El incumplimiento de sus obligaciones no solo está sujeta a la legislación civil y mercantil, sino que podría derivar responsabilidades penales
CMS Albiñana & Suárez de Lezo, en colaboración con la Fundación ESYS acaba de publicar el informe “Buen gobierno y ciberseguridad: deberes y responsabilidades de las sociedades y de los miembros del consejo de administración”, que define cuál debe ser el papel de los órganos de administración de las compañías para hacer frente a los nuevos retos que plantea la ciberseguridad en el ámbito societario.
El informe pone de manifiesto que los órganos de administración de las compañías deben tomar conciencia de que la ciberseguridad no es solo un problema del departamento de IT, sino una cuestión crítica de la sociedad, comportando riesgos que pueden tener un elevado impacto, no solo en su propio negocio y reputación, sino en los bienes y derechos de terceros.
A estos efectos, conviene remontarse a los principios fundamentales de la regulación corporativa.
Entre los deberes que recaen sobre los administradores se encuentra el de diligencia (art. 225.1 Ley de Sociedades de Capital ), que supone “desempeñar el cargo y cumplir los deberes impuestos por la ley y los estatutos con la diligencia de un ordenado empresario, teniendo en cuenta la naturaleza del cargo y las funciones atribuidas a cada uno de ellos”.
Al mismo tiempo se indica que la forma concreta de hacer frente a los riesgos cibernéticos a los que se enfrenta una sociedad de capital se debe considerar a la luz del deber de diligencia, al que los administradores de las sociedades de capital se someten con carácter general, y que se concreta en la obligación de crear y establecer sistemas adecuados dirigidos al buen funcionamiento de las sociedades y al establecimiento de controles (art. 225.2 de la Ley de Sociedades de Capital)
La publicación de este informe tiene lugar en un momento en que la incidencia de los ciberataques se ve incrementada cada año, tendencia que confirman estudios recientes realizados por organismos y entidades especializados como el Centro Criptológico Nacional CCN-CERT, el Instituto Nacional de Ciberseguridad INCIBE o La Agencia Española de Protección de Datos.
Posible responsabilidad penal
En este informe se indica que la responsabilidad de los administradores por el incumplimiento de las obligaciones inherentes a su cargo y a causa de daños a la sociedad no está limitada a la legislación civil y mercantil, pudiendo constituir el punto de partida de una eventual responsabilidad penal.
Así, el incumplimiento de los deberes que la ley impone a los administradores también puede dar lugar a la comisión de un delito y convertir al administrador en autor del mismo.
En este sentido, el artículo 31 del Código Penal establece: “El que actúe como administrador de hecho o de derecho de una persona jurídica, o en nombre o representación legal o voluntaria de otro, responderá personalmente, aunque no concurran en él las condiciones, cualidades o relaciones que la correspondiente figura de delito requiera para poder ser sujeto activo del mismo, si tales circunstancias se dan en la entidad o persona en cuyo nombre o representación obre.”
Este precepto permite que no quede impune la actuación del administrador cuando el tipo penal exige unas condiciones especiales de autoría que solo concurren en la persona jurídica.
El administrador tiene el deber de asegurar que se cumpla con la legalidad, así como el deber de evitar que se causen daños a la sociedad. De esta manera, cuando, teniendo la obligación de actuar, no lo haga, podrá incurrir en responsabilidad penal, equiparándose esta omisión a la acción delictiva.
En este sentido, el artículo 11 del Código Penal establece: “Los delitos que consistan en la producción de un resultado sólo se entenderán cometidos por omisión cuando la no evitación del mismo, al infringir un especial deber jurídico del autor, equivalga, según el sentido del texto de la ley, a su causación.
A tal efecto se equiparará la omisión a la acción: a) Cuando exista una específica obligación legal o contractual de actuar. b) Cuando el omitente haya creado una ocasión de riesgo para el bien jurídicamente protegido mediante una acción u omisión precedente.”
Necesidad de definir un plan de acción
Analizando el concepto de la digitalización, la ciberseguridad y los retos que conllevan, el informe propone un plan de acción práctico aplicable a los distintos tipos de sociedades o grupos de empresa. https://bit.ly/3FwiKiL
José María Rojí, socio de CMS Albiñana & Suárez de Lezo y especialista en gobierno corporativo, comenta: “Dada la envergadura del riesgo, la responsabilidad que lleva asociado y las crecientes obligaciones normativas y demandas sociales en la materia, el órgano de administración tiene que considerar los ciber-riesgos como una materia propia que debe conocer de primera mano y sobre la que debe actuar, sin perjuicio del imprescindible apoyo de especialistas.
Por su parte, Carlos Lopez Presidente de la Fundación ESYS, añade, “Vivimos un entorno cada vez más complejo para las empresas, sus directivos y administradores que han de afrontar una realidad cada vez más sofisticada técnicamente y cambiante en que los riesgos internos y externos se incrementan sin que ello merme el alcance de su responsabilidad”.
Este experto nos aclara que “el informe trata de hacer análisis global pero también y practico de cómo afrontar desde la posición y responsabilidad de los miembros del Consejo los riegos que implica la ciberseguridad”,
Desarrollar una política integral
Roji explica a Confilegal que cualquier política de ciberseguridad “debe ser integral que involucre a toda la corporación. Estos riesgos pueden materializarse en distintas áreas de la empresa, todos los departamentos y negocios pueden ser causa o víctima de un ciberataque, su protección exige un compromiso del conjunto de la organización, de toda la estructura”, aclara
También señala que “dicha política debe tener una serie de atributos que la hagan preventiva, que preserve de los ataques; mitigadora, que establezca cómo minimizar daños propios y de terceros cuando la prevención falla; restaurativa, que tenga mecanismos que contribuyan a reparar el daño causado; y, prospectiva, que prevea planes de contingencia, de continuidad de negocio y de comunicación, para la supervivencia exitosa de la empresa tras el eventual ataque”:
Por último, Roji señala que “el tercer rasgo de dicha política es que debe ser un política “viva”, que se revise y adapte permanentemente. Lo tecnológico es cambiante, las nuevas prácticas, los nuevos dispositivos, etc. generan riesgos nuevos, pueden desajustar, desactivar, los controles establecidos. Hay que auditar regularmente la eficacia real y práctica de la política y velar por su actualización evitando la obsolescencia” https://bit.ly/3pRIBdr
A su juicio, “lógicamente, esas características comunes se concretarán en cada empresa según sus particulares características, como el tamaño o el sector de actividad”.
En cuanto a las responsabilidades que pueden afrontar los miembros del Consejo de Administración de estas empresas, este jurista nos aclara que “los administradores tienen una primera responsabilidad derivada del cumplimiento normativo”.
“En la medida en que un mayor número de normas van estableciendo obligaciones en materia de ciberseguridad, o en otras materias pero que se ven afectadas por esta, como las obligaciones en protección de datos, los administradores tienen la responsabilidad de velar por que la sociedad cumpla con dichas obligaciones”.
A su juicio, “más allá de ese deber concreto cuyo contenido depende del desarrollo normativo y, muchas veces, del sector de actividad, el deber general de diligencia de los administradores tiene como una de sus manifestaciones más relevantes el deber de prevención de riesgos y de establecimiento por los administradores de reglas de gobernanza que se proyecten sobre el funcionamiento y los controles en materia de ciberseguridad”
Obligación de control de riesgos cibernéticos
Roji cree que “el órgano de administración debe reconocer como una competencia propia derivada de su deber de diligencia el control de los riesgos cibernéticos”
Se trata de que se impliquen “en que se instrumenten las medidas precisas para proteger a la sociedad y sus stakeholders, asignando responsabilidades y competencias en la materia de modo que la sociedad disponga de la estructura adecuada para abordar el reto de la ciberseguridad y protegerse de los ciberataques”.
Este experto nos aclara que “el incumplimiento o cumplimiento defectuoso de esos deberes de cumplimiento normativo y de control de riesgos, podrán generar responsabilidades civiles, administrativas y, en los casos más graves, incluso penales”.
Desde su punto de vista vivimos un entorno hiperconectado donde hay elementos como “las innovaciones técnicas y las prácticas empresariales como la tecnología móvil, la computación en la nube, el teletrabajo y la conexión remota, el wifi empresarial o particular – al que se conectan distintos y variados dispositivos que pertenecen y se gestionan por muy distintos sujetos y entidades”.
También señala “ las tendencias como los dispositivos “inteligentes” y el bring your own device, o el acceso a la información 24/7, y la cada vez mayor interconectividad entre clientes y proveedores, muchas veces con plataformas informáticas de uso compartido, implican que la gran mayoría de los integrantes de una empresa tengan un papel y con él una responsabilidad en la protección cibernética”.
A su juicio, “resultan críticas para una efectiva protección: la concienciación sobre la importancia y gravedad de la materia; la involucración y actitud de todas las personas de la organización; y, el conocimiento por cada una de ellas de sus responsabilidades como gatekeepers en materia de ciberseguridad.
“Por ello, la formación es una herramienta imprescindible para generar esa concienciación, fomentar la involucración y asegurar el conocimiento que permita preservar a la empresa a través de la acción de cada uno de sus miembros”, aclara https://bit.ly/3cFh7mV
