Los últimos estudios realizados ya permiten identificar a los ciberataques como la principal amenaza para la seguridad de las empresas y, principalmente, de las PYMES. De esta manera, nos encontramos ante un crecimiento exponencial del número de ataques realizados, cifra que, si bien ya venía incrementándose año a año, tras la pandemia del COVID-19 se ha podido observar un incremento aún mayor. En el presente artículo analizaremos las principales medidas legales de prevención y respuesta frente a ciberataques.

Como referencias, podemos mencionar el informe Escudos 2021 de la agencia española Excel, que afirma que una de cada cinco pequeñas y medianas empresas españolas ha sufrido algún ciberataque en el último año.

Asimismo, el informe bienal de seguridad publicado por la Fundación Esys (Empresa, Seguridad y Sociedad) para los años 2019 y 2020, concluye que casi una cuarta parte de las compañías sufrieron algún ciberataque en 2019, y que la pérdida de datos causada por ataques informáticos causa daños por valor entre 2.000 y 50.000 euros para las PYMES, así como de 3,6 millones las pérdidas para las grandes corporaciones.

Por todo ello, resulta imprescindible adoptar una serie de medidas técnicas, legales y financieras que permitan prevenir y minimizar el riesgo e impacto de un ciberataque. A continuación, se expondrán de forma sucinta las medidas legales más importantes que se deberían adoptar.

Pues bien, en primer lugar, resulta esencial establecer medidas que nos permitan cumplir con el Reglamento General de Protección de Datos (RGPD) de la UE y su transposición a la legislación española como Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

Por ejemplo, es recomendable establecer de forma clara los principios generales a observar en el tratamiento de datos personales por parte de aquellos empleados que necesiten trabajar con ellos y contar con un sistema específico para detectar, comunicar y solventar las brechas de seguridad de los datos. Además, se deben suscribir acuerdos de confidencialidad (NDAs), así como procedimientos y código de conducta para empleados, habida cuenta de que la evidencia de los estudios apunta a que el principal motivo de riesgo es el propio factor humano.

Como es evidente, todas estas medidas deberán estar adaptadas a cada empresa, por lo que necesitará acudir a expertos en la materia para poder implantar un modelo o sistema de prevención que cumpla con todas las garantías.

Más allá de las medidas preventivas anteriores, procede ahora mencionar algunas de las medidas reactivas más relevantes a nivel legal. Se entiende por medida reactiva aquélla que debe llevarse a cabo con posterioridad al ciberataque sufrido.

Y así, cabe destacar la importancia de la comunicación del incidente a las autoridades competentes (en algunos supuestos dicha comunicación es obligatoria, en otras, recomendable). En el caso de que hayan sido comprometidos datos personales, conforme a la normativa vigente, el ataque debe ser comunicado a la Agencia Española de Protección de Datos y al INCIBE-CERT a través de su servicio de respuesta a incidentes. Además, también debería denunciarse ante las Fuerzas y Cuerpos de Seguridad del Estado.

Por otro lado, es imprescindible la obtención de prueba electrónica que permita acreditar el ciberataque sufrido. En este sentido, la prueba electrónica puede ser esencial en cualquier procedimiento judicial que se derive, por lo que deberán respetarse ciertos principios que permitirán otorgar de validez jurídica a la prueba obtenida.

Por último, es altamente recomendable adoptar otras medidas legales que permitirán mitigar el impacto económico y reputacional del incidente. A modo de ejemplo, puede ser necesario a nivel preventivo tener suscrito un seguro frente a ciberataques, que cubra también la responsabilidad civil frente a terceros perjudicados.

Además, si cuenta con ayuda profesional de abogados especializados en la materia, podrán asesorarle también en la responsabilidad civil del proveedor de servicios de sociedad de la información a través del cual se produjo el ciberataque (si es el caso); o en medidas tendentes a proteger el derecho al honor (sea persona física o jurídica), así como cualquier secreto empresarial que se encuentre en situación de riesgo.

En conclusión, si quiere reducir el riesgo de verse expuesto a un ciberataque, o quiere dar respuesta a uno ya sufrido minimizando sus consecuencias, debemos recomendarle que consulte con un experto que le preste asesoramiento para la adopción de todas las medidas abordadas en el presente artículo.

Daniel Chapatte, abogado del Departamento de Asesoría Legal y Derecho Digital de UBT LEGAL & COMPLIANCE, miembro del Grupo de Regulación Autelsi.