Recientemente hemos tratado el caso de una empresa A que tiene contratado los servicios de almacenamiento de toda la contabilidad de sus clientes con la empresa B, que a la vez tenía subcontratados sus servicios de “cloud” con la empresa C, siendo esta última empresa quién dispone de los diferentes servidores que almacenan toda la información.
En el mes de julio de 2022 la empresa C sufrió un ciberataque, por lo que se produjo la encriptación y posterior solicitud de rescate, de todos los datos que tenían almacenados. A consecuencia de ello se vieron afectados todos los datos de los diferentes clientes de la empresa A con quién existe una relación contractual con ellos.
Las dudas que surgieron con el caso en cuestión eran si la empresa A tendría responsabilidad civil frente al ciberataque por los posibles perjuicios causados a sus diferentes clientes.
«En este caso la empresa A es una víctima directa del ataque cibernético, ya que toda su información se encuentra afectada por la encriptación, pero a su vez también se le puede exigir responsabilidad civil por todos aquellos daños o perjuicios que hayan sufridos todos sus clientes, como podrían ser la filtración de datos de los clientes o el uso indebido de estos.«
Se debe dirimir entre si existe una relación contractual entre el cliente y la empresa A, o bien una relación extracontractual, para determinar dentro de que precepto del Código Civil se recoge la responsabilidad por haber causado un daño a terceros.
En este contexto, existía un relación contractual derivada de la prestación de un servicio y de un manejo de información y datos de los diferentes clientes, es por ello que en el supuesto caso de reclamación de los daños por parte de los clientes, primero se debe acreditar que existe una relación de causalidad entre la encriptación/posible filtración de datos y los daños sufridos.
Asimismo, se debe valorar si la empresa A puede demostrar que se encuentra en alguno de los supuestos de exoneración (art. 1105 y 1107 CC) y acreditar incuestionablemente que actuó con la debida diligencia en el mantenimiento de las medidas de seguridad con la empresa B.
De no poderse acreditar dicho extremo, la empresa A sería responsable de todos aquellos daños y perjuicios que el ataque cibernético haya podido haber causado a sus clientes.
Del mismo modo se debe señalar que en el artículo 82 del Reglamento General de Protección de Datos se recoge específicamente que: Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.