Polémica abierta: ¿quién debe gestionar la crisis de una empresa derivada por una brecha de seguridad?

Las brechas de seguridad se han convertido en uno de los quebraderos de cabeza de empresas y expertos en derecho tecnológico. Desde la AEPD, explican a Economist & Jurist que reciben una media de 1500 notificaciones de brecha de seguridad al año, de las que una parte reciben sanción por no tener las medidas adecuadas para evitar dichos incidentes.

Es el propio Reglamento General de Protección de Datos (RGPD) que establece la obligación que tienen los responsables que tratan datos personales de notificar a la autoridad de control competente la existencia de una brecha de datos, sin dilación indebida y en un plazo máximo de 72 horas desde que haya tenido constancia de la misma, salvo que sea improbable que dicha brecha de seguridad constituya un riesgo para los derechos y libertades de las personas.

El liderazgo de las brechas de seguridad, entre el Comité de Crisis creado en la empresa de carácter multidisciplinar o bajo el liderazgo del abogado experto en tecnología fue uno de los debates de este X Congreso de ENATIC que tuvo lugar este jueves en Madrid.

En una mesa redonda moderada por Francisco Pérez Bes, exsecretario general de INCIBE y socio de Ecix Group, expertos como Luis Serrano director general de Señor Lobo & Friends, experto en gestión de crisis; Oscar Sánchez, DPO de Autopistas empresa del Grupo Abertis; y Jordi Ferrer, socio director de Cyberlaw , abordaron esta cuestión clave para las empresas.

De ida a dcha (debate en ENATIC,): Luis Serrano, experto en gestión de Crisis; Francisco Perez Bes, socio de Ecix Group. moderador; Oscar Sanchez, DPO de Abertis; y Jordi Ferrer, abogado consultor experto en privacidad. Todos coinciden en que las empresas deben contar con un protocolo frente a las brechas de seguridad (Foto: ENATIC)

En su intervención, Oscar Sánchez, desde el punto de vista empresarial recordó que hay dos tipos de empresas: “Las que han sufrido brechas de seguridad y las que lo sufrirán en el futuro. En este contexto es fundamental contar con una estrategia previa que sepamos que pueda minimizar el impacto de dicha brecha de seguridad.

A su juicio, es fundamental “definir los papeles en esos momentos de crisis del Delegado de Protección de Datos de la empresa (DPO) del responsable de seguridad (CISO) y de cada responsable de departamento. Se trata de tener claro cómo vamos a desarrollar nuestro protocolo interno. En algunos casos se pueden hacer simulacros de crisis para entrenar este protocolo”.

Por su parte, Jordi Ferrer, reivindicó el papel del abogado en estos momentos de crisis como eje del liderazgo de la compañía para responder a estos momentos críticos, “sobre todo en grandes y medianas empresas, los abogados expertos en estos temas debemos liderar la gestión de los incidentes de seguridad y ser parte clave del Comité de Crisis que se ponga en marcha”.

Gracias a su experiencia en el asesoramiento a terceros sobre estas brechas de seguridad, Ferrer cree que “las empresas tienen mucho que mejorar en la gestión y detección de estas brechas de seguridad”. A este efecto, considera necesario implementar programas de formación continua de cara a explicar al empleado de cada firma qué papel juega en cada crisis y como puede minimizar los riegos ante una crisis de este tipo”.

La exposición de Luis Serrano, conocido experto en gestión de comunicación de todo tipo de crisis, sirvió para explicar la importancia de gestionar en el momento este tipo de incidentes: “Hay que darse cuenta que el 80% de una crisis de este tipo tiene que ver con la comunicación. Es fundamental contar con nuestro entorno más inmediato, clientes, proveedores, la propia administración o nuestros competidores que pueden ser un problema en dicha gestión de la crisis”.

Serrano es partidario de que ese comité multidisciplinar sea el eje de respuesta de la empresa ante la citada brecha de seguridad “hay que darse cuenta que no hay soluciones estándar, cada crisis hay que afrontarla de forma específica y adaptar nuestro protocolo a su desarrollo. En este contexto es clave la relación con el regulador, con el que hay que mantener una relación fluida haya o no, brecha de seguridad”.

La importancia de los informes forenses

Entre los asistentes a este X Congreso de ENATIC, Eloy Velasco, Magistrado de la Sala de Apelación de la Audiencia Nacional y juez formado en el campo de las tecnologías, ponente de otra mesa redonda, explica que en ese debate entre Comité de Crisis y liderazgo del abogado debe existir una comunicación fluida entre ambas posibilidades.

Eloy Velasco, magistrado de la Audiencia Nacional: “Los informes periciales son claves para recurrir ante los tribunales una sanción por brecha de seguridad” (Foto: Archivo)

También nos aclara que a distintos órganos judiciales les llegan las reclamaciones de las empresas no contentas con las multas que impone el regulador como es la AEPD: “En muchos de estos casos y ante la falta de formación tecnológica de los jueces, son los informes periciales claves para poder analizar si esa sanción fue bien impuesta”.

Esta jurista nos aclara que en materia de protección de datos están siendo los jueces de lo Contencioso-Administrativo quienes analizan dicha sanción, aunque también en penal se encuentra alguna prueba con carácter tecnológico: “Ahora lo que se está desarrollando es un corpus jurídico muy interesante que entre este año y el año que viene que abordará los grandes temas troncales de la digitalización”.

Así, este magistrado destaca que “la normativa de medios de pago, reglamento MICA; la identidad digital con el reglamento Eidas, todo la normativa relacionada con la ciberseguridad, el reglamento de IA y el propio RGPD que se va a complementar con los datos en movimiento o la Digital Services Act que acaba de aprobar”.

Desde su punto de vista, “se está creando un corpus jurídico novedoso en que cualquier persona que considere que tiene una brecha tecnológica en un año se va a poner al día. Es importante no tener miedo al desarrollo tecnológico, en un año va a cambiar todo a nivel regulatorio. Con estudiarse estas directivas se pueden poner al día. Europa está haciendo un esfuerzo regulador que no hace ni China ni EEUU”.

A su juicio, “en una situación de brecha de seguridad es importante a la hora de recurrir esa sanción presentar toda la documentación relacionada con ese hecho que demuestre que nuestra empresa había desarrollado distintas medidas de seguridad. Para ello es importante contar con peritos expertos forenses que puedan aportar su visión documentada del asunto”.

Falta diligencia para gestionar las brechas

Por su parte Jesus Fernández, abogado experto en privacidad y Delegado de Protección de Datos y Speaker en materia de Derecho Digital en distintas empresas en Andalucía, destaca que “las empresas son poco diligentes a la hora de gestionar sus brechas de seguridad. En mi caso, recibimos la llamada de la compañía afectada cuando ha sucedido el incidente”.

Jesus Fernández: “Es importante el papel de los profesionales de comunicación en la gestión de las crisis” (Foto: Archivo)

Para este jurista, “es importante que el Comité de Crisis en el que es lógico que esté el Delegado de Protección de Datos y el responsable de seguridad (CISO) formen parte del mismo y sepan qué tienen que hacer. Es muy importante diseñar ese plan de forma específica. Cada empresa tiene un protocolo y no hay soluciones generales para todas las empresas”.

En su opinión, “los programas formativos internos ayudan a que los profesionales de cada empresa conozcan los riesgos que pueden generar esos incidentes de seguridad. Cuanta más y mejor formación se imparta en el seno de las empresas menos riesgos habrá. En este contexto es importante saber que brechas y de qué forma hay que notificar al regulador porque no todas deben publicitarse”.

Sobre el debate abierto de quién debe gestionarlo, Fernández considera que “es importante que la empresa tenga su Comité de Crisis, en el que el abogado experto en tecnología de la firma, o en su defecto, el asesor externo de esa empresa forme parte del mismo con otros componentes”.

Desde su punto de vista, “siempre es bueno que haya un profesional que lidere la forma de actuar. Todo depende la empresa en si. Las empresas públicas están obligadas a tener un Comité de Seguridad mientras que las privadas tienen más libertad para ello. No puede olvidarse que los Comités de Crisis son útiles porque engloban a profesionales de toda la empresa”.

Sobre el comentario de Luis Serrano, uno de los ponentes de que el 80 por cien de cada crisis tiene que ver con la gestión de la comunicación de esa crisis, Jesús Fernández destaca que “es importante el papel de los profesionales de la comunicación. Hay que saber gestionar estas incidencias a nivel externo, en cuanto al publico en general y aliados de la compañía”.

Hay que tener un plan

Para Paz Martin, socia directora de Legal Things Abogados, destaca que “parece que está claro la necesidad de que las empresas cuenten con equipos multidisciplinares que gestionen dichas brechas de seguridad. Lo que no hay consenso es si es el abogado que debe gestionar dicha gestión o debe dejárselo al Comité de Crisis de la compañía diseñado para estas ocasiones”.

Paz Martin: “La relacion con la AEPD no es sencilla y hay que saber gestionarla cuando hay una brecha de seguridad“ (Foto: Legal Things Abogados)

Esta experta advierte que “una brecha de seguridad pone a prueba la solidez de una empresa.  Es necesario tener un plan para afrontar ese conflicto y el propio compromiso de la dirección. Hay que gestionar la crisis desde diferentes perspectivas, tanto a nivel de seguridad, tecnológico o jurídico con todos los riesgos de conlleva, sin olvidar el reputacional desde el punto de vista de la comunicación”.

Sobre la gestión de la crisis, Martín revela que “muchas empresas no están preparadas ante una situación que puede llegar en cualquier momento. No tienen un plan o no lo tienen implementado de forma clara. Junto a ello está claro que hay temor a comunicarse con el regulador, en este caso la AEPD. La relación con el regulador no es sencilla y hay que saber gestionarla”.

A su juicio “hay un cambio de tendencia en el regulador, eso hace que pocas brechas de seguridad acaben en sanción hacia la empresa infractora. El abogado debe explicar a la empresa lo que tiene que hacer y aclrar que ante falta de medidas de seguridad en nuestra compañía es lógico que recibamos una sanción por parte de la AEPD”.

Otra cuestión que preocupa a las empresas con la gestión de las brechas de seguridad es el posible daño reputacional que puede generar dicha falla en el sistema de seguridad de las empresas: “Es importante actuar con rapidez para mitigar ese riesgo reputacional. Hace unos días el Parlamento Europeo tuvo un ciberataque, otra cuestión es saber cómo lo afrontan, cuestión que no suele trascender en este tipo de instituciones”.