Internet es el sistema de comunicación que mayor crecimiento experimenta, tanto por el número de usuarios como por el cada vez mayor número de dispositivos inteligentes que se conectan, interactúan y dependen de la red. Como resultado, cada vez más empresarios desarrollan su actividad adhiriendo íntegramente sus sistemas a la red -sistemas informáticos, líneas de producción, software, etc. El derecho no es -ni debe ser- ajeno a los problemas legales que pueden darse con una la red que evoluciona a un ritmo enorme.
Esto llevó al legislador a atender el problema de la Ciberdelincuencia mediante la tipificación de una serie de delitos de corte estrictamente tecnológico, cuyo objeto es castigar tanto el daño informático como la obtención del dato personal o reservado que el sistema atacado pueda incorporar. Ello implica no solo responder penalmente a los ciberataques más graves sino también ajustar nuestro sistema penal a la normativa europea (Directiva 2013/40/UE, relativa a los ataques contra los sistemas de información y por la que se sustituye la Decisión Marco 2005/222/JAI del Consejo y Convenio del Consejo de Europa sobre Cibercriminalidad de 23 de noviembre de 2001) impulsora de la armonización jurídico penal entre los estados miembros.
Junto con ese impulso legal, asistimos actualmente a una nueva ola de legislación europea con la vocación de regular la necesaria «ciberseguridad», y ejemplo de ello es la Directiva 2016/1148 que tiene por objetivo formalizar un «planteamiento global en la Unión que integre requisitos mínimos comunes en materia de desarrollo de capacidades y planificación, intercambio de información, cooperación y requisitos comunes de seguridad para los operadores de servicios esenciales y los proveedores de servicios digitales» o el Reglamento (UE) 2016/679 del Parlamento Europeo que establece, entre otras, la obligación de notificar en un plazo de 72 horas las violaciones de seguridad de los datos personales a la autoridad de control e incluso notificarle al propio interesado si dicha violación comportara un alto riesgo para los derechos y libertades de las personas físicas.
En el marco de las relaciones privadas entre las empresas, sus proveedores y clientes, presenciamos la ilegítima injerencia de hackers en los negocios que atentan frente al normal desarrollo de la relación jurídica. La diligencia y/o conducta que adopten los empresarios frente a los riesgos de un ciberataque (prevención) y las medidas que adopten una vez sufrido uno (reacción) marcarán las eventuales responsabilidades contractuales entre los particulares que vean afectados sus negocios jurídicos a través de, por ejemplo, el secuestro de líneas de producción contactadas a la red (ransomware) generando pérdidas de eficiencia y retrasos en los pedidos, el hackeo de la cuenta de correo de un empleado que se utiliza para solicitar a clientes -sin su conocimiento- el pago en una cuenta del cibercriminal, e, incluso, la suplantación de la identidad de los CEO de grandes empresas mediante las cuales los hackers dan órdenes a empleados de transferencia de fondos a cuentas de cibercriminales sin que el empleado sea consciente de la suplantación.
En conclusión, cuanto mayor sea la integración de la compañía con la red, los datos susceptibles de ser robados y su sensibilidad, mayor diligencia y medidas deberán emplear las empresas para proteger sus sistemas de posibles ciberataques; criterio que previsiblemente distribuirá las eventuales responsabilidad civiles que nazcan de incumplimientos contractuales provocados por la ciberdelincuencia.
