Top 5 esta semana

Post relacionados

Responsabilidad legal por delitos informáticos en una empresa: qué dice la ley y cómo protegerse

Tecnología
Autor: Manuel Blanco
9 minutos delectura
Comprender la responsabilidad legal por delitos informáticos en una empresa se ha convertido en una prioridad para empresarios

Ocho millones de euros. Eso es lo que ha pagado en los últimos años Vodafone por multas de la Agencia Española de Protección de Datos por la falta de medidas de seguridad en sus sistemas y el consecuente perjuicio a sus clientes. Efectivamente, la responsabilidad legal por delitos informáticos en una empresa, o por la falta de diligencia a la hora de cuidar de sus infraestructuras, se ha convertido en un tema central hoy.

En un asunto además que tiene connotaciones horizontales. Ninguna empresa está exenta del riesgo de sufrir o incluso ser responsable de un delito informático.

Desde un simple acceso no autorizado a bases de datos hasta complejas tramas de fraude online, los ciberdelitos son cada vez más frecuentes y sofisticados. En este contexto, comprender la responsabilidad legal por delitos informáticos en una empresa se ha convertido en una prioridad para empresarios, responsables de seguridad digital y despachos de abogados.

Para los bancos, sin ir más lejos, el fenómeno ha dado un giro de 180 grados tras la reciente sentencia del Tribunal Supremo que permite a los consumidores recuperar el dinero de una estafa online.

Este artículo analiza las principales cuestiones a tener en cuenta en este momento…

¿Necesita asesoría legal especializada?

¿Qué son los delitos informáticos y cómo afectan al entorno empresarial?

Los delitos informáticos son aquellas conductas delictivas que se cometen mediante el uso de tecnologías de la información y la comunicación (TIC). Pueden tener como objetivo sistemas informáticos, redes, datos, o bien utilizar medios digitales como instrumento para cometer delitos tradicionales (estafas, suplantación de identidad, espionaje industrial…).

Existen distintas clases de ciberestafas, y lo que es aún más preocupante. La lista no para de crecer porque los malos están muy motivados y decenas de miles de empresas solo en España siguen sin asumir la dimensión del reto que tienen ante sí.

En el ámbito empresarial, estos delitos pueden afectar a la propia empresa como víctima —por ejemplo, si un hacker accede ilegalmente a su servidor—, pero también pueden tener lugar desde dentro de la organización, cuando un empleado o directivo utiliza los recursos informáticos para cometer actos ilícitos.

La responsabilidad legal por delitos informáticos en una empresa puede surgir en ambos casos. Y eso convierte este tema en una cuestión jurídica clave que va más allá del departamento de informática: afecta directamente a la gestión empresarial y al cumplimiento normativo.

Tipos de delitos informáticos más frecuentes en el entorno corporativo

Existen muchas formas de ciberdelitos, pero entre los más habituales en empresas destacan:

  • Acceso no autorizado a sistemas informáticos.
  • Sabotaje digital o daño intencionado a sistemas y datos.
  • Robo o secuestro de información confidencial (ransomware).
  • Estafas a través de correo electrónico corporativo (phishing, BEC scams).
  • Espionaje industrial mediante técnicas de hacking o ingeniería social como el vishing o fraude bancario por teléfono.
  • Distribución de software malicioso desde equipos de la empresa.
  • Suplantación de identidad digital corporativa.

Todos estos actos pueden dar lugar a una responsabilidad legal por delitos informáticos en una empresa, tanto si la empresa es víctima como si, por omisión o mala gestión, resulta penalmente responsable.

La actualidad mediática tanto en España como en el mundo se ha visto salpicada a lo largo de los últimos años de multitud de incidentes que ponen negro sobre blanco la dimensión del problema.

¿Puede una empresa ser penalmente responsable por delitos informáticos?

Sí. Desde la reforma del Código Penal de 2010 (y especialmente desde la Ley Orgánica 1/2015), en España las personas jurídicas pueden ser responsables penalmente de determinados delitos, incluidos los ciberdelitos.

Esto implica que si un delito informático es cometido en el seno de la empresa —ya sea por empleados, directivos o terceros vinculados— y se demuestra que la empresa no tomó las medidas adecuadas para prevenirlo, puede ser condenada a sanciones graves como:

  • Multas de considerable cuantía.
  • Suspensión de actividades.
  • Clausura de locales.
  • Prohibición de contratar con la Administración.
  • Disolución de la persona jurídica.

Por tanto, la responsabilidad legal por delitos informáticos en una empresa no es solo un riesgo teórico. Es un escenario perfectamente posible que puede tener un alto coste reputacional y económico.

El papel del compliance penal y la prevención

Para mitigar esta responsabilidad, muchas empresas han optado por implementar programas de compliance penal, que incluyen políticas específicas de ciberseguridad, formación a empleados y protocolos de respuesta ante incidentes.

Disponer de un plan de prevención de delitos eficaz y documentado es una de las pocas herramientas que puede eximir o atenuar la responsabilidad legal por delitos informáticos en una empresa.

Entre las medidas más relevantes se encuentran:

  • Evaluaciones periódicas de riesgos digitales.
  • Control de accesos a sistemas y datos sensibles.
  • Registro y supervisión de la actividad interna.
  • Formación continua en ciberseguridad.
  • Contratación de seguros de ciberriesgo.

Marco normativo aplicable en España y la UE

La responsabilidad legal por delitos informáticos en una empresa se sustenta principalmente en estas regulaciones:

  • Código Penal español (art. 197 y siguientes; art. 31 bis sobre responsabilidad penal de las personas jurídicas).
  • Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD).
  • Reglamento General de Protección de Datos (RGPD) europeo.
  • Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE).

Además, la jurisprudencia española y europea está sentando precedentes clave sobre cómo deben las empresas proteger sus sistemas y responder ante incidentes digitales.

La responsabilidad legal por delitos informáticos en una empresa se ha complicado al calor de la sofisticación de los ciberataques

Casos reales y jurisprudencia relevante

En los últimos años han trascendido varios casos en los que empresas han sido investigadas por delitos informáticos cometidos por empleados o por negligencia en la protección de datos. Algunos ejemplos:

  • Filtraciones de datos personales masivos por falta de medidas de seguridad.
  • Pagos fraudulentos realizados desde cuentas empresariales tras sufrir phishing.
  • Multas impuestas por la AEPD por no aplicar el principio de seguridad del tratamiento.

Estos casos demuestran que la responsabilidad legal por delitos informáticos en una empresa ya no es una hipótesis, sino una realidad que las autoridades persiguen activamente.

Estos son solo algunos de los casos concretos más conocidos por su proyección pública en España y Europa:

CaixaBank – Multa de 6 millones de euros (2021)

Autoridad: Agencia Española de Protección de Datos (AEPD).

Motivo: La entidad fue sancionada por tratar datos personales de clientes sin obtener un consentimiento válido y por no informar adecuadamente sobre el tratamiento de esos datos. Aunque no fue un «delito informático» clásico, el caso ejemplifica cómo la negligencia en el tratamiento digital de datos personales puede acarrear graves consecuencias legales.

La AEPD consideró que se había vulnerado el principio de transparencia y la base jurídica del tratamiento, lo que demuestra que una empresa puede afrontar una responsabilidad legal objetiva si su arquitectura digital no está bien gestionada. Posteriormente, la Audiencia Nacional redujo la sanción a dos millones de euros.

British Airways – Multa de 22 millones de euros (2020)

Autoridad: Information Commissioner’s Office (ICO) – Reino Unido, bajo el marco entonces del RGPD.

Motivo: Un ataque informático expuso los datos personales y financieros de más de 400.000 clientes. La investigación reveló fallos de seguridad graves que la empresa no detectó ni corrigió a tiempo.

Aunque el caso se resolvió en Reino Unido, aplica plenamente bajo el Reglamento General de Protección de Datos europeo (RGPD) y es un referente sobre responsabilidad legal por delitos informáticos en una empresa que no toma medidas preventivas suficientes.

Vodafone España – Multas acumuladas de más de 8 millones de euros (2021)

Autoridad: AEPD.

Motivo: Vodafone fue sancionada en varios expedientes por la falta de medidas de seguridad en sus sistemas que permitieron la suplantación de identidad de clientes y la contratación fraudulenta de servicios.

En uno de los casos, los datos fueron obtenidos ilícitamente a través de llamadas fraudulentas, lo que generó un escenario de ciberdelincuencia facilitada por la debilidad del sistema.

Este caso es un claro ejemplo de cómo una empresa puede ser considerada responsable indirecta de un delito informático si no implementa controles suficientes.

Consecuencias legales para la empresa y sus directivos

Cuando se acredita responsabilidad penal o civil, las consecuencias pueden recaer no solo sobre la persona jurídica, sino también sobre los administradores, directivos o responsables de TI. Las penas pueden incluir:

  • Multas personales.
  • Inhabilitación para ejercer cargos de responsabilidad.
  • Pérdida de subvenciones públicas.
  • Indemnizaciones a terceros afectados.

Todo ello refuerza la necesidad de contar con una cultura de cumplimiento normativo y ciberseguridad transversal en la organización. Una suerte de colchón de seguridad para evitar la responsabilidad legal por delitos informáticos en una empresa.

En conclusión: cinco cuestiones que debes saber

¿Qué es la responsabilidad legal por delitos informáticos en una empresa?

Es la obligación jurídica que puede asumir una empresa si se comete un delito informático en su seno, especialmente si no adoptó medidas de prevención.

¿Puede una pyme ser penalmente responsable?

Sí. La ley no distingue entre grandes empresas y pymes. Todas deben aplicar medidas razonables para evitar delitos informáticos y no tener que hacer frente a la responsabilidad legal por delitos informáticos en una empresa .

¿Qué ocurre si un empleado comete un delito sin que la empresa lo supiera?

Si la empresa no tenía protocolos de prevención, podría ser considerada responsable penalmente.

¿Qué tipo de sanciones puede recibir una empresa?

Desde multas económicas hasta la disolución de la persona jurídica, pasando por suspensión de actividades.

¿Cómo puede una empresa protegerse?

Implementando un programa de compliance penal, formando a sus trabajadores y aplicando medidas tecnológicas de seguridad.

Contacta con nosotros

    Artículo anterior
    Las comisiones bancarias ilegales son aquellas cantidades que las entidades financieras cargan a sus clientes sin justificación legal
    Comisiones bancarias ilegales: cómo identificarlas y reclamarlas
    Artículo siguiente
    Conseguir la readmisión tras un despido está avalado por la ley en los despidos nulos
    Conseguir la readmisión tras un despido: 6 cuestiones que debes saber
    Manuel Blanco
    Manuel Blanco
    Junto letras desde 1993. Hoy más que nunca, el mundo necesita periodismo.

    Artículos populares