Todos estamos en Internet, por lo que la frase “Si no estás en la red, no existes” se aplica no solo a las personas físicas sino, y con más razón a las empresas. Así, algunos dicen con total acierto, que el ciberespacio es una realidad virtual en la que las relaciones jurídicas tienen las mismas consecuencias que en el mundo tangible y que por tanto, necesita de igual o mayor regulación y protección. Pues en un espacio intangible como lo es Internet, diariamente estamos expuestos a sufrir toda clase de impactos, como por ejemplo engaños, estafas, violaciones de derechos tales como la intimidad, honor o propia imagen y un largo etcétera de perjuicios.
Para regular esta situación, la UE aprobó la Directiva (UE) 2016/1148 sobre las medidas destinadas a garantizar un elevado nivel de seguridad de las redes y sistemas de información de la Unión. Y el pasado 8 de septiembre fue publicada la normativa de trasposición en España de esa Directiva, como medida de urgencia. Así, es el Real Decreto-Ley 12/2018 el que viene a regular la seguridad de las redes y sistemas de información en España. La norma se aplica tanto a las empresas que prestan servicio on-line (proveedores de servicios digitales) como a los operadores de servicios esenciales, de los que no vamos a hablar en este artículo. Se entiende por “seguridad de las redes y sistemas de información” la capacidad de los sistemas de información de resistir cualquier acción que comprometa la disponibilidad, autenticidad o confidencialidad de los datos almacenados, transmitidos o tratados y de los servicios ofrecidos a través de esas redes.
Es importante destacar que la propia norma excluye de su ámbito de aplicación a las pequeñas y micro-empresas, esto es, si tu empresa cuenta con menos de 50 trabajadores o su volumen de negocios anual es inferior a los 10.000.000 de euros, no estará obligada a cumplir con las previsiones de la norma, sin perjuicio de asegurar un nivel adecuado de seguridad y prevenir cualquier incidente.
Para todas aquellas medianas o grandes empresas que tengan presencia en la red y que presten servicios digitales, les es de aplicación el RD-Ley para las que se establecen una serie de obligaciones que podrían resumirse en:
- Notificación a las entidades supervisoras (para el caso de los proveedores de servicios digitales la entidad competente es La Secretaría de Estado para el Avance Digital, del Ministerio de Economía y Empresa) de cualquier incidencia que tenga efectos “perturbadores” significativos en dichos servicios y solo cuando se tenga acceso a la información necesaria para valorar el impacto de ese incidente. La importancia de la incidencia se valorará teniendo en cuenta las personas afectadas, el ámbito geográfico afectado, su duración y su alcance económico y social. Cuando el incidente no tenga gran impacto, se comunicará solamente al Centro Criptológico Nacional.
- Deberá adoptar las medidas técnicas y organizativas adecuadas y proporcionadas para prevenir, gestionar y reducir al mínimo el impacto de los incidentes y los riesgos que se planteen para la seguridad de las redes y sistemas de información que utiliza para prestar sus servicios digitales.
- Se aconseja el aprendizaje continuo sobre la seguridad online.
El RD-Ley establece y clasifica las infracciones que pueden cometer los proveedores de servicios digitales como responsables, y se sancionan con elevadas multas, las muy graves de hasta 1.000.000 euros. Así, entre otras podemos destacar como infracciones muy graves la falta de adopción de medidas para subsanar las deficiencias detectadas, el incumplimiento de la obligación de notificar incidentes o no tomar las medidas necesarias para resolver los incidentes críticos. Proporcionar información engañosa al público sobre los estándares de seguridad del obligado o poner obstáculos a la realización de auditorías se considera infracción grave entre otras.
Finalmente hay que destacar que la propia norma establece que no procederá la imposición de las anteriores infracciones, si los hechos constitutivos de infracción previstos en este RD-Ley están sancionados por otra norma aplicable al que presta lo servicios y exista identidad del bien jurídico protegido.
En conclusión, la norma que traspone la Directiva europea en España, viene a obligar a las medianas o grandes empresas que prestan servicios digitales a velar y extremar las medidas técnicas y organizativas para prevenir y reducir al máximo el impacto de toda incidencia que pueda perjudicar su seguridad.
