07 Jun Compliance: ¿Responde el empresario por los ciberdelitos de sus empleados?
Uno de los retos clave en materia de compliance o cumplimiento normativo para los empresarios de toda España tiene mucho que ver con una práctica cada vez más extendida: los ciberdelitos. Éstos proliferan en un mundo cada vez más informatizado y se convierten en un peligro potencial para la empresa, dado que ésta puede ser responsable por los delitos cometidos en la red por sus empleados si no tomó las medidas adecuadas para evitarlo. En este post hablamos sobre los comentarios que emanan desde el propio Tribunal Supremo sobre este aspecto, a través de las declaraciones de Elvira Tejada, fiscal jefa de Sala de este Tribunal y coordinadora nacional contra la Criminalidad Informática. Una cosa parece clara: es importante dotar a la estructura empresarial de protocolos de actuación para sus empleados, que garanticen que la empresa ha dado las instrucciones adecuadas para evitar estos supuestos.
En el marco de las VII Juntas de Gobierno del Consejo General de la Abogacía Española (CGAE), que se celebraron hace pocos días en Granada, Tejada aseguró que los delitos cometidos por un empleado contra la privacidad de los datos personales y contra la seguridad de los sistemas de información pueden generar responsabilidad penal de la empresa para la que trabaje si ésta no ha adoptado las medidas de prevención necesarias para evitar su comisión. Una pista clave para los empresarios, relacionada con el compliance o cumplimiento normativo y los límites hasta los que se extiende la responsabilidad de la sociedad.
Así, asegura que “hay una normativa de protección de datos que hay que cumplir y si su incumplimiento implica responsabilidades delictivas, podría derivarse de él la responsabilidad penal de la persona jurídica”. Estas declaraciones vinieron al hilo del auge de los ciberataques en las últimas semanas. En este sentido, tal y como recoge elEconomista, la última reforma del Código Penal incorporó al título que ya incluye la protección de los delitos contra la protección de datos dos nuevos tipos que sancionan los ataques a los sistemas de información.
“Acceder a un sistema, aunque no lleguemos a los datos que contiene, ya está tipificado como delito. También la interceptación de las comunicaciones entre sistemas”, explicó la fiscal, quien subrayó que estos tipos se encuentran dentro de la lista cerrada de delitos que generan responsabilidad penal de las personas jurídicas. Asimismo, la “negligencia” en la adopción de las medidas de prevención necesarias (dentro de los programas de compliance) puede derivar, si uno de sus empleados comete estos delitos, en una condena para la empresa.
Los expertos que intervinieron junto a Tejada pusieron especial énfasis en las medidas de prevención y de respuesta en materia de ciberseguridad y en su estrecha vinculación con las nuevas exigencias que introduce el Reglamento General del Protección de Datos (que estará vigente el 25 de mayo de 2018) y los programas de compliance.
Los ciberdelitos, cada vez más frecuentes
En la actualidad, se estima que la ciberdelincuencia es el segundo negocio ilegal más lucrativo, solo por detrás de la venta de armas, y multiplicando por tres el dinero que mueve el tráfico de drogas. “La denuncia es un medio más, pero no la solución. La solución es tener protocolos de respuesta, saber exactamente qué hacer las 24 horas siguientes a un ataque. Hay que tener un plan de reacción. Luego sí, denunciar e investigar, pero esa no puede ser la única solución”, incidió la jefa de la Sección Técnica de la Unidad de Investigación y Tecnología de la Policía Nacional, Silvia Barrera.
A los riesgos económicos y reputacionales que implica ser más vulnerable ante un posible ciberataque, hay que añadir la posibilidad de ser sancionado por no haber adoptado las medidas de protección exigidas por el Reglamento de protección de datos. Las multas, con esta norma, podrán alcanzar los 20 millones de euros o el 4% del volumen anual de negocio.
Si quieres saber más sobre compliance, pídenos un estudio sin compromiso.