La suplantación de identidad en el ámbito de las empresas resulta un riesgo que puede producir daños a la propia entidad y a terceros. En el presente post analizaremos las posibles responsabilidades en las que podría incurrir cualquier organización si se produce en su entorno una suplantación de identidad.
Responsabilidad Civil
Nuestro Código Civil determina que cualquier persona que cause un daño por acción u omisión mediante culpa o negligencia, está obligado a reparar dicho daño causado a otra persona. De esta forma, cuando se produce una suplantación de la identidad de un empleado de la empresa; tal como el fraude del CEO, es posible que se genere un daño a terceros. Esto generaría a priori un derecho del perjudicado a resarcir esos daños sufridos.
Por otro lado, el Código Civil también regula la responsabilidad extracontractual. Determina la obligación de la empresa de reparar el daño por los actos llevados a cabo por sus empleados. Aunque este daño no haya sido producido directamente por ella. No obstante, esta responsabilidad no se produce automáticamente, sino que es necesario que concurran los siguientes requisitos:
- Existencia de una acción u omisión generadora de una conducta imprudente o negligente. Es atribuible a la persona o entidad contra la que la acción se dirige.
- Existencia de una acción u omisión generadora de una conducta imprudente o negligente. Es atribuible a la persona o entidad contra la que la acción se dirige.
- Existencia de una acción u omisión generadora de una conducta imprudente o negligente. Es atribuible a la persona o entidad contra la que la acción se dirige.
Responsabilidad Administrativa
La responsabilidad que puede surgir para la persona jurídica desde el plano administrativo, puede derivarse de lo estipulado en la legislación vigente en materia de protección de datos y ciberseguridad.
El Reglamento (UE) 2016/679 General de Protección de Datos (RGPD) estipula en su art. 32 que cualquier responsable de tratamiento ha de aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado a la probabilidad y gravedad de que se materialice un riesgo para los derechos y libertades de las personas físicas.
En este sentido, nace el concepto de “Diligencia Debida”, mediante el que se determina la obligada evaluación de los riesgos que presente el tratamiento de datos. Si se produjese destrucción,:
- pérdida
- alteración accidental o ilícita de datos
- una comunicación de los datos
- acceso no autorizado.
Cabe señalar, que el concepto de “responsabilidad proactiva” de la empresa estipulado en el art. 5.2 RGPD también se manifiesta en el caso de sufrir una brecha de seguridad derivada de una suplantación de identidad.
Esta obliga al responsable a cumplir y demostrar tal cumplimiento. Siendo necesaria la aplicación de las medidas técnicas y organizativas, para evitar la materialización de un riesgo; que en este caso, sería la concreción de la ciber amenaza de suplantación del CEO.
En conclusión, es de vital importancia establecer e implantar en una empresa los procedimientos y medidas necesarios, en función de las características y entidad de la misma. Demostrando que se ha tenido una debida diligencia a la hora de intentar evitar que se produjese una suplantación de identidad en su seno.
Aunque el perjuicio haya sido realizado por un tercero ajeno a la empresa, se ha de poder evidenciar que se han adoptado las necesarias precauciones durante el desarrollo de la actividad empresarial, establecidas por la ley o el buen sentido, para evitar un daño que fuera previsible.
La «Diligencia debida» se trata de tener un nivel de cuidado objetivo atendiendo a las concretas circunstancias del caso que posibilite hacer patente que se estaba al tanto de la posibilidad de sufrir una suplantación de identidad y que, en todo caso, se han aplicado las medidas oportunas para reducir la concreción de tal riesgo al mínimo posible.
En UBT Legal & Compliance, como expertos en materia de protección de datos, ayudamos a nuestros clientes a garantizar la adopción de medidas adecuadas para analizar y gestionar los riesgos existentes, con el fin de evitar la asunción de responsabilidades derivadas de cualquier incidente (como puede ser un caso de suplantación de identidad). Además de cumplir, también evidenciamos de forma adecuada la diligencia debida de las organizaciones, demostrando la adopción de medidas y reducción de los riesgos existentes.
Laura Fernández García, consultora en Protección de Datos.