«Wanna cry, ¿quién pagará los platos rotos?», artículo de César Zárate, abogado de ECIJA, para LegalToday.
El 12 de mayo de 2017 el mundo empresarial sufrió uno de los ciberataques más virulentos conocidos hasta la fecha. Para la gente que haya estado completamente desconectada las últimas dos semanas facilitaré algunos datos básicos: Wanna Cry es un virus de la modalidad randsomware que ha afectado a más de 200.000 equipos situados en más de 150 países, encriptando infinidad de archivos y solicitando como rescate una recompensa en bitcoins.
Aunque finalmente la recompensa que han conseguido los autores de la extorsión digital no ha superado los 100.000 $, los daños ocasionados a sus víctimas podrían ser millonarios.
Nuevamente se ha vuelto a demostrar que toda la información que guardamos en ordenadores personales, en los servidores de nuestras empresas, en soluciones mixtas o en la nube es susceptible de sufrir en cualquier momento un ciberataque.
Ahora bien, ¿quién debe hacer frente a los daños y perjuicios ocasionados?
Habitualmente nos encontraremos con la imposibilidad de identificar a los autores del ataque y de encontrar a sus responsables principales. Sin embargo, sea cual sea la identidad de los mismos o incluso permaneciendo en el anonimato, podría determinarse la existencia de otros sujetos corresponsables.
Pongamos un ejemplo, imaginemos que una de las víctimas del ataque era un despacho de abogados que no contaba con un back-up de la información encriptada por el virus y su pérdida ha traído como consecuencia que uno de sus clientes no haya podido llevar a cabo la compraventa de una compañía, ocasionándole importantes pérdidas económicas.
En primer lugar, podríamos descartar la responsabilidad penal del despacho de abogados como persona jurídica toda vez que en ningún caso se cumpliría el elemento esencial del beneficio directo o indirecto previsto en el artículo 31 bis del Código Penal.
Cuestión distinta sería la posibilidad de una reclamación de índole civil contra el despacho iniciada por su cliente, o incluso la sanción administrativa que la Agencia Española de Protección de Datos podría imponerle con motivo de la vulneración del artículo 9 de la LOPD en relación a la falta de medidas de seguridad de índole técnica.
En ambos escenarios, el despacho de abogados deberá acreditar que ha sido diligente a la hora de cumplir con su obligación de custodiar la documentación del cliente. A los anteriores efectos, habrá que estar a lo establecido en la hoja de encargo profesional o contrato de prestación de servicios suscrito entre las partes, por lo que es muy recomendable para no dar cabida a la interpretación, que este contrato incluya de forma detallada las obligaciones de las partes en materia de protección de los datos personales e información secreta del cliente así como en relación a las medidas de seguridad de índole técnica a implementar. De tal forma que si el despacho de abogados es capaz de acreditar el cumplimiento de las obligaciones pactadas podrá blindarse ante reclamaciones de carácter civil.
La ausencia de las citadas cláusulas no supone la ausencia de la obligación toda vez que sería aplicable lo dispuesto por el artículo 13.12 del Código Deontológico de la profesión de la Abogacía que establece la existencia del deber de custodiar la documentación entregada por su cliente y tenerla siempre a su disposición.
Haga clic aquí para acceder a la versión completa del artículo.