jueves, 15 enero 2026

Buscador de abogados

TODO

Top 5 esta semana

Post relacionados

Responsabilidad de una empresa en el hackeo de datos de clientes

Tecnología
Autor: Paula Couto
10 minutos delectura
La responsabilidad de una empresa en el hackeo de datos de clientes incluye su deber de notificar las brechas

La normativa de protección de datos establece la responsabilidad de una empresa en el hackeo de datos de clientes si sus mecanismos de seguridad no eran lo suficientemente robustos

Basta con echar un ojo a las principales multas de protección de datos en España en 2025 para constatar que nuestro ordenamiento jurídico reconoce la responsabilidad de una empresa en el hackeo de datos de clientes. Este mismo año, el Grupo Caja Rural recibió sanciones por un valor total de casi 1,5 millones de euros como consecuencia de una brecha de datos que permitió a los ciberdelincuentes acceder a datos personales de los clientes de las entidades que conforman este grupo bancario.

Estas multas fueron impuestas por la Agencia Española de Protección de Datos (AEPD), el organismo español encargado de constatar si se produce alguna vulneración del Reglamento General de Protección de Datos (RGPD) y de velar porque se asuma la responsabilidad de una empresa en el hackeo de datos de clientes.

¿En qué consiste exactamente la responsabilidad de una empresa en el hackeo de datos de clientes? Debemos tener en cuenta tres cuestiones clave:

  • Las obligaciones de las empresas con respecto a la seguridad de los datos personales.
  • La responsabilidad de una empresa en el hackeo de datos de clientes en lo relativo a la comunicación del incidente.
  • El abono de una indemnización por los daños sufridos por los clientes que estén relacionados directamente con la brecha de información.

A continuación, te explicamos todo lo que debes tener en cuenta sobre la responsabilidad de una empresa en el hackeo de datos de clientes y qué puedes hacer si te has visto afectado por un hackeo.

Expertos en reclamaciones de protección de datos

La responsabilidad de una empresa en el hackeo de datos de clientes gira en torno a su deber de garantizar la seguridad de la información

Hay dos artículos del RGPD que son claves para entender la responsabilidad de una empresa en el hackeo de datos de clientes: el artículo 5.1.f y el artículo 32.

El primer precepto establece la obligación de que las empresas garanticen una «seguridad adecuada de os datos personales». Para ello, deben implementar medidas técnicas y organizativas apropiadas que salvaguarden la integridad y confidencialidad de la información y la protejan contra:

  • El tratamiento no autorizado o ilícito.
  • La pérdida, destrucción o daño accidental.

El artículo 32, centrado en la seguridad del tratamiento de datos, va en la misma línea y establece que:

  1. Se deben implementar medidas técnicas y organizativas para «garantizar un nivel de seguridad adecuado al riesgo». A la hora de diseñar estas medidas se debe tener en cuenta:
    • El estado de la técnica.
    • Los costes.
    • Los fines del tratamiento.
    • La probabilidad y la gravedad de que sean hackeados.
  2. Entre las medidas que el RGPD contempla están:
    • La seudonimización y el cifrado de datos personales.
    • Medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas donde se tratan los datos.
    • Mecanismos para restaurar la disponibilidad y el acceso a los datos con la máxima agilidad posible en caso de que se produzca un incidente.
    • La evaluación continua de la eficacia de las medidas técnicas y organizativas desplegadas.
  3. Al evaluar el nivel de seguridad de los datos se deben tener en cuenta los riesgos asociados a que la información sea destruida, se pierda o sufra alteraciones accidentales o ilícitas.
  4. Las empresas pueden adherirse a códigos de conducta u obtener certificados que demuestren que cumplen con todos los requisitos que venimos de detallar.
  5. Las compañías deben garantizar que cualquier persona con acceso a los datos que actúe bajo su autoridad, solo accede a ellos siguiendo sus instrucciones.

Es decir, el RGPD contempla medidas concretas que deben implementarse para garantizar la seguridad de los datos y evitar que se vean expuestos en un incidente de seguridad. Por lo tanto, la responsabilidad de una empresa en el hackeo de datos de clientes comienza, precisamente, en su deber de poner en marcha mecanismos para evitar que el hackeo se produzca.

La responsabilidad de una empresa en el hackeo de datos de clientes se expande al ámbito de las indemnizaciones

Informar a los afectados y a la AEPD forma parte de la responsabilidad de una empresa en el hackeo de datos de clientes

Como ya apuntamos al inicio, la responsabilidad de una empresa en el hackeo de datos de clientes incluye su deber de informar sobre esta clase de incidentes. Así lo establecen los artículos 33 y 34 del RGPD:

  1. Las empresas deben informar del hackeo de datos de clientes a la AEPD sin dilación y, como máximo, en el plazo de 72 horas desde que se tuvo constancia de la brecha, salvo que «sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas». Si se excede este plazo temporal, debe justificarse el motivo del retraso. En la notificación a la AEPD se deben incluir:
    • El tipo y el número de registros de datos afectados, así como el número de clientes cuyos datos fueron hackeados.
    • Quién es el delegado de protección de datos o el punto de contacto para obtener más información sobre lo sucedido.
    • Las consecuencias potenciales de la brecha.
    • Las medidas adoptadas por la empresa para remediar la violación de la seguridad de los datos y para mitigar los posibles efectos negativos de la misma.
  2. Las compañías deben informar a los clientes sobre el hackeo de sus datos si es probable que pueda afectar a sus derechos y libertades. Esta comunicación se debe realizar sin dilación y en un lenguaje claro y ha de incluir el contacto del delegado de protección de datos, las consecuencias que puede tener la brecha y las medidas implementadas para contenerla y mitigar sus efectos.
  3. Los negocios pueden quedar liberados de su obligación de informar a los clientes cuando:
    • Se hubiesen implementado medidas para hacer ininteligibles los datos personales, por ejemplo, mediante el cifrado de los mismos.
    • Las medidas puestas en marcha tras el hackeo garanticen que los datos de los clientes no corren peligro y no pueden ser explotados para cometer fraudes o suplantar su identidad.
    • El esfuerzo de informar a cada cliente sea desproporcionado. En este caso, es posible sustituir la comunicación personal por una comunicación pública.

Habida cuenta de lo que venimos de desgranar, es evidente la responsabilidad de una empresa en el hackeo de datos de clientes en lo que respecta a su deber de informar con precisión a la AEPD y a los afectados.

A qué multas se exponen las empresas que sufren brechas de datos personales

El artículo 83 del RGPD fija las consecuencias que se derivan de la responsabilidad de una empresa en el hackeo de datos de clientes. Así, establece que la AEPD puede imponer multas de:

  • Hasta 20 millones de euros o el 4% del volumen de negocio anual de la empresa por haber infringido el artículo 5 del RGPD, relativo al deber de garantizar una seguridad adecuada de los datos personales.
  • Hasta 10 millones de euros o el 2% de la facturación anual de la empresa por incumplir los artículos 32, 33 y 34 del RGPD. El primero, versa sobre las medidas que se deben implementar para garantizar un nivel adecuado de la seguridad. El segundo, establece las obligaciones de notificación de incidentes a la AEPD. Y el tercero, dicta en qué casos las empresas deben informar a los clientes afectados por una brecha de datos.

La AEPD puede investigar de oficio los incidentes de seguridad y, también, debe responder a las reclamaciones de las personas cuyos datos personales hayan podido verse vulnerados.

Esto implica que si una empresa de la que eres cliente sufrió una brecha de datos y tu información personal (nombre, DNI, datos bancarios, datos de contacto, etc.) se vio expuesta, puedes presentar una reclamación para que la AEPD estudie lo ocurrido e impongan las pertinentes sanciones a la compañía.

La normativa de protección de datos salvaguarda los intereses de los ciudadanos

La responsabilidad de una empresa en el hackeo de datos de clientes incluye el abono de indemnizaciones si se producen daños

El margen de acción de un cliente afectado por una brecha de datos no se limita a interponer una reclamación ante la AEPD. El artículo 82 del RGPD reconoce el derecho a indemnización de «toda persona que haya sufrido daños y perjuicios materiales o inmateriales» por una infracción del reglamento.

¿En qué se traduce este precepto? Una persona que haya sufrido una ciberestafa o cualquier clase de fraude porque los delincuentes obtuvieron sus datos personales al hackear a una empresa, tiene derecho a que dicho negocio la indemnice y recuperar el dinero perdido.

Para reclamar esta indemnización, en primer lugar, se debe intentar alcanzar un acuerdo de forma extrajudicial. ¿Cómo? Presentando una reclamación previa extrajudicial a la empresa en la que se le informa de lo sucedido y se le requiere el pago de una indemnización o activando alguno de los medios adecuados de solución de controversias que existen en nuestro país como la mediación o la negociación directa entre las partes. Si no se alcanza un acuerdo, se puede acudir a la vía judicial.

¿Cuál son los elementos críticos a tener en cuenta para exigir la responsabilidad de una empresa en el hackeo de datos de clientes ante los tribunales de lo Civil?

  • El hackeo de datos debió haberse producido y tuvo que haber afectado a la información del reclamante.
  • La empresa debe haber infringido alguno de los artículos del RGPD que señalamos antes.
  • El reclamante tuvo que ser víctima de un fraude en el que se emplearon sus datos personales sustraídos en la brecha de seguridad sufrida por la empresa. Tiene que existir, por lo tanto, un nexo de unión entre el hackeo y el daño.
  • El daño debe ser cuantificable.

Para exigir la responsabilidad de una empresa en el hackeo de datos de clientes es fundamental:

  • Contar con pruebas que avalen las alegaciones del cliente afectado por una brecha de datos: comunicaciones de la empresa, resoluciones de la AEPD, pruebas de que los datos se vendían en la Dark Web, etc.
  • Recopilar pruebas sobre el fraude sufrido por el cliente y la cuantía del mismo.
  • Buscar el asesoramiento de un abogado especializado en propiedad de datos.

Cómo deben actuar las empresas y los clientes en lo que respecta a la seguridad de los datos

En definitiva, año tras año, la AEPD impone cuantiosas multas a empresas por infringir la normativa de protección de datos al:

  • Realizar actuaciones indebidas, como sacarle una foto al DNI de un cliente para acreditar su identidad o usar los datos personales para un fin que no ha sido autorizado previamente por los clientes.
  • No disponer de medidas adecuadas para garantizar la seguridad de los datos personales.

Por eso, es fundamental que los negocios, sin importar su tamaño, se tomen en serio la normativa de protección de datos y eludan las consecuencias negativas que derivan de la responsabilidad de una empresa en el hackeo de datos de clientes. Puesto que las multas de la AEPD y los conflictos legales con los clientes pueden llevarse por delante la viabilidad de muchas empresas.

Por otro lado, que nuestro ordenamiento regule la responsabilidad de una empresa en el hackeo de datos de clientes empodera a las personas afectadas por las brechas de seguridad que pueden presentar reclamaciones ante la AEPD y demandas judiciales exigiendo indemnizaciones si sus datos son empleados para estafarlas.

En estos casos, es fundamental que las víctimas de un hackeo de datos busquen el asesoramiento de un abogado especializado en protección de datos que estudie su caso y diseñe la estrategia legal más eficaz para conseguir un resarcimiento por el daño sufrido. En Lex Hoy trabajamos con abogados con una dilatada trayectoria a sus espaldas en materia de protección de datos.

Contacta con nosotros

    Artículo anterior
    Hacer testamento online con notario
    Artículo siguiente
    Impuesto por comprar vivienda de segunda mano en 2025: ¿A cuánto asciende?
    Paula Couto
    Paula Couto
    Mi área de interés está en la intersección entre el Derecho Penal y la Empresa. En Lex Hoy desgrano las implicaciones de las leyes del código penal para mantener informados a ciudadanos y empresas sobre sus derechos y obligaciones.

    Artículos populares

    LEXHOY

    Nosotros

    Mantente informado sobre las controversias y noticias jurídicas más recientes. LexHoy te ofrece una visión clara, rigurosa y comprensible del complejo mundo del derecho y sus consecuencias.

    Últimos artículos

    Reclamar comisiones por descubierto en cuenta y recuperar el dinero pagado de más: ¿Es posible?

    Bancario y recuperaciones 0
    El TS ha sentenciado que se pueden reclamar comisiones por descubierto en cuenta cuando el banco ha cobrado, también, intereses de demora

    20.000€ de indemnización a un indefinido no fijo cesado que después adquirió la condición de funcionario

    Laboral y seguridad social 0
    Un juzgado obliga a la Junta de Extremadura a abonar una indemnización a un indefinido no fijo cesado que adquirió la condición de funcionario en una plaza distinta

    ¿Los impatriados tienen que tributar por su vivienda habitual?

    Tributario y contabilidad 0
    El TEAC ha concluido que los impatriados tienen que tributar por su vivienda habitual porque la normativa del IRNR no la excluye

    Más popular

    Reclamar comisiones por descubierto en cuenta y recuperar el dinero pagado de más: ¿Es posible?

    Bancario y recuperaciones 0
    El TS ha sentenciado que se pueden reclamar comisiones por descubierto en cuenta cuando el banco ha cobrado, también, intereses de demora

    20.000€ de indemnización a un indefinido no fijo cesado que después adquirió la condición de funcionario

    Laboral y seguridad social 0
    Un juzgado obliga a la Junta de Extremadura a abonar una indemnización a un indefinido no fijo cesado que adquirió la condición de funcionario en una plaza distinta

    ¿Los impatriados tienen que tributar por su vivienda habitual?

    Tributario y contabilidad 0
    El TEAC ha concluido que los impatriados tienen que tributar por su vivienda habitual porque la normativa del IRNR no la excluye

    © LEXHOY - 2025. Todos los derechos reservados

    LexHoy
    Resumen de privacidad

    Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.