificación inmediata de brechas de seguridad y delimitación de responsabilidades.
  • Implementar medidas propias: Asegurarse de que los accesos a los datos, desde la propia empresa A, son seguros (uso de contraseñas robustas, doble factor de autenticación, etc.).
  • Cumplir con las obligaciones formales: Haber notificado la brecha de seguridad a la Agencia Española de Protección de Datos (AEPD) en el plazo legal de 72 horas desde que tuvo conocimiento de ella.

 La Fuerza Mayor: ¿Es un Ciberataque un Acto Imprevisible?

El artículo 1105 del Código Civil exonera de responsabilidad ante sucesos «que no hubieran podido preverse, o que, previstos, fueran inevitables». Durante años, las empresas intentaron argumentar que un ciberataque era un caso de fuerza mayor. Sin embargo, hoy en día, los tribunales son muy restrictivos con esta interpretación. Los ciberataques son un riesgo previsible y conocido en el entorno empresarial actual. Solo un ataque de una sofisticación extrema, que superase todas las medidas de seguridad razonables y conocidas, podría llegar a considerarse fuerza mayor.

La Prevención Proactiva como Mejor Defensa

En definitiva, la empresa A, a pesar de ser una víctima directa del ciberataque, sí puede ser considerada responsable civil frente a los perjuicios causados a sus clientes. La responsabilidad se presumirá, y será la empresa A quien deba cargar con la difícil tarea de demostrar que hizo todo lo humanamente y técnicamente exigible para proteger los datos, tanto en su propia organización como en la elección y supervisión de sus proveedores.

Una diligencia proactiva, formalizada en contratos robustos y auditorías de seguridad rigurosas, no solo es una obligación legal, sino la única defensa real para proteger el patrimonio de la empresa y la confianza de sus clientes.

En NQ Abogados, como especialistas en ciberseguridad y derecho tecnológico, entendemos que la responsabilidad civil derivada de un ciberataque es uno de los mayores riesgos actuales para cualquier negocio.

Tanto si su empresa se enfrenta a una crisis por una filtración de datos y necesita una defensa legal sólida, como si busca fortalecer su posición preventiva auditando la diligencia de su cadena de proveedores y robusteciendo sus contratos, somos su aliado estratégico.

Contacte con nosotros y asegure su defensa.

Nuestras Áreas
Entradas recientes
Translate »
Ir arriba

CHECKLIST CIBERDELINCUENCIA EMPRESA

En un plazo de 24/48 horas nuestro equipo se pondrá en contacto con usted y le remitiremos un mail valorando los riesgos detectados en su empresa, juntamente con aquellas actuaciones más urgentes en ciberseguridad que debería realizar.

1
COMIENZA EL CHECKLIST
2
COMIENZA EL CHECKLIST
3
COMIENZA EL CHECKLIST
4
Last Page
Nombre de la Empresa *
Sector de la Actividad *
Indique Sector *
CIF *
Teléfono *
Persona de Contacto *
Email *

CORPORATE

¿Tiene la organización implementado un Modelo de prevención y control de delitos informáticos/riesgos tecnológicos? *
¿Dispone de un protocolo de destrucción segura de datos? *
¿Qué software utiliza la organización y productos homologados? *
¿La empresa dispone de un proveedor externo de servicios informáticos? *
¿Dispone de un protocolo de homologación y selección de proveedores de esta tipología? *
¿La empresa dispone de una Política de Seguridad Informática? *
¿Dispone de alguna Certificación en materia de Seguridad Tecnológica? *
¿Ha sufrido la organización algún ataque informático en los últimos 5 años? *
¿Ha sido condenada la sociedad o algún miembro por delitos informáticos? *
¿Dispone la organización de un Plan de Contingencia en caso de ciberataque? *
¿Cuál? *
¿Se autoriza el uso de equipos personales/propios para desarrollo de la actividad profesional? *
¿Existe un protocolo de autorización de cobros y pagos? *
¿Se realizan auditorías de seguridad o revisión del Sistema? *
¿El personal de la empresa accede a los diferentes equipos informáticos a través de contraseña, tarjeta de coordenadas, parámetro biométrico, entre otros? *
La regulación de los recursos TIC corporativos ¿además de por la Política de uso se regula mediante cláusulas contractuales? *
¿Dispone de asesoramiento externo en materia de ciberseguridad? *