Responsabilidad por Ciberataques: ¿Quién Pagará el Pato?

 

El Ciberataque

Hace unos días un ciberataque DDoS (en realidad fueron dos, con unas horas de diferencia) tumbó el acceso a internet en la mitad de los Estados Unidos, y noqueó durante un buen rato a nivel global servicios como Spotify, Twitter, Paypal, Reddit y Etsy.

No es el primer ataque con éxito a gran escala que conocemos, pero desde luego es el que ha tenido mayor impacto hasta la fecha, como demostraron las portadas web de los periódicos del día siguiente.

Esperando el Mega-ataque (“Waiting for the Big One”)

Aparte de explicar mínimamente lo que pasó, me plantearé quién debe “pagar el pato” en casos como éste.

Entiéndame: no quién es el culpable, (a lo peor no lo sabemos nunca). Sino quién tendría (o sea, quién tendrá) que hacerse responsable, si algún día tumbaran (o sea, el día que tumben) las webs de algún servicio esencial.

Sabemos que este día llegará, y por lo que estamos viendo, será más pronto que tarde.

Esperando al Reglamento General de Protección de Datos

Hasta ahora, la mayor parte de los ciberataques sólo se reconocen públicamente por las organizaciones afectadas cuando no queda más remedio.

Como muestra el botón más gordo hasta la fecha: el pasado 22 de septiembre de 2016, Bob Lord, responsable de seguridad de Yahoo, anunció que a finales del 2014 la compañía sufrió un ciberataque en el que les robaron información de 500 millones de usuarios.

Casi dos años…

Como veremos de inmediato, todo esto cambiará en mayo del 2018, al menos en el ámbito comunitario europeo, con la entrada en vigor efectiva del Reglamento General de Protección de Datos Europeo (en adelante, “RGPD”).

Pero tendremos grandes sustos y quizá disgustos mucho antes, así que tenemos que preguntarse hoy… ¿Quién pagará el pato?.

¿En qué consiste un Ciberataque DDoS?

Estos ataques consisten básicamente en ordenar a un montón de equipos controlados que intenten acceder a los mismos sitios-web a la vez, colapsándolos.

La explicación más castiza y en términos sencillos la proponía Silvia Barrera (@sbarrera0) en su twitter:

“Para los no técnicos. Un ataque DDoS en la Red es lo mismo que le sucede al Corte Inglés en la apertura de puertas el primer día de rebajas.”

 

Pero Entonces… ¿Quién Pagará el Pato?

Tracen conmigo una línea uniendo los siguientes puntos:

Novedades Importantes del Reglamento General de Protección de Datos

1. El RGPD obligará a las empresas -desde mayo del 20018- a notificar a la autoridad competente cualquier brecha de seguridad detectada en sus sistemas, dentro del plazo máximo de 72 horas.
2. El RGPD consagra el derecho específico del titular de datos personales a exigir la indemnización por los daños y perjuicios que se le causen por tratamientos de sus datos realizados con incumplimiento de la ley.
3. Además está el derecho general de cualquier ciudadano a exigir indemnización por los daños causados por la caída de cualquier servicio que se nos ofrezca o venda como disponible 24/7 y como totalmente seguro.

Creo que estamos ante el surgimiento de un nuevo mercado en el mundo de las demandas masivas de indemnización…

…Y de los seguros, porque hablamos de riesgos (y daños) de importe astronómico.

¿Y qué pasa hasta mayo del 2018?

Las Condiciones Generales 

Cualquier empresa en su sano juicio tratará de cubrir su responsabilidad mediante las condiciones generales de prestación de servicios que puedan ser afectados por un ciberataque. Sobre todo en los supuestos de responsabilidad por colapso provocado maliciosamente.

Pero ya sabemos que en el mundo de las condiciones generales, afortunadamente, no vale todo.

En esta materia la jurisdicción tendrá mucho que decir. Por una parte, si los servicios se prestan a consumidores, habrá que estar a la normativa específica en materia de consumo, que puede servir fácilmente para impugnar y obtener la anulación judicial de determinadas condiciones generales, si resultan abusivas o desequilibradas.

Pero sean cuales sean las renuncias y excepciones a la responsabilidad incluidas en las condiciones generales, la cuestión central será si la empresa atacada cumplía o no el canon de diligencia, el nivel de seguridad y de protección exigible en cada caso.

¿Y de dónde procederá esa obligación de diligencia? 

Principios generales del derecho: «Ubi commodum, ibi et periculum»

Los romanos ya sabían que “el que obtiene el beneficio de una actividad, debe asumir también su riesgo”.

Piensen quién se lleva el beneficio en los servicios online (no sólo el beneficio directo, sino el ahorro de que los propios clientes les hagan todo el trabajo, como en el caso de la banca online). En este sentido, aunque no exactamente en la misma situación, ya tenemos alguna sentencia que impone la responsabilidad del ataque a la entidad bancaria, incluso cuando la víctima propiamente dicha del ataque ha sido el cliente.

Directiva 2016/1148, sobre Ciberseguridad

Aunque el cliente sea una empresa, la Directiva 2016/1148, sobre ciberseguridad impone un estándar especial de seguridad a los operadores de servicios esenciales y a los proveedores de servicios digitales.

Reglamento (UE) n.º 910/2014 sobre identificación electrónica y servicios de confianza.

Las empresas que suministren redes públicas de comunicaciones o presten servicios de comunicaciones electrónicas disponibles para el público, y los prestadores de servicios de confianza están sujetos, por su parte, al estándar de seguridad previsto en el Reglamento (UE) n.º 910/2014.

Conclusión: un Rayo de Esperanza

La empresa atacada sólo podrá eximirse de responsabilidad probando que ha aplicado el nivel de diligencia y protección exigible en cada caso.

Lo que nos lleva a las principales novedades del Reglamento General de Protección de Datos: los principios de «accountability» o responsabilidad activa, y los de «Privacidad desde el Diseño» y «Privacidad por Defecto» (“Privacy by Design”, “Privacy by Default”).

Estos principios impondrán un giro copernicano en la materia, imponiendo una diligencia máxima a los prestadores de servicios, desde la concepción misma del servicio.

Buena semana

Jorge García Herrero. Abogado.