08 mayo 2017
El papel de los abogados en las técnicas de predicción delictiva o ‘compliance’
Más de 100 abogados han asistido presencialmente y otros 320 inscritos han seguido online la Jornada sobre “La responsabilidad legal de administradores y directivos ante la ciberseguridad’, que se celebró el 8 de mayo en la sede del Consejo General de la Abogacía Española, organizada dentro del ciclo ciberseguridad y abogacía en colaboración con el Instituto Nacional de Ciberseguridad de España (INCIBE) y la editorial Sepin y con el patrocinio del bufete Mas y Calvet.
VER VÍDEO DE LA JORNADA, PREVIA INSCRIPCIÓN
La presidenta del Consejo General de la Abogacía Española, Victoria Ortega, ha destacado en la clausura la calidad de esta Jornada y “la necesidad de avanzar en la formación” sobre ciberseguridad. Cuando un despacho de abogados es objeto de un ciberdelito se está minando la confianza del cliente por lo que es “necesario velar por la seguridad de la información y cumplir las obligaciones deontológicas relacionadas con el secreto profesional”, aseguró la presidenta de la Abogacía.
Por su parte, el presidente de INCIBE, Alberto Hernández Moreno, ha reconocido en su discurso de clausura que el 67% de los ciudadanos está preocupado por la ciberdelincuencia pero esto no significa que estén “ocupados” por evitarla en sus dispositivos tecnológicos y móviles. Reconoció que en España, INCIBE gestióno más de 115.000 incidentes de ciberdelincuencia durante 2016, “pero este año podemos llegar a los 200.000”. De hecho, 70 bufetes han sido objeto en su web de ransomware (del inglés ransom, ‘rescate’, y ware, por software) que es un tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción. De ellos, 40 fueron utilizados como phishing. Hernández ha destacado que “hay que preocuparse porque detrás de estas actuaciones existen grupos cibercriminales. Todo lo que pongamos en la red es susceptible de ser robado”.
Lucas Blanque, director de los Servicios Jurídicos del Consejo General de la Abogacía Española, ha destacado durante la inauguración de la Jornada que la ciberseguridad ofrece muchas oportunidades a los abogados pero también deben tenerse en cuenta “el punto de vista tecnológico”.
Eloy Velasco, magistrado de la Audiencia Nacional, ha recordado que desde el 25 de diciembre de 2010 hay un cambio radical y las empresas pueden tener responsabilidad penal, existiendo 26 categorías delictivas. El magistrado aseguró que la sanción a través de multa que impone el Código Penal va de los 20.000 euros hasta los 9 millones, insistiendo que existen otras sanciones como son la disolución, la suspensión de actividades, clausura de locales…
El magistrado ha afirmado que según el art. 129 del Código Penal, aparte de las empresas también pueden cometer este tipo de delitos las asociaciones, fundaciones y un sector de la Administración Pública. Dentro de este tipo delictivo también se encuentran los que pudieran cometer los Colegios de Abogados que deberían tener un plan de compliance o técnicas de predicción delictiva, cuyo cumplimiento puede podría llegar a eximir de responsabilidad penal de las empresas.
Responsabilidad civil y mercantil del empresario ante las obligaciones de ciberseguridad
Por su parte, Rafael Ansón, socio del Bufete Mas y Calvet, ha abordado la responsabilidad civil y mercantil del empresario ante las obligaciones que implica la ciberseguridad, realizando un repaso de estas responsabilidades tras la reforma de la Ley de Sociedades de Capital. La presentación del ponente corrió a cargo de Isabel Gozalo, letrada del Consejo General de la Abogacía.
Respecto a la responsabilidad de los administradores de las empresas, Rafael Ansón ha señalado que para exigirla deben darse tres condiciones: debe existir una conducta antijurídica por parte de los administradores; deber producirse un daño; y debe haber un nexo o relación causal.
En cuanto a los deberes de los administradores, ha explicado que se pueden dividir en dos grandes grupos: el deber de diligencia y el deber de lealtad y fidelidad a la sociedad. Es el deber de diligencia, regulado en el artículo 225 de la Ley de Sociedades de Capital-, el que está más relacionado con la prevención de ciberataques, pero también con la respuesta una vez que se ha producido un incidente. Sobre la prevención de los ciberataques, ha subrayado la importancia de controlar la utilización de los aparatos que tienen acceso directo a la documentación que se custodia en el despacho; respecto a la respuesta al ciberataque, es fundamental la rapidez.
Por último, sobre la exoneración de responsabilidad de los administradores, ha incidido en la importancia de lo que se recoge en las actas de las juntas.
Como conclusiones de su ponencia, ha destacado tres puntos:
- Los administradores son los responsables de la ciberseguridad de las empresas. Es una responsabilidad de gestión empresarial.
- Hay una necesidad de establecer un procedimiento o plan de prevención frente a los ataques informáticos. Hay que conseguir establecer una cultura corporativa de prevención para evitar los ataques cibernéticos.
- Los despachos de abogados pueden ser la puerta de atrás para los hackers para conseguir documentación de los clientes.
La Ciberseguridad como asunto de seguridad nacional
“La ciberseguridad como asunto de seguridad nacional” ha sido el tema de la ponencia de Mar López, del departamento de Seguridad Nacional de Presidencia del Gobierno, que ha destacado que vivimos en una sociedad conectada en un mundo global y que el mayor acceso que hay a la tecnología o la hiperconectivad son oportunidades, pero a la vez también aumentan los riesgos para la ciberseguridad.
Respecto a la ciberseguridad en España, ha explicado que la ‘Estrategia de ciberseguridad nacional’ intenta poner orden en las funciones, funcionamiento y objetivos de los organismos dedicados a la ciberseguridad; por su parte, el Consejo Nacional de Ciberseguridad es un órgano de asesoramiento en materia de ciberseguridad al Consejo Nacional de Seguridad, es el órgano en el que se dan las directrices de la ciberseguridad en España.
Tras ofrecer algunos datos del Informe de Seguridad Nacional de 2016, ha concluido señalando que próximamente habrá una actualización de la Estrategia Nacional de Ciberseguridad, puesto que una directiva de la UE lo pide.
La responsabilidad del empresario ante las nuevas obligaciones de protección de datos
La responsabilidad del empresario ante las nuevas obligaciones de protección de datos fue el tema abordado por Jorge Villarino, socio de Vinces, en la cuarta ponencia. Villarino recordó que el principio reglamentario de responsabilidad requeriría expresamente que los responsables del tratamiento de datos aplicaran medidas adecuadas y eficaces para poner en práctica los principios y obligaciones de la Directiva y demostrar este extremo cuando se les solicitara.
Jorge Villarino, quien también e miembro de la Comisión Jurídica del Consejo General de la Abogacía, ha centrado su intervención en el principio de responsabilidad activa recogido en el Reglamento General de Protección de Datos. Ha señalado que, según muchas instituciones, este principio de responsabilidad activa es una de las principales novedades del Reglamento, aunque Villarino explicó que este principio ya se encontraba en otros documentos anteriores al Reglamento.
Villarino ha subrayado la importancia de la protección de datos y los efectos negativos que una fuga de los mismos supone, y ha señalado que la cultura de la protección de datos debe estar presente en todas las compañías, aunque se debe adaptar a las particularidades de cada una, por lo que las medidas de seguridad serán distintas en función de la labor que realice la compañía.
Mesa redonda: reinterpretando la responsabilidad
A continuación, se ha desarrollado una mesa redonda titulada “Reinterpretando la responsabilidad”. Moderada por Efrén Díaz, de Bufete Mas Calvet, ha contado con la participación de Stephan Fuetterer, experto en comunicación; Alfonso Urquijo, subdirector general de Willis; y Elisa de la Nuez, secretaria general de la Fundación Hay Derecho.
En opinión de Stephan Fuetterer, uno de los mayores ahorros para una empresa es evitar una crisis. Centrándose en el campo de la ciberseguridad, ha señalado que la palabra “despiste” es una de las que mejor describe lo que ocurre en este ámbito y ha reprochado que los consejos de dirección no son conscientes de hasta qué punto es importante la ciberseguridad.
A juicio de Efrén Díaz, la gestión de las crisis de ciberseguridad debe ser necesariamente multidisciplinar. Además, ha señalado que los incidentes de ciberseguridad trascienden a la técnica.
Alfonso Urquijo ha expuesto qué hacer cuando ya ha acontecido el incidente de ciberseguridad, aclarando que determinar los riesgos de ciberseguridad reales y la monetización de esos riesgos es algo muy complejo.
Elisa de la Nuez ha centrado su intervención en las responsabilidades desde la perspectiva de la integridad con una perspectiva amplia, no solo desde la ciberseguridad. En este sentido, ha destacado que la integridad no es solo un problema legal, sino que también tiene un componente ético fundamental y ha añadido que la integridad siempre es un proceso largo y constante, es más un camino que un objetivo.
La Jornada también pudo seguirse por videostreaming previa inscripción.