Responsabilidad del director general en materia de seguridad de la información en la empresa
Hoy en día, es difícil imaginar una empresa sin TI y procesos empresariales digitales. Sin embargo, además de las muchas ventajas de la digitalización, también ofrece grandes riesgos: Si todos los empleados participan en el mundo digital de la empresa, aumenta la probabilidad de que se produzca un incidente de seguridad de la información (por ejemplo, incidentes provocados por virus, suplantación de identidad, piratería informática, etc.).
Las redes pueden afectar rápidamente a toda la infraestructura informática de una empresa. Esto puede provocar enormes daños. Para la empresa, no sólo están en peligro los intereses financieros, sino también el daño a la reputación de la empresa tras una violación de datos y las consecuencias legales que pueden amenazar.
Al final, en caso de duda, las consecuencias siempre afectan personalmente al director gerente. A continuación se aborda cómo se ve concretamente la responsabilidad del director gerente y cómo se puede minimizar el riesgo, si es necesario.
Posible alcance de los daños
Si un ciberataque causa daños a una empresa, no hay que olvidar sus propios costes: Costes de restauración de datos y sistemas, pérdida de volumen de negocio, costes para determinar la causa, por ejemplo, mediante investigaciones forenses de un proveedor de servicios especializadospérdida de confianza de los clientes, pérdida de producción, pérdida de valor de la empresa, etc.
Además, se pueden pagar daños y perjuicios a terceros. No solo se basan en el artículo 82 del RGPD, sino también en el artículo 280 del Código Civil alemán (BGB), al margen de la ley de protección de datos.
Los daños y perjuicios con arreglo al artículo 280 del BGB sólo pueden reclamarse a terceros con los que la empresa tenga una relación jurídica y cuyas obligaciones hayan sido infringidas por la violación de datos y sus consecuencias. Además, en el marco de esta base de reclamación, corresponde a la empresa afectada demostrar que no es responsable del siniestro, es decir, por ejemplo, que ha tomado las medidas adecuadas. Medidas de protección ha tomado. Por lo tanto, la dirección siempre debe aplicar y documentar cuidadosamente la seguridad informática de la empresa para poder demostrar que la informática está protegida con tecnología punta.
Además, puede producirse una indemnización por daños y perjuicios con arreglo al artículo 82 del GDPR si la empresa procesa datos personales. En ese caso, los afectados deben ser indemnizados por los daños materiales e inmateriales. Esto sólo puede evitarse demostrando que la empresa no es en modo alguno responsable del factor que causó el daño.
Además, podrá imponerse una multa de conformidad con el artículo 83 del GDPR.
La responsabilidad aquí enumerada tampoco puede ser excluida por las condiciones generales de contratación (CGC).
¿Es posible recurrir?
Aunque la causa de un posible ciberataque suele ser un error de un empleado, tomar medidas contra los propios empleados es poco prometedor. Por un lado, la responsabilidad de los trabajadores es muy limitada y, por otro, hasta ahora la jurisprudencia la ha limitado al salario de un año, por lo que los daños sufridos no pueden compensarse con ello. En principio, la dirección o la empresa son responsables de las faltas cometidas por sus propios empleados.
El recurso a los proveedores de servicios informáticos tampoco suele ser muy prometedor. Su principal obligación es únicamente prestar el servicio acordado contractualmente con la dirección. De acuerdo con el Art. 24 I y II del GDPR, es necesario que la empresa opere la TI de acuerdo con el estado de la técnica. Si el servicio acordado del proveedor de servicios no se corresponde con el estado de la técnica, es responsabilidad de la empresa que quería que el servicio fuera así.
Lo máximo que podría considerarse en este caso es el incumplimiento de una obligación secundaria (la indicación de que la prestación exigida no se corresponde con el estado de la técnica) (§ 280 BGB). Sin embargo, difícilmente podrá el proveedor de servicios informáticos cubrir las sumas en cuestión, sobre todo teniendo en cuenta que suele acordar un límite de responsabilidad por adelantado, al menos para los contratos de mayor envergadura.
Responsabilidad de la dirección
En última instancia, el único recurso que le queda a la empresa para resarcirse del perjuicio financiero es recurrir a la administración, a lo que también está obligada.
En este caso, una negligencia leve por parte de la dirección suele bastar para justificar la responsabilidad. La dirección tiene el deber de velar por que la empresa no infrinja ninguna disposición legal. Dependiendo de la forma jurídica de la empresa y de la actividad desarrollada, la ley también puede contener obligaciones más específicas, cuya infracción es el punto de partida de la responsabilidad.
Minimización del riesgo de responsabilidad
Para minimizar el riesgo de responsabilidad civil, la dirección debe debatir periódicamente con Consultores de seguridad de la información consultar, realizar evaluaciones de riesgos y documentarlas. Realice también pruebas de penetración y análisis de vulnerabilidades mediante Proveedores externos de servicios especializados ayudan a evaluar los riesgos y también deben documentarse. En caso de violación de datos, la documentación y las medidas pueden llevar a la exoneración si es necesario.
Los resultados también pueden utilizarse para evaluar si es necesario un ciberseguro. La cuestión de si la contratación de un seguro de este tipo es incluso obligatoria para la administración es controvertida. Al menos si los peligros cibernéticos suponen un riesgo para la existencia de la empresa, esto debe afirmarse en cualquier caso. En este contexto, también debe prestarse especial atención a la correcta selección del seguro y, una vez concluido, a la comparación constante de si sigue siendo el más adecuado.
Por otra parte, la dirección también puede quedar exenta de la obligación de suscribir un seguro cibernético mediante una resolución de los accionistas. De este modo, la dirección ya no asume ningún riesgo de responsabilidad, pero la empresa sigue corriendo el mismo riesgo.
En cualquier caso, se recomienda elaborar un plan de contingencia en caso de ciberataque, así como un plan de copia de seguridad de los datos. Estos deben ser conocidos dentro de la empresa.
Para protegerse aún más como director gerente, es aconsejable contratar un seguro de D&O en caso de duda.
En casos individuales, las decisiones sobre medidas concretas deben tomarse siempre previo asesoramiento de expertos. La falta de pericia del director gerente en materia de responsabilidad nunca conduce a la exoneración.