Documentos de Académico
Documentos de Profesional
Documentos de Cultura
www.ismsforum.es www.enatic.org
C/ Castell, 24, 5 Dcha. Esc. 1 Paseo de Recoletos, 13
28001 Madrid 28004 Madrid
T.: +34 91 186 13 50
Copyright y derechos:
C. Jurisdiccin competente.......................................................................................... 25
IV. Anlisis de la eventual responsabilidad de la empresa proveedora de servicios Cloud, SCADA, etc.
........................................................................................................................................ 69
Introduccin. ................................................................................................................. 69
V. Actuaciones reactivas de las Fuerzas y Cuerpos de Seguridad despus del ataque (Investigacin,
Polica, Fiscala, Guardia Civil) ............................................................................................... 74
VI. Especial mencin a la proteccin de la informacin de los clientes en los despachos de abogados 78
II. Mejoras operativas: colaboracin pblico privada: la labor de los CERTs, investigacin de las
Fuerzas y Cuerpos de Seguridad, colaboracin internacional, reserva de la confidencialidad y
salvaguarda de la reputacin corporativa. ............................................................................... 87
III. Protocolo de denuncia ante un ciberataque y medidas para ser ms eficiente en la gestin
posterior y minimizar impactos. ............................................................................................. 91
Revisores
Eloy Velasco
Lucas Blanque
Toms Gonzlez
Coordinadores
Carlos Alberto Saiz
Francisco Prez Bes
4
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
Es sabido que hace tiempo que la ley llega tarde, que el legislador
trata de resolver con largas e intrincadas normas los retos que
plantean las mencionadas tecnologas, lo que demuestra que, en
ocasiones, parece olvidar que las exigencias que plantean para el
Derecho dichas tecnologas son, en muchos casos, atendibles con
las clsicas categoras jurdicas. Tal podra ser el caso del instituto
de la responsabilidad. Pero no es menos cierto, en cualquier caso,
5
que determinadas cuestiones s merecen un nuevo enfoque que
revista de caracteres especficos aquellos aspectos que merecen un
tratamiento particularizado por razones derivadas de su especial
significacin para la comunidad, para el Estado en su conjunto.
6
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
Carlos Carnicer
Presidente del Consejo General de la Abogaca Espaola
7
Prlogo del Instituto Nacional de Tecnologas de la
Comunicacin
8
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
10
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
Supuesto de hecho
11
las infraestructuras crticas, manifiesta no haber recibido
instruccin alguna del CNPIC ni de otros organismos de las
AA.PP. espaolas, sobre la necesidad de cumplimiento o
controles a cumplir.
12
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
13
10) El 13 de Septiembre de 2013 (Viernes), a las 09:00 horas, el
personal encargado de la central energtica que presta
servicios a la Comunidad de Madrid, percibi un
comportamiento anmalo en los sistemas de la planta, que
reciban la orden de apagarse desde el centro de control.
Alertado dicho centro de la situacin, se verific que esta no
era debida a un error humano, y se inici el protocolo de
reencendido de los sistemas de generacin de energa
elctrica, si bien este no pudo ser ejecutado correctamente
por anomalas en los sistemas del centro de control, que
continuaban emitiendo dicha orden de apagado.
14
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
14) Este tcnico tena adems acceso a los sistemas del centro
de control, a los que en ocasiones acceda de manera remota
desde su PC ubicado en el rea de oficinas, por pura cuestin
prctica, ya que eso evita desplazamientos para tareas
puntuales. Los registros del sistema SCADA no revelan haber
recibido rdenes legtimas procedentes del PC del tcnico en
el momento del ataque, ni de otros PCs de usuarios
15
similares. El equipo tcnico de la central, buscando posibles
explicaciones, encuentra en un conocido sitio de Internet
(scadahacker.com) vulnerabilidades publicadas con exploits
conocidos que podran afectar a sus sistemas, de acuerdo a
las versiones del software instaladas en la central, por lo que
creen que su sistema pudo haber sido atacado y que ello
motivara el comportamiento anmalo mostrado.
16
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
17
dao o la causa de los perjuicios, o bien conjuntamente con la
accin penal.
18
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
B. Ley aplicable
1
Nmero 3 del artculo 197 introducido en su actual redaccin por el apartado quincuagsimo tercero del
artculo nico de la L.O. 5/2010, de 22 de junio, por la que se modifica la L.O. 10/1995, de 23 de
noviembre, del Cdigo Penal (B.O.E. 23 junio)
20
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
Sea cual fuese la tcnica utilizada por los atacantes, se produce una
intrusin para obstaculizar o interrumpir el funcionamiento del
sistema informtico que controla los procesos industriales de la
infraestructura. Dicha modalidad de sabotaje est expresamente
prevista en el artculo 264.2 CP como modalidad de daos
informticos por interrupcin de sistemas.
2
Artculo 264 redactado por el apartado sexagsimo sptimo del artculo nico de la L.O. 5/2010, de 22 de
junio, por la que se modifica la L.O. 10/1995, de 23 de noviembre, del Cdigo Penal (B.O.E. 23 junio)
21
de hecho analizado un caso de difcil encaje penal debido a la
especfica naturaleza de la industria afectada. As, al tratarse EEES
de una empresa que gestiona una infraestructura crtica, el ataque
supone una afectacin a los intereses generales de notoria
gravedad. Es de aplicacin incluso la modalidad agravada del delito
de daos informticos del artculo 264.3 CP por ese especial
resultado daoso producido.
22
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
24
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
C. Jurisdiccin competente
25
(sus Juzgados Centrales de Instruccin, y luego, para la vista oral
los Centrales de lo Penal).
26
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
Responsabilidad Contractual
Se plantea si la interrupcin del suministro de electricidad,
provocado por un ataque de terceros a los sistemas informticos de
una empresa, cuya actividad se desenvuelve en el marco de las
obligaciones de prestacin de un servicio de suministro que debe ser
entendido como un producto (art. 136 TRLGDCYU), y que debe ser
entregado con la debida calidad y sin interrupciones (art. 48 de la
Ley 54/1997)3, generara para sus clientes consumidores finales4 del
3
SAP de Granada, de 22 de septiembre de 2006: el citado Real Decreto regulador del Suministro de
Energa elctrica, al regular las consecuencias del incumplimiento de la calidad de servicio individual
en su art. 105 y los descuentos que ello supone para los consumidores", dejan establecido en su
apartado 7 que "sin perjuicio de las consecuencias definidas en los prrafos anteriores, el consumidor
afectado por el incumplimiento de la calidad de servicio individual, podr reclamar, en va civil, la
indemnizacin de daos y perjuicios que dicho incumplimiento le haya causado", con lo que se
evidencia que dicha normativa no altera los principios generales de la responsabilidad contractual o
27
sector privado, el derecho a obtener una indemnizacin por daos y
perjuicios, bajo la premisa de un incumplimiento contractual, y bajo
qu condiciones.
extracontractual del cdigo civil, que pueden exigirse a dichas entidades en cualquiera de dichas vas,
dado el concepto unitario de la culpa civil (sentencia del Tribunal Supremo de 6 de abril de 1998) con
la posibilidad de aplicar las normas de concurso de ambas responsabilidades que ms se acomoden al
caso, siempre en favor de la vctima, y para el logro de su resarcimiento del dao lo ms completo
posible (Sentencia del Tribunal Supremo de 15 de febrero de 1993).
4
SAP de Len, de 11 de marzo de 2010: La demandante no tiene la condicin de consumidora por su
condicin de empresaria: persona fsica o jurdica que acte en el marco de su actividad empresarial o
profesional (art. 4 del Real Decreto Legislativo 1/2007, de 16 de noviembre (LA LEY 11922/2007), por
el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y
Usuarios y otras leyes complementarias). Y como dispone el art. 3 del citado Real Decreto Legislativo,
slo son consumidores o usuarios las personas fsicas o jurdicas que actan en un mbito ajeno a una
actividad empresarial o profesional. Estos preceptos se citan para descartar las normas de proteccin
de consumidores y usuarios y la doctrina de los Tribunales que las aplican, y alguna de las cuales son
citadas en el recurso interpuesto.
5
Art. 129.1 TRLGDCYU. El rgimen de responsabilidad previsto en este libro comprende los daos
personales, incluida la muerte, y los daos materiales, siempre que stos afecten a bienes o servicios
objetivamente destinados al uso o consumo privados y en tal concepto hayan sido utilizados
principalmente por el perjudicado.
6
Adems, el art. 105 del RD 1955/2000, por el que se aprueba el Reglamento de Transporte,
Distribucin, Comercializacin, Suministro y Procedimientos de Autorizacin de Instalaciones de
Energa Elctrica; y en el art. 8 de la Orden del Ministerio de Economa 797/2002, de 22 de marzo, por
la que se aprueba el procedimiento de medida y control de la continuidad del suministro elctrico.
28
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
7
SAP de Madrid, de 24 de marzo de 2010, tras estudiar los tres regmenes de responsabilidad antes
mencionados, afirma: el debate se ha de centrar en acreditar la existencia de la alteracin en el
suministro que se alega en la demanda, y acreditado tal extremo, as como el nexo de causalidad
entre el mismo y el dao, proceder declarar la responsabilidad de la entidad demandada y su
obligacin de reparar el dao causado, sin necesidad de indagar acerca de las causas que hubieran
determinado la indicada alteracin porque no afectaran a la referida responsabilidad. En similar
sentido, la SAP de Las Islas Baleares, de 15 de abril de 2010: ... la conclusin lgica y coherente con
los hechos probados es que la causa de los daos fueron las alteraciones habidas en el suministro
elctrico, no habindose acreditado por la entidad suministradora, como le incumba, que o bien esas
alteraciones no existieron o que, resultando existentes, se debieron a una causa ajena a su mbito de
responsabilidad o que, en su caso, adopt todas las medidas a su alcance para evitar este tipo de
incidencias a sus clientes, pues no debe olvidarse que la demandada como garante legal del
suministro constante de energa elctrica y con determinada calidad, que debe asegurar, le
corresponde demostrar el cumplimiento correcto de tal obligacin cuando un usuario acredita haber
sufrido perjuicios derivados de la interrupcin del suministro o su deficiente aporte.
8
RD 223/2008, de 15 de febrero, por el que se aprueban el Reglamento sobre condiciones tcnicas y
garantas de seguridad en lneas elctricas de alta tensin y sus instrucciones tcnicas
complementarias ITC-LAT 01 a 09.
9
SAP de Len, de marzo de 2010: solo un hecho externo y violento puede justificar la rotura, tal y
como se explica en la sentencia recurrida, y de hechos ajenos a la propia suministradora no puede
responder sta, como ya hemos expuesto. El sistema de conduccin de energa elctrica debe de
estar dotado de elementos y materiales resistentes, pero la resistencia de los elementos y materiales
tiene lmites que, cuando se sobrepasan, dan lugar a la rotura. En este caso, como se ha indicado, el
nmero de elementos daados y su simultnea interaccin revela la intervencin de un agente
externo lo suficientemente intensa como para provocar la rotura de materiales cuya idoneidad no ha
sido cuestionada ni puesta en duda por el nico perito que ha emitido informe.
29
por imperativo legal (art. 41.1 y 99 y ss. Decreto 1955/2000) 10.
Por tanto, en el caso de que EEES no pudiera acreditar debidamente
que cumpli con las garantas necesarias para proteger la prestacin
del servicio con calidad y sin interrupciones, entraran en juego
todas las normas de defensa de los consumidores y podra exigirse
responsabilidades econmicas al prestador del servicio, como si de
un producto defectuoso se tratase.
Responsabilidad Extracontractual
En caso de existir afectados por el corte de suministro que no
fuesen parte contratante directa del servicio (art. 1902 C.C.),
podran stos exigir la imputacin de responsabilidad objetiva a
EEES, por la simple obligacin genrica que tiene de no causar
dao a otro y, como se ha dicho, por suponer por si misma esta
concreta actividad una situacin de peligro o riesgo.
10
P.ej. las SAP de Castelln, de 4 de febrero de 2010 y de Mlaga, de 11 de marzo de 2010, sobre la
necesidad de una suficiente acreditacin de que los daos provienen de la intervencin de tercero.
30
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
11
Sin perjuicio de lo anterior, en el caso de que en los territorios no peninsulares, se produjeran
situaciones de riesgo cierto para la prestacin del suministro de energa elctrica o situaciones de las que
se pueda derivar amenaza para la integridad fsica o la seguridad de las personas, de aparatos o
instalaciones o para la integridad de la red de transporte o distribucin de energa elctrica, las medidas
all previstas podrn ser tambin adoptadas por las comunidades o ciudades autnomas afectadas,
siempre que se restrinjan a su respectivo mbito territorial. En dicho supuesto, tales medidas no tendrn
repercusiones econmicas en el sistema elctrico, salvo que existiera acuerdo previo del Ministerio de
Industria, Energa y Turismo que as lo autorice (art.7.5 de la Ley 24/2013, de 26 de diciembre, del Sector
Elctrico).
33
que, el incumplimiento de estas condiciones y requisitos
pueden dar lugar a la revocacin de la autorizacin
correspondiente (art.53.10 de la Ley 24/2013). Esto se
entiende sin perjuicio de la aplicacin del especfico rgimen
sancionador dispuesto en el ttulo X de esta Ley.
35
a 6.000.001 euros ni superior a 60.000.000 de euros 12. Tambin
aqulla podra resultar sancionada como grave por aplicacin de lo
previsto en el art.65 apartados 8, 9 y 17, lo que supondra una
posible multa importe no inferior a 600.001 euros ni superior a
6.000.000 euros. Asimismo, en ambos casos, podran aplicarse
sanciones accesorias como la suspensin, revocacin o no
renovacin de las autorizaciones durante un perodo no superior a
tres aos en su caso (art.68 de la Ley 24/2013), y aplicarse otras
medidas complementarias como la restitucin de las cosas o su
reposicin al estado natural anterior al inicio de la actuacin
infractora, y si concurrieran daos, y dicha reposicin no fuera
posible, se exigira una indemnizacin por daos y perjuicios
irrogados (art.69 de la Ley 24/2013).
12
En cualquier caso la cuanta de la sancin no podr superar el 10 por ciento del importe neto anual de la
cifra de negocios del sujeto infractor, o el 10 por ciento del importe neto anual de la cifra de negocios
consolidada de la sociedad matriz del grupo al que pertenezca dicha empresa, segn los casos (art.67.2 de
la Ley 24/2013).
36
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
37
AA.PP. espaolas competentes en este mbito, respecto a la
necesidad de cumplimiento de la LPIC y su normativa de desarrollo,
se destaca que:
*EEES en tanto operador crtico deba contar, como mnimo, con los
oportunos Planes de Seguridad y los Planes de Proteccin
Especficos, los que parecen inexistentes, y actuar conforme a los
mismos en este tipo de incidentes, as como colaborar con las
autoridades competentes del Sistema, con el fin de optimizar la
proteccin de las infraestructuras crticas que gestiona.
38
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
13
http://www.boe.es/boe/dias/2011/04/29/pdfs/BOE-A-2011-7630.pdf
39
diciembre, sobre la identificacin y clasificacin de Infraestructuras
Crticas Europeas y la evaluacin de la necesidad de mejorar su
proteccin14, y se desarrolla reglamentariamente por el Real Decreto
704/2011, de 20 de mayo15 (el Reglamento).
14
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2008:345:0075:0082:ES:PDF
15
http://www.boe.es/boe/dias/2011/05/21/pdfs/BOE-A-2011-8849.pdf
16
La Ley PIC define los sectores estratgicos como cada una de las reas diferenciadas dentro de la
actividad laboral, econmica y productiva, que proporciona un servicio esencial o que garantiza el ejercicio
de la autoridad del Estado o de la seguridad del pas. Su categorizacin viene determinada en el anexo de
la Ley PIC y abarca los siguientes sectores: administracin, espacio, industria nuclear, industria qumica,
instalaciones de investigacin, agua, energa, salud, tecnologas de la informacin y las comunicaciones
(TIC), transporte, alimentacin y sistema tributario y financiero.
40
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
17
www.cnpic-es.es/
41
Secretara de Estado de Seguridad, a travs del CNPIC; (ii)
colaborar en la elaboracin de los Planes Estratgicos Sectoriales;
(iii) elaborar el Plan de Seguridad del Operador, as como el Plan de
Proteccin Especfico para cada una de las infraestructuras crticas;
(iv) designar a un Responsable de Seguridad y Enlace; (v) designar
un Delegado de Seguridad por cada infraestructura crtica; y (vi)
facilitar las inspecciones que las autoridades competentes lleven a
cabo.
18
Sin perjuicio de este marco legislativo principal, no debemos olvidar la aplicacin de multitud de
normativa conexa a las ya citadas anteriormente, tanto desde la perspectiva de su aplicacin general a
todos los sectores estratgicos (v.gr.: legislacin relativa a proteccin civil, intervencin militar de
emergencia, etc.), como en el caso particular del sector energtico (normativa aplicable a los subsectores
de la electrificad, el gas o los hidrocarburos).
42
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
19
Artculo 13bis de la Directiva, implementado en derecho espaol por el artculo 36 bis de la Ley 32/2003,
de 3 de noviembre, General de Telecomunicaciones: Artculo 36 bis. Integridad y seguridad de las redes y
de los servicios de comunicaciones electrnicas.
43
parte, la Directiva 2002/58/CE (Directiva de Privacidad y
comunicaciones electrnicas) exige que los proveedores de servicios
de comunicaciones electrnicas accesibles para el pblico tomen las
medias tcnicas y de organizacin necesarias para velar por la
seguridad de sus servicios.
20
Directiva 2002/58/CE modificada por la Directiva 2009/136/CE.
44
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
21
Bruselas, 7.2.2013 COM(2013) 48 FINAL 2013/0027(COD)
22
Al estar sometidas a su normativa especfica, se excluyen de esta norma tanto los proveedores de
servicios de confianza como las redes y servicios de comunicaciones electrnicas, que se someten a su
regulacin especfica de la Directiva 2002/21/CE (Directiva Marco).
48
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
23
El responsable del fichero o tratamiento es la persona fsica o jurdica, de naturaleza pblica o privada, u
rgano administrativo que, solo o conjuntamente con otros, decide sobre la finalidad, contenido y uso del
tratamiento, aunque no lo realice materialmente [Artculo 3.d) LOPD y Artculo 5.1.q) del Reglamento de
desarrollo de la LOPD, aprobado por Real Decreto 1720/2007, de 21 de diciembre (RLOPD)]. De
conformidad con esta definicin, EEES se configurara como responsable de tratamiento respecto de los
datos personales de sus clientes.
50
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
24
Artculo 9 LOPD (que transpone el Artculo 17.1 de la Directiva 95/46/CE del Parlamento Europeo y del
Consejo, de 24 de octubre de 1995, relativa a la proteccin de las personas fsicas en lo que respecta al
tratamiento de datos personales y a la libre circulacin de estos datos) y Artculos 79 y ss. RLOPD. Es
importante sealar que esta obligacin tambin recae, en su caso, sobre los encargados de tratamiento, a
los que nos referiremos ms adelante.
25
Las medidas de seguridad se regulan en el Ttulo VIII RLOPD. Estas medidas son de naturaleza tcnica y
organizativa si bien en otras secciones del RLOPD se recogen otro tipo de medidas dirigidas, asimismo, a
garantizar un adecuado tratamiento de los datos personales (e.g. principio de calidad de los datos, deber
de secreto, garanta del ejercicio de derechos ARCO -acceso, rectificacin, cancelacin y oposicin- por
parte del titular de los datos).
26
Artculos 44.3.h) y 45.2 LOPD.
51
(AEPD)27 y la doctrina de la Audiencia Nacional28, la obligacin
impuesta en virtud del principio de seguridad de los datos no es una
obligacin de medios, sino de resultado. No basta, por tanto, con la
mera implantacin o aplicacin formal de las medidas de seguridad
(obligacin de medios), sino que las medidas adoptadas han de ser
eficaces en la prctica, impidiendo de forma efectiva la alteracin,
prdida, tratamiento o acceso no autorizado a los datos personales
por parte de terceros (obligacin de resultado).
27
Resolucin AEPD de 21 de junio de 2013 (Resolucin R/01477/2013); Resolucin AEPD de 5 de junio de
2012 (Resolucin R/01093/2012); Resolucin AEPD de 28 de febrero de 2011 (Resolucin
R/00434/2011);Resolucin AEPD de 8 de septiembre de 2009 (Resolucin 02021/2009); Resolucin AEPD
de 14 de septiembre de 2009 (Resolucin 02019/2009); Resolucin AEPD de 20 de octubre de 2008
(Resolucin R/01404/2008); Resolucin AEPD de 11 de diciembre de 2008 (Exp. E/00795/2006)
28
Sentencia AN de 11 de diciembre de 2008 (recurso n 36/2008; JUR 2009/3136); Sentencia AN de 28 de
junio de 2006 (recurso n 290/2004; JUR 2006\204327); Sentencia AN de 23 marzo de 2006 (recurso n
478/2004; JUR 2006\130610); Sentencia AN de 7 de febrero de 2003 (recurso n 1182/2001; JUR
2006\275713); Sentencia AN de 13 de junio de 2002 (recurso n 1161/2001).
29
Entre otras, la ya referida Sentencia AN de 28 de junio de 2006 (recurso n 290/2004; JUR
2006\204327).
52
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
30
En el supuesto analizado por la AEPD en su Resolucin de fecha 1 de abril de 2008 (Resolucin
R/00351/2008), el responsable del tratamiento no cumpla con las medidas de seguridad exigidas (e.g. los
soportes que contenan datos personales no haban sido objeto de cifrado, las copias de respaldo se
realizaba con carcter mensual, no se haba designado un responsable de seguridad, no se haba realizado
informe alguno en relacin con el anlisis del registro de accesos ni las auditoras exigidas por la
normativa). Sin embargo, pese a las deficiencias detectadas, la AEPD acord no iniciar la actividad
sancionadora y archivar las actuaciones pues, de la inspeccin llevada a cabo, no se haba concluido que se
hubiese producido una alteracin, prdida, tratamiento o acceso no autorizado a los datos de carcter
personal.
31
Resolucin AEPD de 15 de abril de 2011 (Resolucin R/01585/2010); Sentencia AN de 25 de febrero de
2010 (recurso n 226/2009; JUR 2010/82723).
53
intrusin ilcita y la sustraccin de los datos personales de los
clientes de la compaa.
32
Artculos 9 y 12 LOPD.
33
Resolucin AEPD de 27 de febrero de 2009 (Resolucin R/00409/2009). Este procedimiento tuvo su
origen en la denuncia de un particular contra el responsable de un fichero por una vulneracin del
principio de seguridad de los datos. No obstante, la AEPD sancion al encargado de tratamiento al haber
sido ste quien haba incumplido su obligacin de adoptar, de forma efectiva, las medidas necesarias para
impedir el acceso no autorizado por parte de terceros a los datos de carcter personal.
54
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
C. Responsabilidad penal
34
Remtase, por ejemplo, a la Resolucin n R/01093/2012:
http://www.agpd.es/portalwebAGPD/resoluciones/procedimiento_apercibimiento/procedimiento_aperci
bimiento_2012/common/pdfs/A-00368-2011_Resolucion-de-fecha-05-06-2012_Art-ii-culo-9-LOPD.pdf
55
En primer lugar, el art. 31 bis, 1), nos informa de que la atribucin
de responsabilidad penal a la persona jurdica vendr determinada
por la comisin de delitos en nombre, o por cuenta, de la empresa,
y en su provecho, requisitos estos que deben contarse de forma
acumulativa, no excluyente.
56
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
35
Normativa descargable desde la siguiente URL: http://noticias.juridicas.com/base_datos/Admin/l8-
2011.t3.html#t3
57
inesperados y cada vez ms graves en los servicios bsicos para la
poblacin (). Y contina diciendo, () la seguridad de las
infraestructuras crticas exige contemplar actuaciones que vayan
ms all de la mera proteccin material contra posibles agresiones o
ataques (). Estas infraestructuras crticas dependen cada vez ms
de las tecnologas de la informacin, tanto para su gestin como
para su vinculacin con otros sistemas, para lo cual se basan,
principalmente, en medios de informacin y de comunicacin de
carcter pblico y abierto. Es preciso contar, por tanto, con la
cooperacin de todos los actores involucrados en la regulacin,
planificacin y operacin de las diferentes infraestructuras que
proporcionan los servicios esenciales para la sociedad, sin perjuicio
de la coordinacin que ejercer el Ministerio del Interior en
colaboracin con las Comunidades Autnomas ().
36
Por ejemplo, por denegacin de servicio; infeccin por malware; compromiso del sistema; hacking;
violacin de polticas, entre otras posibles.
37
El servicio necesario para el mantenimiento de las funciones sociales bsicas, la salud, la seguridad, el
bienestar social y econmico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado
y las Administraciones Pblicas (art.2 a) de la Ley 18/2011 de 28 de abril, por la que se establecen medidas
para la proteccin de las infraestructuras crticas).
58
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
Por todo ello, la LPIC tiene por objeto establecer las estrategias y las
estructuras adecuadas que permitan dirigir y coordinar las
actuaciones de los distintos rganos de las Administraciones
Pblicas en materia de proteccin de infraestructuras crticas, previa
identificacin y designacin de las mismas, para mejorar la
prevencin, preparacin y respuesta de nuestro Estado frente a
atentados terroristas u otras amenazas que afecten a
infraestructuras crticas. Tambin regula las especiales obligaciones
que deben asumir tanto las Administraciones Pblicas como los
operadores de aquellas infraestructuras que se determinen como
infraestructuras crticas.
38
La Energa se cataloga como sector estratgico conforme el Anexo a la LPIC. Como subsector en relacin
a ste se incluye la electricidad (infraestructuras e instalaciones de generacin y transporte de
electricidad, en relacin con el suministro de electricidad), tal y como, prev la propia Directiva
2008/114/CE del Consejo, de 8 de diciembre de 2008, sobre la identificacin y designacin de
infraestructuras crticas europeas y la evaluacin de la necesidad de mejorar su proteccin: http://eur-
lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2008:345:0075:0082:ES:PDF.
59
Infraestructuras Crticas (en lo que sigue, CNPIC) como rgano de
asistencia al Secretario de Estado de Seguridad en la ejecucin de
las funciones que se le encomiendan a ste como rgano
responsable del Sistema de Proteccin de Infraestructuras Crticas
en nuestro pas (en adelante, el Sistema)39.
39
Segn el art.5 de la LPIC, el Sistema de Proteccin de Infraestructuras Crticas (en adelante, el Sistema)
se compone de una serie de instituciones, rganos y empresas, procedentes tanto del sector pblico como
del privado, con responsabilidades en el correcto funcionamiento de los servicios esenciales o en la
seguridad de los ciudadanos. Resultan agentes del Sistema, con las funciones que se determinen
reglamentariamente, los siguientes:
a) La Secretara de Estado de Seguridad del Ministerio del Interior.
b) El Centro Nacional para la Proteccin de las Infraestructuras Crticas.
c) Los Ministerios y organismos integrados en el Sistema, que sern los incluidos en el anexo de esta Ley.
d) Las Comunidades Autnomas y las Ciudades con Estatuto de Autonoma.
e) Las Delegaciones del Gobierno en las Comunidades Autnomas y en las Ciudades con Estatuto de
Autonoma.
f) Las Corporaciones Locales, a travs de la asociacin de Entidades Locales de mayor implantacin a nivel
nacional.
g) La Comisin Nacional para la Proteccin de las Infraestructuras Crticas.
h) El Grupo de Trabajo Interdepartamental para la Proteccin de las Infraestructuras Crticas.
i) Los operadores crticos del sector pblico y privado.
Todo este entramado se desarrolla por el Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el
Reglamento de proteccin de las infraestructuras crticas, y que concreta las actuaciones de los distintos
rganos integrantes del Sistema de Proteccin de Infraestructuras Crticas (en adelante, el Sistema), los
diferentes instrumentos de planificacin del mismo y las obligaciones que deben asumir tanto el Estado
como los operadores de aquellas infraestructuras que se determinen como crticas.
40
Conforme dispone el art.13 de la LPIC, los operadores crticos debern colaborar con las autoridades
competentes del Sistema, con el fin de optimizar la proteccin de las infraestructuras crticas y de las
infraestructuras crticas europeas por ellos gestionados. Con ese fin, debern:
a) Asesorar tcnicamente al Ministerio del Interior, a travs del CNPIC, en la valoracin de las
infraestructuras propias que se aporten al Catlogo, actualizando los datos disponibles con una
periodicidad anual y, en todo caso, a requerimiento del citado Ministerio.
b) Colaborar, en su caso, con el Grupo de Trabajo en la elaboracin de los Planes Estratgicos Sectoriales y
en la realizacin de los anlisis de riesgos sobre los sectores estratgicos donde se encuentren incluidos.
c) Elaborar el Plan de Seguridad del Operador en los trminos y con los contenidos que se determinen
reglamentariamente.
60
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
d) Elaborar, segn se disponga reglamentariamente, un Plan de Proteccin Especfico por cada una de las
infraestructuras consideradas como crticas en el Catlogo.
Los Planes de Seguridad del Operador y los Planes de Proteccin Especficos debern ser elaborados por
los operadores crticos respecto a todas sus infraestructuras clasificadas como Crticas o Crticas Europeas.
Se trata de instrumentos de planificacin a travs de los cuales aqullos asumen la obligacin de colaborar
en la identificacin de dichas infraestructuras, especificar las polticas a implementar en materia de
seguridad de las mismas, as como implantar las medidas generales de proteccin, tanto las permanentes
como aquellas de carcter temporal que, en su caso, vayan a adoptar para prevenir, proteger y reaccionar
ante posibles ataques deliberados contra aqullas. Se deber estar a lo dispuesto reglamentariamente al
efecto en los arts.22 y siguientes del Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el
Reglamento de proteccin de las infraestructuras crticas. Existe una GUA PARA LA ELABORACIN DE
PLANES DE SEGURIDAD DEL OPERADOR Y PLANES DE PROTECCIN ESPECFICA editada por AEISEguridad
que puede resultar de inters:
http://www.aeiseguridad.es/index.php/Una_guia_ayudara_a_los_proveedores_de_seguridad_en_infraest
ructuras_criticas_a_elaborar_Planes_de_Seguridad_y_Proteccion
e) Designar a un Responsable de Seguridad y Enlace en los trminos de la presente Ley.
f) Designar a un Delegado de Seguridad por cada una de sus infraestructuras consideradas Crticas o
Crticas Europeas por el Ministerio del Interior, comunicando su designacin a los rganos
correspondientes.
g) Facilitar las inspecciones que las autoridades competentes lleven a cabo para verificar el cumplimiento
de la normativa sectorial y adoptar las medidas de seguridad que sean precisas en cada Plan, solventando
en el menor tiempo posible las deficiencias encontradas.
Es requisito para la designacin de los operadores crticos, tanto del sector pblico como del privado, que
al menos una de las infraestructuras que gestionen rena la consideracin de Infraestructura Crtica,
mediante la correspondiente propuesta de la que, en todo caso, el CNPIC informar al operador antes de
proceder a su clasificacin definitiva. La designacin como tales de los operadores crticos en cada uno de
los sectores o subsectores estratgicos definidos se efectuar en los trminos que reglamentariamente se
establezcan. Los operadores crticos tendrn en el CNPIC el punto directo de interlocucin con el
Ministerio del Interior en lo relativo a sus responsabilidades, funciones y obligaciones. En el caso de que
los operadores crticos del Sector Pblico estn vinculados o dependan de una Administracin Pblica, el
rgano competente de sta podr erigirse, a travs del CNPIC, en el interlocutor con el Ministerio del
Interior.
41
Las Infraestructuras crticas aluden a las infraestructuras estratgicas (las instalaciones, redes, sistemas y
equipos fsicos y de tecnologa de la informacin sobre las que descansa el funcionamiento de los servicios
esenciales) cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su
perturbacin o destruccin tendra un grave impacto sobre los servicios esenciales.
61
Asimismo, en lo que respecta a la designacin de los operadores
crticos, el art.14 del Real Decreto 704/2011, de 20 de mayo, por el
que se aprueba el Reglamento de proteccin de las infraestructuras
crticas43 dispone que bastar con que al menos una de las
infraestructuras por l gestionadas rena la consideracin de
infraestructura crtica, en aplicacin de los criterios previstos en el
artculo 2, apartado h) de la LPIC 44. En tal caso, el CNPIC, elaborar
una propuesta de resolucin al respecto y la notificar al titular o
administrador de aqullas. El interesado dispondr de un plazo de
quince das a contar desde el da siguiente a la recepcin de la
notificacin para remitir al CNPIC las alegaciones que considere
procedentes, transcurrido el cual la Comisin, a propuesta del Grupo
de Trabajo, dictar la resolucin en la que se designar, en su caso,
a dicho operador, como crtico. Esta resolucin podr ser recurrida
en alzada ante el Secretario de Estado de Seguridad, y,
eventualmente, con posterioridad, ante la jurisdiccin contencioso-
administrativa, en los trminos generales previstos en la legislacin
42
Se exceptan de su aplicacin las infraestructuras dependientes del Ministerio de Defensa y de las
Fuerzas y Cuerpos de Seguridad, que se regirn, a efectos de control administrativo, por su propia
normativa y procedimientos (art.3.2 de la LPIC).
43
Puede accederse al este texto normativa desde la siguiente URL:
http://noticias.juridicas.com/base_datos/Admin/rd704-2011.html
44
Art.2 h) LPIC relativo a los Criterios horizontales de criticidad: Los parmetros en funcin de los cuales
se determina la criticidad, la gravedad y las consecuencias de la perturbacin o destruccin de una
infraestructura crtica se evaluarn en funcin de:
1. El nmero de personas afectadas, valorado en funcin del nmero potencial de vctimas mortales o
heridos con lesiones graves y las consecuencias para la salud pblica.
2. El impacto econmico en funcin de la magnitud de las prdidas econmicas y el deterioro de productos
y servicios.
3. El impacto medioambiental, degradacin en el lugar y sus alrededores.
4. El impacto pblico y social, por la incidencia en la confianza de la poblacin en la capacidad de las
Administraciones Pblicas, el sufrimiento fsico y la alteracin de la vida cotidiana, incluida la prdida y el
grave deterioro de servicios esenciales.()
62
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
63
en su caso, el rgano competente de la Comunidad Autnoma 45,
supervisar la realizacin de un Plan de Apoyo Operativo por parte
del Cuerpo Policial estatal, o en su caso autonmico, con
competencia en la demarcacin territorial de que se trate. Para su
elaboracin, que deber realizarse en un plazo de cuatro meses a
partir de la aprobacin del respectivo Plan de Proteccin Especfico,
se contar con la colaboracin del responsable de seguridad de la
infraestructura.
45
En coherencia con lo dispuesto por el art.10 de la LPIC, las Comunidades Autnomas y Ciudades con
Estatuto de Autonoma que ostenten competencias estatutariamente reconocidas para la proteccin de
personas y bienes y para el mantenimiento del orden pblico podrn desarrollar, sobre las infraestructuras
ubicadas en su demarcacin territorial, las facultades que reglamentariamente se determinen respecto a
su proteccin, sin perjuicio de los mecanismos de coordinacin que se establezcan.
64
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
Los Planes de Apoyo Operativo debern ser revisados cada dos aos
por el cuerpo policial estatal, o en su caso autonmico, con
competencia en la demarcacin territorial de que se trate, revisin
que deber ser aprobada por las Delegaciones del Gobierno en las
Comunidades Autnomas y en las Ciudades con Estatuto de
Autonoma o, en su caso, por el rgano competente de las
Comunidades Autnomas con competencias estatutariamente
reconocidas para la proteccin de personas y bienes y para el
mantenimiento del orden pblico, requiriendo la aprobacin expresa
del CNPIC.
46
Proteccin de infraestructuras crticas de informacin: hacia la ciberseguridad global (P7_TA(2012)0237).
Resolucin del Parlamento Europeo, de 12 de junio de 2012, sobre la proteccin de infraestructuras
crticas de informacin logros y prximas etapas: hacia la ciberseguridad global (2011/2284(INI)) (2013/C
332 E/03): http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2013:332E:0022:0028:ES:PDF
47
Accesible desde la siguiente pgina web: http://www.lamoncloa.gob.es/NR/rdonlyres/2A778417-DABC-
4D36-89A2-3B81565C3B82/0/20131332EstrategiadeCiberseguridadx.pdf
66
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
48
En relacin a este principio, se debe tener en cuenta lo previsto en el Considerando 6 de la Directiva
2008/114/CE del Consejo, de 8 de diciembre de 2008, sobre la identificacin y designacin de
infraestructuras crticas europeas y la evaluacin de la necesidad de mejorar su proteccin que indica: ()
La responsabilidad principal y ltima de proteger la ICE corresponde a los Estados miembros y a los
propietarios u operadores de tales infraestructuras (). Por su parte el Considerando11 de la misma
Directiva indica que () En toda las ICE designadas deben existir planes de seguridad del operador o
medidas equivalentes (). En caso de que no existan tales planes, cada Estado miembro intervendr
oportunamente para asegurarse de que se ponen en marcha las medidas adecuadas (). Remtase a la
siguiente URL para la oportuna descarga, si as lo desea, del documento legal de referencia: http://eur-
lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2008:345:0075:0082:ES:PDF
67
integrado de medidas de aplicacin a los sectores afectados ()49 y
que, adems, entre las lneas de actuacin especficas, la Lnea 3
disponga lo que sigue: [] Impulsar la implantacin de la
normativa sobre Proteccin de Infraestructuras Crticas y de las
capacidades necesarias para la proteccin de los servicios
esenciales. Es necesario incrementar la resiliencia de las
Infraestructuras Crticas espaolas para evitar una potencial
alteracin del normal funcionamiento de los servicios esenciales que
podran afectar a la actividad diaria de los espaoles. En este
mbito, el Gobierno de Espaa adoptar, entre otras, las siguientes
medidas:
49
Remtase a la pgina 23 del Documento relativo a la Estrategia Nacional de Ciberseguridad:
http://www.lamoncloa.gob.es/NR/rdonlyres/2A778417-DABC-4D36-89A2-
3B81565C3B82/0/20131332EstrategiadeCiberseguridadx.pdf
68
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
Introduccin.
69
de la prevencin, la deteccin y la reaccin frente a ciberataques.
Lgicamente, podemos pensar que la responsabilidad primera y
principal frente al ciberataque es de la empresa que lo recibe o
sufre, y no de los prestadores de servicios que se ubican detrs de
ella y que prestan sus servicios en su nombre y por su cuenta, y en
definitiva en su beneficio.
71
determinadas partes de su servicio en uno o varios
subcontratistas.
72
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
73
En definitiva, este tipo de responsabilidad no va a ser la ms comn
o habitual de cara a proveedores de servicios como los sealados,
pero eso no hace que se pueda descartar sin acudir antes a las
circunstancias del caso concreto.
50
Ley Orgnica 6/1985, de 1 de julio, del Poder Judicial.
51
Real Decreto de 14 de septiembre de 1882, aprobatorio de la Ley de Enjuiciamiento Criminal.
52
Ley 8/2011, de 28 de abril, por la que se establecen medidas para la proteccin de las infraestructuras
crticas.
53
Convenio de Budapest sobre Ciberdelincuencia de 23 de noviembre de 2001 (Instrumento de
Ratificacin por Espaa en BOE de 17 de septiembre de 2010).
74
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
54
Propuesta de texto articulado de Ley de Enjuiciamiento Criminal, elaborada por la Comisin Institucional
creada por Acuerdo del Consejo de Ministros de 2 de marzo de 2012, editado por el Ministerio de Justicia,
Madrid, 2013.
75
(arts. 573 y ss. LECrim). Dicho Auto, deber autorizar
expresamente el registro de los dispositivos afectados
(servidores y PC del tcnico).
55
Siguiendo a Joaqun Delgado, los dispositivos electrnicos pueden ser ocupados o aprehendidos en tres
supuestos: como cuerpo del delito, es decir, la cosa objeto de la infraccin penal o contra la que se ha
dirigido el hecho punible; como instrumentos del delito, esto es, los medios u objetos a travs de los
cuales se ha llevado a cabo la comisin de la infraccin penal; y como piezas de conviccin, entendidas
como los objetos, huellas y vestigios que, no estando incluidas en las dos categoras anteriores, tienen
relacin con el delito y pueden servir de prueba o indicio en la comprobacin de la existencia, autora o
circunstancias del hecho punible. Asimismo, nicamente han de ser ocupados aquellos dispositivos que
resulten estrictamente necesarios para la tramitacin del proceso (argumento ex art. 574 LECrim.),
procediendo en otro caso nicamente a la ocupacin de los datos. - Joaqun DELGADO MARTN / La
prueba electrnica en el proceso penal - Diario La Ley, No 8167, Seccin Doctrina, Editorial LA LEY /
Octubre 2013.
76
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
77
VI. Especial mencin a la proteccin de la informacin de
los clientes en los despachos de abogados
56
Este deber de secreto profesional se regula en el Cdigo Deontolgico de la Abogaca Espaola de 27 de
noviembre de 2002 y en Ley Orgnica 6/1985, Ley Orgnica del Poder Judicial, como el derecho a no
revelar la informacin facilitada por los clientes e impone el deber de custodia y proteccin de dicha
informacin.
78
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
79
En este aspecto, debemos tener presente que EESS, por la
aceptacin del acuerdo de colaboracin, se convierte en responsable
frente al despacho de abogados al no haber garantizado unos
niveles de seguridad idneos para la proteccin de la informacin
que compartan, as como las posibles consecuencias negativas
tanto a nivel econmico como reputacional que puede recaer sobre
el despacho de abogados al no haber realizado la empresa EESS una
eficaz gestin de los Sistemas de Seguridad establecidos.
80
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
81
- Establecer programas de Compliance donde se realicen
anlisis de riesgos sobre en qu infraestructuras es necesario
reforzar la Seguridad de los Sistemas de Informacin.
82
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
84
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
85
la libertad de expresin e informacin (art. 20 CE). Por otro lado, en
materia penal destaca la necesidad de mayores precisiones, en
cuanto al grupo de delitos contra la intimidad (acceso ilcito,
interceptacin ilcita, descubrimiento de secretos e interceptacin de
comunicaciones, descubrimiento de secreto informtico), crimen
organizado y delincuencia profesional (fraudes informticos,
blanqueo de capitales), ciberterrorismo, atentados contra la
integridad de datos e integridad del sistema, fraudes informticos
(falsedad y estafa informtica), responsabilidad de las personas
jurdicas, pornografa infantil. Por ltimo, no podemos dejar de
destacar los problemas procesales, representados
fundamentalmente por la competencia y jurisdiccin (aplicacin
extraterritorial de la ley penal, cooperacin internacional,
extradicin y euroorden), medios de investigacin y prueba
(interceptacin de comunicaciones, diligencia de entrada y registro y
confiscacin de discos duros, registro y decomiso de datos
informticos almacenados, recogida en tiempo real de datos
informticos, interceptacin de datos relativos al contenido,
interceptacin de datos externos o de trfico), responsabilidad del
proveedor de servicios.
86
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
87
Es necesario plantearse si, ante este escenario, las empresas
privadas preparadas para afrontar una accin criminal de estas
caractersticas de una forma garantista que respete sus derechos en
un mercado competitivo como el actual, teniendo en cuenta que:
88
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
90
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
92
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
Dnde denunciar
GDT-Guardia Civil
Email - gdt@notificaciones.guardiacivil.es
Web - www.gdt.guardiacivil.es
BIT-Polica Nacional
Email - delitos.tecnologicos@policia.es
Web www.policia.es/org_central/judicial/udef/bit_contactar.html
93
Seccin Central de Delitos en Tecnologas de la Informacin
(SCDTI)-Ertzaintza (Pas Vasco)
Email - delitosinformaticos@ertzaintza.net
Web www.ertzaintza.net
Web http://www20.gencat.cat/portal/site/mossos
Fiscala
Web www.fiscal.es
94
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
INTECO
Email PIC@cert.inteco.es
Web www.inteco.es
Web www.cnpic-es.es
95
96
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
98
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
99
a terceros si no colaboran en la resolucin de los incidentes
de ciberseguridad a que se refiere esta disposicin.
100
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
101
y sus agentes registradores establecidos en Espaa que lo precisen
como consecuencia de algn tipo de incidencia de seguridad
producido a travs de Internet, obligando a estos agentes a prestar
su colaboracin con el correspondiente CERT, cuya competencia
vendr determinada reglamentariamente, tal y como seala el
apartado 5 de esta disposicin adicional novena.
102
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
103
Asimismo, la ley legitima a dichos CERTs competentes para decidir
sobre el aislamiento de cualquier equipo o servicio de internet
geolocalizado en Espaa o que est operativo bajo un nombre de
dominio .es u otros cuyo registro est establecido en Espaa, con
tal de minimizar los potenciales daos que pueda estar provocando
un ciberataque.
104
La Responsabilidad Legal de las Empresas Frente a un Ciberataque
105
Ms informacin:
www.ismsforum.es www.enatic.org
C/ Castell, 24, 5 Dcha. Esc. 1 Paseo de Recoletos, 13
28001 Madrid 28004 Madrid
T.: +34 91 186 13 50