Hoy vamos a hablar de la responsabilidad de los bancos cuando se produce un ciberdelito. Como sabemos, determinadas estafas informáticas engañan a la víctima y a la vez eluden las medidas de seguridad de las entidades bancarias. Este mal funcionamiento de los mecanismos de protección puede derivar en una responsabilidad para las entidades bancarias.

Este tipo de delitos se centran en obtener las credenciales bancarias del usuario a fin de poder realizar operaciones sin su consentimiento o inducirle a pensar que la operación es correcta. Pero en realidad está realizando operaciones equivocadas, enviando el dinero a otra cuenta de destino.

Con independencia del método empleado por el atacante (phishing, fraude al CEO y sus múltiples variantes) la clave de estas operaciones radica en que se producen operaciones no consentidas por el usuario y que las medidas de seguridad de la entidad bancaria no han sido capaces de reaccionar.

2.- ¿Hay responsabilidad del banco cuando se produce un ciberdelito o es responsable la víctima?

Aunque ésta es la primera pregunta que mucha gente se plantea ante estos supuestos, debemos recordar que el “el gran responsable” es el atacante y en general las acciones judiciales siempre deberían ir encaminadas a su localización y enjuiciamiento.

Si bien, siempre debemos tener en cuenta que el ordenamiento jurídico impone a los distintos operadores del mercado financiero una serie de obligaciones, proporcionales al rol que ocupan, que deben cumplir para el buen funcionamiento de este.

De esta forma, a pesar de que el atacante sea un tercero y su conducta sea perseguible y punible, en ocasiones debe analizarse si las acciones del resto de partes afectadas han sido correctas o bien, han podido propiciar, favorecer o permitir el daño.

3.- Responsabilidad de los bancos cuando se produce un ciberdelito

La responsabilidad en este tipo de asuntos y con respecto a las entidades bancarias es de carácter civil.  Que se define como la obligación de toda persona (física o jurídica) de pagar por los daños y perjuicios que cause (directa o indirectamente) en la persona o el patrimonio de otra. 

La responsabilidad civil puede surgir de muchísimas formas y tendrá un tratamiento distinto en función del ámbito o suceso. Así, no se aplican las mismas normas en los accidentes de tráfico o laborales que en negligencias médicas o estafas informáticas.

En el caso que abordamos en el presente artículo, la posible responsabilidad de los bancos cuando se produce un ciberdelito, surge de la obligación que la ley impone a estas entidades de autenticar las operaciones de pago y garantizar así que el cliente ha consentido dicha operación.

Estas obligaciones fueron reforzadas por el Real Decreto-ley 19/2018 el 25 de noviembre de 2018, de servicios de pago y otras medidas urgentes en materia financiera . En todo caso, conviene recordar que no son nuevas y que desde hace tiempo se ha condenado a los bancos a devolver las cantidades sustraídas en supuestos en los que habían desatendido sus obligaciones o no aplicado medidas de seguridad suficientes.

3.1.- ¿Cómo era anteriormente?

En concreto los artículos 30 y 31 de la ya derogada Ley 16/2009, de 13 de noviembre, de servicios de pago determinaba que:

– El proveedor de servicios de pago debe demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico o cualquier otra deficiencia.

– El mero registro de la utilización del instrumento de pago no es bastante para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste actuó de manera fraudulenta o incumplió deliberadamente o por negligencia grave una o varias de sus obligaciones.

– En caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante le devolverá de inmediato el importe de la operación no autorizada y, en su caso, restablecerá en la cuenta de pago en que se haya adeudado dicho importe el estado que habría existido de no haberse efectuado la operación de pago no autorizada.

Es decir, ya desde hace bastantes años se viene imponiendo a las entidades bancarias la obligación de demostrar la autenticación y exactitud de la operación y la obligación de devolver las cantidades si no puede demostrar ese cumplimiento de sus obligaciones.

Destacan por ejemplo las Sentencias de la Audiencia Provincial de Barcelona de 7 de marzo de 2013, la de la Audiencia Provincial de Zaragoza de 14 de mayo de 2013, la de la Audiencia Provincial de Valencia en su Sentencia de 26 de noviembre de 2014, la de Sección 9ª de la Audiencia Provincial de Madrid de 4 de mayo de 2015, la de la Audiencia Provincial de Badajoz, Sección 2ª de 7 de febrero de 2013 y la de la Audiencia Provincial de Albacete de 23 de febrero de 2016, coincidentes todas ellas en que la antigua ley ya establecía un sistema de responsabilidad cuasi objetiva de la entidad proveedora del servicio de pago y que “en este ámbito de la contratación electrónica, el prestador del servicio deberá reembolsar el importe de la sustracción a su cliente con el que tuviera contratado el servicio de pago electrónico en operaciones no autorizadas por éste, presumiéndose la falta de autorización si lo niega”, con las exclusivas salvedades de que el cliente haya actuado con negligencia grave o haya actuado fraudulentamente.

3.2.- ¿Cómo es ahora la legislación en materia de responsabilidad de los bancos cuando se produce un ciberdelito?

Actualmente esta norma ha sido sustituida por el El Real Decreto-Ley 19/2018, de 23 de noviembre, de Servicios de Pago, que incorporó a nuestro ordenamiento interno la Directiva (UE) 2015/2366 del Parlamento y del Consejo, de 25 de noviembre, sobre Servicios de Pago en el Mercado Interior.

Esta nueva norma no hace sino reforzar la necesidad de que las entidades bancarias implementen las medidas de seguridad necesarias para asegurar la identidad del ordenante y la autenticación de la operación, generando un entorno más seguro y fiable para los usuarios, aprovechando las innovaciones tecnológicas producidas en los últimos años, con un marco de responsabilidad cuasi-objetiva para la entidad bancaria.

Así, esta normativa obliga a las entidades bancarias a que las órdenes de pago se realicen mediante una autenticación reforzada. Es decir, la autenticación que ya tradicionalmente se exigía, ahora debe ser doble, mediante el uso de la clave personal y, además un factor biométrico o una clave aleatoria que debe ser enviada al usuario para revalidar la operación.

Además, Reglamente Delegado (UE) 2018/389 establece que los bancos deben disponer de mecanismos de supervisión de las operaciones que les permitan:

• Detectar operaciones de pago no autorizadas o fraudulentas. 

• Poder detectar que los elementos de autenticación (las claves personales) han sido comprometidas o sustraídas.

• Deben detectar señales de infección por programas informáticos maliciosos en el proceso de autenticación. 

• Analizar las pautas o hábitos de consumo de los usuarios a fin de identificar operaciones sospechosas.

• Detectar si los comercios receptores de la operación son seguros.

• Bloquear la operación, en caso de detectar un fraude y ponerse en contacto con el usuario-consumidor.

De esta forma, en caso de una operación fraudulenta, la entidad bancaria deberá demostrar el cumplimiento de todas esas obligaciones y medidas de seguridad.

Aún así, en muchas ocasiones, cuando se produce una estafa informática tipo phishing,  advertiremos que la operación consta autenticada, registrada y contabilizada. El problema es que el cliente no fue quien autorizó la operación de forma expresa, consciente y voluntaria, sino que lo hizo un tercero.

En estos casos debemos recordar que según la Ley de Servicios de Pago, las operaciones de pago sólo se consideran autorizadas cuando el ordenante haya dado su consentimiento y que este consentimiento, al igual que todos en nuestro ordenamiento, no este viciado.

Sirva como ejemplo la Sentencia de la Audiencia Provincial de Alicante de 12 de marzo de 2018 estableció que:

“…la responsabilidad del proveedor de los servicios de banca online es de riesgo y consecuentemente, es por ley que a la entidad corresponde acreditar que la operación ordenada sí fue auténtica y que no estuvo afectada por un fallo técnico o por otra deficiencia como, por ejemplo, por un ataque informático de naturaleza fraudulenta al sistema bancario que hubiera permitido el acceso a las cuentas de sus clientes y disponer ilícitamente, de las mismas ordenando operaciones en detrimento de aquellos…

Las medidas de seguridad no solamente están destinadas a proteger la seguridad de las órdenes de pago emitidas por los clientes sino que su eficacia exonera a las entidades de crédito de sus responsabilidades frente a las órdenes de pago no emitidas por sus clientes de tal forma que el incumplimiento de este específico deber de vigilancia da lugar a una responsabilidad por ”culpa in vigilando” o responsabilidad objetiva por el mal funcionamiento de los servicios de banca electrónica.”.

Además de lo anterior, debemos recordar que la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, establece en su artículo 2.1.a) la condición de sujetos obligados para las entidades de crédito, lo que conlleva un deber legal de cumplir con una serie de obligaciones en materia de prevención de blanqueo de capitales y de financiación del terrorismo que se detallan en dicha Ley y en las disposiciones reglamentarias de desarrollo. 

Entre estas obligaciones, el artículo 17 de la Ley 10/2010, de 28 de abril, establece que los sujetos obligados examinarán con especial atención cualquier hecho u operación, con independencia de su cuantía, que, por su naturaleza, pueda estar relacionado con el blanqueo de capitales o la financiación del terrorismo, reseñando por escrito los resultados del examen.

Así, las entidades bancarias, además de lo dicho, deben examinar con especial atención toda operación o pauta de comportamiento compleja, inusual o sin un propósito económico o lícito aparente, o que presente indicios de simulación o fraude, con el objetivo de evitar que los fondos que tengan su origen en actividades delictivas se canalicen a través del sector bancario. 

De esta forma, las entidades bancarias también desde el punto de vista de esta normativa deben aplicar medidas dirigidas a detectar las operaciones sospechosas antes de que se lleven a cabo, con el objeto de evitar que los fondos de procedencia ilícita se introduzcan en el sistema y en segundo lugar evitar que se realicen futuras operaciones con el mismo patrón.

4.- Responsabilidad del usuario

¿Puede tener responsabilidad el usuario? 

La respuesta es sí, aunque sólo en casos excepcionales. La ley indica que será responsable si actúa de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave (no basta la simple o leve falta de diligencia) una o varias de sus obligaciones.

De esta forma, el usuario/víctima, no tendrá ninguna responsabilidad de la operación en la mayoría de supuestos. Salvo casos en los que por ejemplo habiendo perdido el instrumento de pago y los credenciales no lo comunicara con prontitud.

Conclusiones

1.- El mercado financiero es un sector ampliamente regulado a fin de que sea seguro para los consumidores y usuarios.

2.- Esta legislación impone a las entidades bancarias y proveedores de servicios de pago la obligación de establecer medidas de seguridad suficientes para que los consumidores no realicen operaciones inconsentidas o indebidamente consentidas.

3.- En caso de fraude o estafa online, además de iniciar las correspondientes acciones para localizar y enjuiciar al culpable, en la mayoría de ocasiones puede reclamarse al banco la devolución de los importes.

4.- Aún así, el usuario siempre deberá velar por el cumplimiento de las obligaciones que le son propias y actuar con la diligencia que le es exigible.

La entrada Responsabilidad de las entidades bancarias en los ciberdelitos se publicó primero en Términos y Condiciones.

Hoy vamos a hablar de distintos supuestos de estafas con criptomonedas, si bien, antes de llegar a ello, revisaremos brevemente el concepto de estafa y las diversas formas de cometerla que ha ido recogiendo nuestra legislación Penal hasta la fecha.

El nombre de “estafa” aparece por primera vez en el Código Penal de 1822, cuyo artículo 766 contenía un concepto enumerativo atendiendo a las diversas formas o medios para cometerla, definiéndola así: 

“Cualquiera que con algún artificio, engaño, superchería, práctica supersticiosa y otro embuste semejante, hubiese sonsacado a otro, dinero, efectos o escrituras, o le hubiere perjudicado de otra manera en sus bienes, sin alguna circunstancia que le constituyere en verdadero ladrón, falsario o reo de otro delito especial”.

Esta fórmula, con más o menos medios comisivos o formas de ejecución, se mantuvo en el tiempo en los sucesivos códigos de 1848, 1870, 1928 y 1944. Después de los “parches” de 1963 y 1973 y siguiendo la definición acuñada por Antón Oneca se alcanzó en 1983 el concepto legal unitario de la estafa:

 “La conducta engañosa, con ánimo de lucro, propio o ajeno, que, determinando un error en una o varias personas, les induce a realizar un acto de disposición consecuencia del cual es un perjuicio en su patrimonio o en el de un tercero”.

De esta forma, el delito de estafa quedó configurado con una serie de elementos esenciales como son:

1) La utilización de un engaño previo, por parte del autor del delito, y bastante como para generar un riesgo no permitido para el bien jurídico.  La suficiencia, idoneidad o adecuación del engaño ha de establecerse con arreglo a un baremo mixto objetivo-subjetivo, en el que se pondere tanto el nivel de perspicacia o comprensión del ciudadano medio como las circunstancias específicas que individualizan la capacidad del sujeto pasivo en el caso concreto. 

2) El engaño ha de desencadenar el error del sujeto pasivo de la acción.

3) Debe darse también un acto de disposición patrimonial del sujeto pasivo, debido precisamente al error, en beneficio del autor de la defraudación o de un tercero. 

4) La conducta engañosa ha de ser ejecutada con dolo y ánimo de lucro. 

5) De ella tiene que derivarse un perjuicio para la víctima, perjuicio que ha de aparecer vinculado causalmente a la acción engañosa (nexo causal o naturalístico) y materializarse en el mismo, el riesgo ilícito que para el patrimonio de la víctima supone la acción engañosa del sujeto activo.

Estos elementos, aunque en apariencia, fáciles de interpretar, nunca han estado exentos de discusión. Destacando sobre todo la difícil concreción de lo que es un engaño y lo que se considera “bastante”.

Pues esa fórmula que hemos llamado “Baremo mixto objetivo-subjetivo” implica analizar, interpretar y ponderar en cada caso tanto el nivel de perspicacia o conocimiento del ciudadano medio como las circunstancias específicas que individualizan la capacidad del sujeto pasivo en el caso concreto.

Viendo a lo largo de la jurisprudencia histórica supuestos que no se han considerado estafa cuando las víctimas sean “profesionales expertos en la materia, conocedores de lo que compran (STS 156/1996, de 21 de febrero)”, que más que un engaño el perjuicio se deba a “la negligencia en informarse (STS 40/2003, de 17 de enero)” o que el engaño sea realmente burdo y torpe como en el caso de quien “acude a mediums, magos, poseedores de poderes ocultos, echadoras de cartas o de buenaventura o falsos adivinos, cuyas actividades no puedan considerarse como generadoras de un engaño socialmente admisible que origine o sean la base para una respuesta penal. En estos casos, por lo general, se considera que el engaño es tan burdo e inadmisible que resulta inidóneo para erigirse en el fundamento de un delito de estafa” (STS 89/2007, de 2 de febrero)

Si bien, esta concepción unitaria de la estafa, sin casuística o medios de comisión no nos duró demasiado.

Nuevas formas, nuevos delitos

En este sentido la STS de 19 de abril de 1991 estimó que la conducta del apoderado de una entidad financiera que, mediante la manipulación de las órdenes informáticas de transferencia, se apoderó de sumas de dinero de los clientes, no constituía estafa sino apropiación indebida:

“Mal puede concluirse la perpetración de un delito de estafa por parte del procesado, al impedirlo la concepción legal y jurisprudencial del engaño, ardid que se produce e incide por y sobre personas, surgiendo en el afectado un vicio de voluntad por mor de la alteración psicológica provocada. La «inducción» a un acto de disposición patrimonial sólo es realizable frente a una persona y no frente a una máquina, implica una dinámica comisiva con acusado substrato ideológico.”

Con razón se ha destacado que a las máquinas no se las puede engañar, a los ordenadores tampoco, por lo que los casos en los que el perjuicio se produce directamente por medio del sistema informático, con el que se realizan las operaciones de desplazamiento patrimonial, no se produce ni el engaño ni el error necesarios para el delito de estafa. Sin engaño, elemento cardinal de la estafa, no puede entenderse producida ésta”.

Del mismo modo, en la STS 1853/1993, de 21 de julio, ante la utilización de un artilugio consistente en introducir una moneda de cien pesetas que estaba sujeta con papel celofán a un hilo de pesca para reproducir la jugada innumerables veces hasta que la máquina daba el premio; acto calificado como un delito de robo.

Ante este tipo de nueva casuística, vinculada al desarrollo de la tecnología, se empezaron a realizar nuevas reformas en todos los Códigos Penales de Europa.

En concreto, la Decisión Marco del Consejo de Ministros de la Unión Europea, de fecha 28 de Mayo de 2001 “obligó” a realizar diversas reformas. Éstas, en cierta medida, volvían a introducir el tipo de redacción que incluye medios comisivos y tipificación de actos preparatorios.

En esta modalidad se dan todos los requisitos ya examinados a excepción de dos: el engaño y el error, habida cuenta de que la conducta del sujeto activo se despliega sobre una máquina, respecto de la cual no puede hablarse de engaño o de padecimiento de error y “Solventa la imposibilidad de la acusación de demostrar el uso posterior de esos concretos programas o ante los gravísimos problemas de prueba sobre la conexión del programa con estafas concretas posteriormente realizadas, pues el tipo anticipa la punición a un acto preparatorio.”

Con ello y tras algunos ajustes, se ha llegado a la redacción actual de la estafa. Recogiendo los anteriores requisitos esenciales y añadiendo supuestos en los que el error o el engaño se produce de manera indirecta a través de la tecnología:

“248.2. También se consideran reos de estafa:

a) Los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro.

b) Los que fabricaren, introdujeren, poseyeren o facilitaren programas informáticos específicamente destinados a la comisión de las estafas previstas en este artículo.

c) Los que utilizando tarjetas de crédito o débito, o cheques de viaje, o los datos obrantes en cualquiera de ellos, realicen operaciones de cualquier clase en perjuicio de su titular o de un tercero.”

“Delito Mutante”

Estos cambios legislativos se deben sin duda a que la estafa es, por encima de casi cualquier otro delito, un delito sujeto a “mutaciones”, como si de un virus se tratara.

Así, lo normal es que las formas en las que se comete el engaño vayan mutando con el tiempo. Si se parecen a algo que conocemos serán más “creíbles”.

De esta forma, era habitual en el pasado, el “timo del falso pariente”, el timo del “príncipe nigeriano” o los famosos timos de la estampita. Si bien ahora ya raras veces surten efecto.

Sin embargo, ahora es fácil encontrar llamadas, correos electrónicos o SMS de quien simula ser una empresa con la que estemos familiarizado. Empresas de transporte/Correos indican que hay un problema o que falta por pagar gastos de envíos, aduanas, impuestos, etc.  Webs “raras” con precios especialmente bajos en Navidad, Black Friday, Ciber Monday, San Valentín… . Campañas para ayudar a “afectados por” el volcán de la Palma, Ucrania o similar. Mensajes falsos de Hacienda o de una entidad bancaria diciendo que van a bloquear nuestra cuenta y un largo etcétera.

Es decir, en la estafa, el engaño siempre aprovecha las circunstancias para aumentar sus posibilidades de éxito.

Nueva Variante: estafas de inversión en criptomonedas

Hoy por hoy, por su complejidad, número de personas afectadas y cantidad económica defraudada, podemos decir que tenemos una nueva variante dominante en el mundo de las estafas: las estafas de inversión en criptomonedas.

El número de estos “proyectos” de inversión en criptomonedas ha aumentado exponencialmente últimamente y algunos o muchos de ellos han desembocado en procedimientos judiciales de enorme envergadura donde se investiga si responden en realidad a una estafa.

Entre los más famosos están Nimbus, Kuailian, Mind Capital, Africrypt, Generación Zoe, Tokens de Squid Game o Algorithms Group, entre otros. Si bien son muchísimas las plataformas de este tipo que en los últimos años están desarrollando una operativa defraudatoria similar.

Esquema de funcionamiento de las estafas de inversión en criptomonedas:

– Utilizan la imagen de personajes famosos y medios de comunicación reconocidos para dar credibilidad al negocio. Sin embargo, seguramente la página web sea de reciente creación, el dominio lo acaban de comprar y las imágenes que utilizan son de “catálogo”.

– Van a prometer siempre unas ganancias de forma rápida y una rentabilidad muchísimo más alta que otro tipo de inversiones. En general utiliza términos complejos (para que creamos que son expertos) y presumir de una tecnología única (bots, high-frequency trading, índices sintéticos, etc.). Aunque si se pudiera comprobar, veríamos que no disponen de estudios claros que respalden su operativa. 

– En el primer momento, la inversión inicial que nos solicitan es baja (sirve como cebo). Suelen incluso ofrecerla como si fuera algo único o una oferta especial para nosotros. Con esto intentan que nos sintamos “afortunados” y actuemos de forma precipitada sin consultar o comparar con otras posibilidades del mercado.

Tampoco son raros los supuestos en los que se ofrece formación en productos financieros, asistencia a charlas o eventos. Tienen el objetivo de crear un “grupo” que comparta afinidades y que el estafado se sienta cómodo.

– En todo momento nos van a asegurar que es una operación sin riesgos. Algo expresamente prohibido por la ley en relación a este tipo de productos. Incluso nos compartirán historias de personas que se han hecho ricas con esta fórmula mágica.

– Una vez realizada la primera transferencia, lo más habitual, es que nos asignen un usuario y una contraseña para acceder a una página web. Ahí, podremos ver la supuesta  y maravillosa evolución de la primera inversión. 

En esa plataforma los estafadores nos mostrarán cómo se multiplica o triplica en un período muy corto de tiempo. Pero la realidad es que que no está realmente vinculada al mercado ni a ningún tipo de inversión. 

Con ello, sucederán una serie de acontecimientos importantísimos para el éxito de la estafa:

• Nos ofrecerán sacar la rentabilidad que hemos generado (para demostrar la seguridad de la operación y mantener la confianza que hemos depositado en ellos). A ellos no les preocupa ese porcentaje, no es una rentabilidad. Es una parte de lo que tú mismo les has dado, que te devuelven como si fuera una rentabilidad. Lo importante es que tú te quedes tranquilo para que el siguiente “golpe” surta efecto.

• A su vez, nos informarán de la posibilidad de reinvertir esa rentabilidad y empezar a generar rentabilidad sobre la base de un “interés compuesto”. Con esto normalmente consiguen una “jugada maestra”. Tú te has quedado tranquilo, porque podrías haber recuperado la rentabilidad prometida y feliz por esta nueva y mejor oportunidad de inversión. Ellos no han tenido que devolverte ni un céntimo.

• Te indicarán a su vez que si invitas a personas de confianza, tu recibirás comisiones y además podrás optar a una nueva forma de inversión. Esa nueva “oportunidad” es siempre “más rentable” pero “lógicamente” requiere que inviertas mucho más dinero. 

A través de ese esquema, lo que nos encontramos en realidad son diversas maniobras para conseguir una estafa a gran escala.

1. Basada en afinidades, afiliaciones e incluso creencias (algunos supuestos empiezan a ser conocidos como “criptosectas”).
2. Configuradas bajo un esquema piramidal (a través de la inclusión de nuevos inversionistas).
3. Con un funcionamiento tipo Ponzi (donde lo que recibes es en realidad una fracción de la aportación de los siguientes inversores).

Al final, en todos los casos ocurre algo similar: llega un momento en que la estructura piramidal es demasiado ancha como para que los nuevos inversores captados aporten capital suficiente como para cubrir esas rentabilidades prometidas. Comienzan los retrasos, los impagos, los problemas para retirar fondos e incluso que pagues comisiones para que te devuelvan el dinero.

Qué hacer para evitar caer en una estafa de inversión en criptomonedas y qué hacer si hemos confiado en alguna de estas empresas

En primer lugar, debemos tener claros los puntos anteriores, ya que todos ellos deben indicarnos que no estamos ante una empresa de confianza. Además, hay que considerar siempre que:

– Los instrumentos financieros como las criptodivisas, son instrumentos complejos, sujetos a gran riesgo y a una regulación muy específica. Nadie puede asegurar o prometer grandes rentabilidades.

– Nunca debemos tomar decisiones de inversión de manera precipitada, sin informarnos, contrastar y consultar. 

– No existen fórmulas mágicas en el mercado bursátil ni en el de criptomonedas. Si alguien presume de tenerlas, malo.

– Si nos solicitan dinero en efectivo o pagos a través de criptomonedas, es indicio de “no querer dejar rastro”.

– Todo este tipo de operaciones deben ser realizadas por entidades que cuenten con la correspondiente autorización de la Comisión Nacional del Mercado de Valores. Siembre podemos consultar si hay algún aviso en el siguiente enlace:  https://www.cnmv.es/Portal/BusquedaAdvertencias.aspx?lang=es

Si nos hemos visto afectados, debemos recabar y organizar toda la información de la que dispongamos: web, teléfonos, nombres, emails y justificantes de las inversiones.

Y con ello,  acudir a la policía o consultar con un despacho especializado en la materia para interponer la correspondiente denuncia o incluso acudir a tribunales para recuperar lo invertido o perdido.

La entrada Las estafas de inversión en criptomonedas se publicó primero en Términos y Condiciones.

“Años atrás, sin importar cuántos, hallándome con poco o ningún dinero en la faltriquera, y sin nada que me interesara especialmente en tierra, se me ocurrió hacerme a la mar por una temporada, a ver la parte acuática del mundo.”

Melville, Herman. Moby Dick, Capítulo I

1.- Introducción

Siempre he pensado, seguro que como muchos otros, que el mundo marino y el de Internet son ciertamente similares. No en vano se ha decidido reutilizar el término: “navegación”.

Tanto uno como otro sirvieron en sus orígenes uno para expandir el horizonte del hombre, generaron nuevas formas de comercio, de intercambio de noticias, de gentes (y su privacidad), pero también ataques, piraterías y guerras. Como vemos, comparten ventajas, amenazas y últimamente soluciones.

Me refiero sin duda a los ciberseguros. 

La cuestión es que Internet hoy es igual a muchas cosas positivas, pero también implica muchos ataques informáticos, de forma constante y regular, y además cada vez de mayor escala (solo en 2018 España recibió 102 ciberataques graves, es decir, dirigidos a infraestructuras críticas como centrales eléctricas o nucleares). Si pasamos del Internet conocido al Internet de las Cosas, España en la primera mitad de 2018 recibió más ciberataques que nadie.

Por tanto, hacer frente a esos ataques, con las correspondientes medidas de seguridad, pero también con las precauciones debidas si al final sufrimos un daño, es una cuestión básica. Es ahí donde entran en juego los ciberseguros. 

El mundo marino en sus inicios no estaba exento de riesgos, como es lógico. De hecho, aventurarse en el mar era una gran odisea hasta hace no mucho tiempo. De modo que las gentes de mar, o quien tenía intereses económicos “navegando”, comenzaron a elaborar una serie de pactos, acuerdos y normas que hoy son lo que conocemos como “seguros”.

“Como ocurre a menudo en aquellos puertos (…) la gente de Nantucket invierte su dinero en los balleneros, como las de otras partes coloca el suyo en valores seguros que rindan a un buen interés.”

Melville, Herman. Moby Dick, Capítulo VI

Así, todas las civilizaciones antiguas comenzaron a “asegurarse” de que sus traslados y el transporte de sus mercancías se hiciera con los menores riesgos posibles. Contrato que perfeccionaron los griegos y adoptaron los romanos con el nombre de “nauticum fœnus” (nauticum: de la navegación y foenus: interés del dinero prestado). Porque para navegar seguros, no bastaba con llevar al César y su fortuna…

Posteriormente, estos contratos pasaron a llamarse coloquialmente “préstamo a la gruesa” refiriéndose “…a la gruesa aventura que supone el viaje por mar”.

El caso más famoso de “préstamo a la gruesa ventura” es el que fue estipulado entre Isabel la Católica y Cristóbal Colón en las Capitulaciones de Santa Fe. Aunque curiosamente, el primer documento que puede llamarse “contrato de seguro” es un seguro marítimo que se firmó en Génova en 1347 para asegurar al Santa Clara en su ruta entre esa ciudad y Mallorca, desde donde escribo estas líneas.

Hasta nuestros días estos contratos de seguro se han ampliado a todos los ámbitos de nuestras vidas donde existe riesgo de que algo no marche como nos gustaría. Así tenemos seguros de vida, de hogar, médicos, de daños, de responsabilidad civil y un largo etcétera. Hasta llegar al tema que nos ocupa, los ciberseguros. Y es que como antaño, hoy los piratas navegan con nosotros en un mar de redes.

Ahora que ya sabemos un poco de donde venimos, vamos a ver cómo estamos y hacia dónde nos movemos.

2.-  ¡Al abordaje!

La pregunta de nuestro tiempo, al igual que cuando se inició la navegación marítima, no es si mi empresa tiene riesgos durante la navegación o si se encontrará con piratas, la verdadera pregunta es cuándo sucederá y si tenemos los mecanismos necesarios para hacerles frente.

Es este contexto tres elementos se alzan como medidas de defensa de primer orden a fin de mitigar el riesgo y mantener unas tasas de seguridad empresarial adecuadas:

• La ciberseguridad corporativa

• La concienciación y formación de los trabajadores

• Los ciberseguros.

Es decir, navegar por rutas seguras, con trabajadores que sepan desempeñar adecuadamente su trabajo y con unos buenos salvavidas por si aún así, algo sale mal.

3. ¿Pero qué es en realidad un ciberseguro?

Los ciberseguros, como cualquier otro sistema de cobertura de riesgos, proporcionan una serie de soluciones técnicas y financieras cuando se produce el hecho asegurado, en este caso un ciberataque o ciberintrusión. 

Sin embargo, su verdadera importancia dentro del marco actual no se basa únicamente en su capacidad para transferir el riesgo corporativo a terceros. Es decir, no todo se resume en dinero.

En realidad su verdadera importancia radica en que junto a ellos – o mejor dicho, por ellos – se establecerán una serie de medidas de protección más adecuadas a los riesgos actuales.

Así, las aseguradoras procurarán que las empresas dispongan de:

• Medidas de protección robustas
• Revisiones periódicas
• Determinadas diligencias por parte del cliente.

Con todo esto, podemos evitar grandes males.

4. ¿Debo tener un ciberseguro?

“Siguió navegando el Pequod, corrían las olas y los días, el ataúd salvavidas seguía balanceándose a popa (…)” 

Melville, Herman. Moby Dick, Capítulo XXXI

En lo relativo a seguridad, está claro que siempre deberemos tomar alguna medida. Para decidir cual será o si debemos tener o no un ciberseguro, lo primero que debemos hacer es un análisis de riesgos.

Para ello debemos revisar nuestro entorno, los procesos de nuestra empresa y tratar de responder a alguna de las siguientes preguntas:

• ¿Qué puede pasar?
• ¿Cuándo y dónde? 
• ¿Cómo y por qué?
• ¿Cómo serán las consecuencias?
• ¿A qué costes, pérdidas o sanciones nos exponemos?

Una vez que tenemos claros cuáles son los riesgos, la probabilidad de que sucedan y sus consecuencias, tendremos que reflexionar sobre:

• ¿Qué medidas vamos tomar?
• ¿En qué orden?
• ¿Cuánto nos va a costar?
• ¿Qué recursos necesitamos?

Con todo esto tendremos datos suficientes para saber cómo tratar los riesgos, siempre desde un enfoque coste/beneficio. Para ello tenemos 4 opciones: evitarlos, mitigarlos, aceptarlos o transferirlos.

¿Cómo lo hacemos?

– Los evitamos dejando de hacer la actividad que es arriesgada, generalmente porque tratar de mitigar el riesgo es muy caro y existe una alternativa menos arriesgada para esa actividad. Sería equivalente a tomar una ruta alternativa, con menos riesgos.

– Los reducimos o mitigamos aplicando medidas o controles tanto organizativos (políticas, procedimientos o formación) como técnicos. Esto es lo adecuado cuando el coste es proporcional al beneficio que obtendremos, es decir: el riesgo después de aplicar las medidas es mucho menor.

– Los aceptamos si cruzamos los dedos y esperamos a que no pase nada. Podemos hacerlo si el riesgo (probabilidad de que ocurra) es muy bajo y su impacto no nos echaría del terreno de juego.

– Los transferimos en el caso de que sea muy caro reducirlos o mitigarlos. Podemos hacerlo contratando un seguro o externalizando el servicio con coberturas de seguridad asociadas.

5. Opciones disponibles en el mercado

Podríamos pensar que en un escenario en el que los riesgos son tan variados, retorcidos y cambiantes, los productos que los aseguran serán igual de variados, dinámicos y en ocasiones confusos.

Sin embargo, el objetivo de las pólizas de ciberseguros no es confundir al cliente sino crear pólizas más o menos ‘vivas’, que se revisen cada cierto tiempo para recoger las nuevas amenazas a los que el cliente tiene que enfrentarse. 

En definitiva, son productos que reúnen unas características más o menos homogéneas pero adaptadas individualmente a las necesidades del mercado y de la compañía en cuestión. Necesidades que a veces requieren de la suma de fuerzas y recursos de grandes compañías.

“Enganchados y retorcidos en la maraña de cuerdas, arpones y lanzas sueltas caían chorreando sobre los entremiches de la proa de la ballenera de Acab.”

Melville, Herman. Moby Dick, Capítulo XXXII

Así mismo, y a efectos meramente expositivos, dejo una pequeña lista con algunas de las aseguradoras que actualmente están especializándose en la ciberseguridad:

• Check Point 
• ACE Europe
• Marsh & McLennan
• Hicox
• Lloyds
• Zerolynx
• Melcox
• Axa Seguros
• Allianz 
• AON
• Reale Seguros
• Nut Sistemas 
• MAPFRE
• MGS

5.1. ¿Qué me ofrece un ciberseguro?

De forma general, los ciberseguros o pólizas de ciberriesgos cubren lo que podríamos llamar daños propios y daños de terceros. Mientras que por otro lado suelen contener una pequeña lista de exclusiones.

Vamos a resumirlo visualmente:

A) Daños propios generalmente cubiertos

Por tanto, los daños propios son la suma de la pérdida de ingresos que tendremos como resultado de un ciberataque y de los gastos que deberemos asumir para solucionarla (que en ocasiones no serán precisamente pequeños).

“Mas estos ataques trajeron, al cabo, desastres tales (no simplemente muñecas o tobillos distendidos, miembros rotos o amputaciones, sino muerte y destrucción)”. 

Melville, Herman. Moby Dick, Capítulo XI

B) Daños de terceros comúnmente cubiertos

Los daños de terceros cubren como vemos los “simples” gastos de notificación de vulneraciones de privacidad a los dueños de los registros, las responsabilidades derivadas de la pérdida de datos de terceros, la vulneración de confidencialidad, la defensa jurídica, las multas o las sanciones, entre otros.

En todo caso, los tribunales de EE.UU. comienzan a presentar numerosos casos derivados  de ciberatataques, como de las pólizas en sí, la responsabilidad asumida en términos generales y las coberturas frente a fraudes, robos y demás delitos. De esa forma, se están comenzando a analizar si supuestos que causan pérdidas por ataques de email spoofing (consistente en crear un mensaje de correo electrónico con una dirección de remitente falso), quedan cubiertos o no por la póliza (entendiéndose que el spoofing supone una entrada fraudulenta de datos en el sistema del equipo, y por tanto una modificación de datos causante de daños cubierta por la póliza).

C) Riesgos habitualmente excluidos de los ciberseguros:

El apartado de exclusiones merece una atención especial. Aunque en realidad, ninguna de las exclusiones habitualmente previstas carece de lógica.

Así, suelen referirse a cuestiones previas a la contratación, a riesgos libremente asumidos, a los que se producen en circunstancias absolutamente imprevistas y a aquellos derivados de nuestra culpa.

Por ejemplo, y en cuanto a la exclusión relativa a la guerra, el ciberataque de NotPetya está generando un debate legal muy interesante. Dicho ataque generó miles de millones dólares en pérdidas. Entre los afectados estaba la empresa alimentaria Mondelez, la cual reclamó a su aseguradora (Zurich) más de 100 millones de dólares por los daños causados. En principio su póliza debía dar cobertura, sin embargo Zurich se negó a pagar aludiendo a que NotPetya era un ciberataque impulsado por un estado (en principio Rusia) y que por tanto se aplicaba la exclusión relativa a cualquier acto de guerra.

El problema en este tipo de casos, cada vez más común, es probar quién estaba tras el ataque y si no se trataba de un ciberataque sin más. Por ello, la International Underwriting Association ha propuesto introducir una exclusión total o limitada (según el caso) respecto a ciber pérdidas, para evitar responsabilidades en pólizas tradicionales que quizá sin querer también den cobertura. 

Sin duda será interesante ver cómo acaba desarrollándose esta cuestión.

6. Qué tener en cuenta legalmente si contratamos un ciberseguro

“De ahí que surgieran las reyertas más violentas y funestas entre los balleneros a no ser por existir ciertas leyes universales, indiscutibles, tácitas o expresas, y aplicables a todos los casos”

Melville, Herman. Moby Dick, Capítulo XXII

Hemos llegado al quid de la cuestión: ¿Estamos legalmente obligados a tener un ciberseguro? ¿Lo estaremos en el futuro? ¿Qué debemos tener en cuenta legalmente si contratamos uno?

6.1. ¿Estoy legalmente obligado a tener un ciberseguro?

No, ahora mismo no hay ninguna obligación legal de tener un ciberseguro. Si bien es cierto que con la entrada en vigor de determinados cuerpos normativos (sobre todo el RGPD y el Reglamento Europeo sobre la Ciberseguridad), tener un ciberseguro nos permitiría cumplir con alguna de las nuevas exigencias con mayor seguridad (en todo caso, el nuevo reglamento sobre ciberseguridad sí exige seguro a los llamados organismos de evaluación de la conformidad).

Así mismo, como vemos en la noticia reseñada a continuación, no parece muy lejano el día en el que algunos ámbitos o sectores deban contratar uno al igual que sucede con los vehículos a motor, por poner un ejemplo.

Como decíamos, no estar obligados (aún) no significa que no haya cuestiones jurídicas que se vean alteradas por tenerlo o no tenerlo. 

Como ya sabemos, todos nuestros negocios tienen que cumplir algunas obligaciones legales, si bien estas obligaciones se han visto incrementadas sobre todo si tratan con datos personales. Pero también si queremos tener un registro laboral de jornada basado en un sistema informático o si queremos proteger determinados secretos de nuestra empresa.

El análisis de riesgos al que hacíamos referencia anteriormente y el asesoramiento de un experto servirán para revisar estas obligaciones.

Veamos sucintamente alguno de los problemas que podemos tener en el mundo actual:

• Robo de datos personales o de contraseñas
• Utilización indebida de información privilegiada
• Sabotaje a sistemas o programas informáticos de la compañía
• Caídas de sistemas o servicios
• Acceso a correos o equipos
• Extorsiones y estafas

Estos riesgos enunciados (solo algunos de los muchos a los que estamos actualmente expuestos) pueden implicar por un lado la paralización de la actividad normal de la empresa y por otro generar una serie de responsabilidades de índole jurídica. 

De hecho, muchos de ellos como sabemos tienen gran importancia con respecto a las nuevas exigencias del RGPD (por ejemplo la gestión de las brechas de seguridad).

Aunque un único incidente puede provocar como vemos varios tipos de responsabilidades más allá de nuestro nuevo y querido Reglamento General de Protección de Datos.

Así, cualquier ataque a nuestros sistemas generará, más allá del anormal funcionamiento de nuestros procesos, que tengamos que afrontar una serie de consecuencias de carácter jurídico.

Por ejemplo, es posible que:

• Tengamos que comunicar una brecha de seguridad.
• Demostrar que nuestras medidas de prevención eran adecuadas. 
• Puede que perdamos información sensible o secreta que teníamos obligación de mantener en secreto.
• Nuestras bases de datos de clientes podrían verse afectadas.
• El registro laboral de jornada (que tan meticulosamente estamos haciendo cumplir) no pueda demostrarse.
• No podamos atender nuestras obligaciones contractuales o carezcamos de fondos si tenemos las cuentas bloqueadas o vaciadas.
• Debamos indemnizar y/o asumir sanciones.

Sea como sea, y en relación a las brechas de seguridad y las multas del RGPD u otra normativa similar, desde el mundo de los ciberseguros se cuestiona si las multas en las que una empresa podría incurrir estarían o no cubiertas por ciberseguros. De hecho, a inicios de 2019 la Global Federation of Insurance Associations solicitó a la OCDE que clarificara si las multas y sanciones derivadas de brechas de seguridad en cuanto a datos personales podían obtener o no cobertura.

6.2. ¿Qué debemos tener en cuenta si contrato un ciberseguro?

En primer lugar, debemos tener claro que la amplitud del ámbito de cobertura va a depender también del clausulado de la póliza y en especial, de las definiciones y exclusiones empleadas. 

En este sentido, es importante contar con el asesoramiento oportuno para negociar o incluir las matizaciones y aclaraciones que sean necesarias, tanto en las definiciones como en las exclusiones, para que el clausulado se ajuste a nuestras verdaderas necesidades y particularidades.

Por otro lado, es preciso entender los sucesos que “activarían” la cobertura del ciberseguro contratado, es decir, las causas del daño.

Y finalmente, identificar correctamente el alcance necesario de la cobertura a contratar: 

7. Conclusiones

a) Es imprescindible adoptar unas medidas de seguridad adecuadas a los riesgos actuales que amenazan a nuestra empresa.

b) Para dedicir qué medidas tomar, debemos previamente realizar un exhaustivo análisis de riesgos.

c) Si no podemos afrontar esos riesgos solos, existen productos como los ciberseguros que pueden ayudar enormemente.

d) Los ciberseguros -aún- no son obligatorios, aunque los tiempos actuales y la legislación moderna comienzan a hacerlos casi necesarios.

e) Cada día hay más modalidades de ciberseguros y a su vez estos deben adaptarse a cada cliente.

f) Si finalmente es necesario contratar uno, no hay que elegir UN “ciberseguro” cualquiera, sino EL “ciberseguro” que en realidad necesitamos.

FIN

Hacia ti ruedo, oh ballena mortífera e invencible, lucho contigo hasta el fin (…)

Melville, Herman. Moby Dick, Capítulo XXXII

Foto de portada: Taskin Ashiq en Unsplash

La entrada Ciberseguros, los salvavidas de la navegación moderna se publicó primero en Términos y Condiciones.

“¿Acaso la Tierra ha disminuido?

– Sin duda que sí- respondió Gualterio Ralph-. Opino como míster Fogg. La Tierra ha disminuido, puesto que se recorre hoy diez veces más aprisa que hace cien años.”

La vuelta al mundo en 80 días, Capítulo III
Julio Verne

La anterior frase, del genial libro “La vuelta al mundo en 80 días” de Julio Verne, fue publicada en 1872, cuando la Tierra empezaba a quedarse “pequeña”. Hoy un turista puede dar la vuelta al mundo en una semana, la Estación Espacial Internacional tarda aproximadamente hora y media y seguramente nuestros datos personales se propagan a través de todos los servidores del globo en cuestión de minutos. Así que hoy, nuestro querido planeta tiende a diminuto.

Sin embargo, no vamos a hablar hoy de viajes de personas, sino de cómo pueden viajar nuestros datos personales entre los distintos países.

Ahora que se ha cumplido un año de la entrada en vigor del Reglamento General de Protección de Datos (en adelante RGPD), posiblemente una de las norma más importantes de lo que llevamos de siglo, nos vamos a adentrar en una parte muy concreta de ese mundo: las transferencias internacionales de datos.

En primer lugar, repasemos unos cuantos conceptos clave que nos serán de ayuda durante todo el viaje:

1.- Ámbito de aplicación RGPD

Como ya sabemos, el  famoso RGPD se aplica al tratamiento de datos personales y afecta en principio a responsables y encargados de los países miembros del Espacio Económico Europeo, independientemente de que el tratamiento de los datos tenga lugar en la Unión o no.  

Sin embargo, el Reglamento también se aplica a responsables o encargados no establecidos en la Unión cuando las actividades de tratamiento estén relacionadas con:

A) La oferta de bienes o servicios a dichos interesados en la Unión.

B) El control de su comportamiento, en la medida en que este tenga lugar en la Unión.

Sin olvidar aquellos casos en los que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público.

Con lo cual, el territorio sobre el que se aplicará el RGPD es bastante más amplio – y difuso – de lo que podemos pensar inicialmente.

2.- ¿Qué es una transferencia internacional de datos?

Las transferencias internacionales de datos suponen un flujo de datos personales a terceros países fuera del Espacio Económico Europeo. Es decir, allí donde no se aplica el RGPD.

3.- ¿Pueden realizarse?

Las transferencias internacionales de datos pueden realizarse. Sin embargo, hay supuestos en los que no tendremos nada de qué preocuparnos pues será como si siguiéramos dentro de la Unión, y hay otros casos en los que deberemos ir adoptando una serie de garantías y cautelas.

Así, cada uno de los supuestos tasados es más excepcional que el anterior, funcionando como una especie de “embudo”.  

Algo más o menos así:

¡Y ahora que ya sabemos esto, a coger las maletas!

Como vemos, la primera categoría serían los países del Espacio Económico Europeo (es decir, los países de la Unión Europea más Liechtenstein, Islandia y Noruega). Aquí rige el RGPD y por tanto no se requiere ninguna previsión para el intercambio o transferencia de datos dentro de dicho territorio.

Sin embargo, la delimitación no es tan fácil como podría parecer. Resulta que algunos países o territorios en principio ajenos a la Unión tienen una especial vinculación con algún Estado miembro. Son los llamados Territorios Especiales de la Unión Europea, que a su vez engloban otras categorías de territorios.

TERRITORIOS ESPECIALES DE LA UNIÓN EUROPEA

Cada uno de estos territorios tiene un estatus especial que en ocasiones, como veremos a continuación, tiene implicaciones en el tratamiento de datos personales y sus transferencias.

Regiones Autónomas Especiales

En primer lugar tenemos las Regiones Autónomas Especiales, las cuales tienen la consideración de territorios de la Unión Europea. De este modo, aunque en algunas materias (por ejemplo respecto a aduanas/fiscalidad) tengamos legislaciones diferentes en cuanto a protección de datos se refiere, no hay ningún caso especial ni excepción, tampoco para una transferencia internacional de datos. Las Regiones Autónomas Especiales serían:

Regiones Ultraperiféricas

Las regiones ultraperiféricas (RUP) forman parte de la Unión Europea ya que son parte de algún estado miembro, aunque estén muy alejadas del continente.

Aunque en ocasiones tienen legislaciones específicas en materia aduanera y fiscal, no hay implicaciones en materia de protección de datos y tampoco a la hora de una transferencia internacional de datos. Las regiones ultraperiféricas serían:

Sin embargo, hay que estar “atentos” a la lista de regiones ultraperiféricas porque puede ir variando. Así, el artículo 355 del Tratado de Lisboa permite al Consejo Europeo cambiar el estatuto de un determinado país o territorio de la consideración RUP a la categoría de PTU. Donde como veremos si hay implicaciones en materia de transferencias internacionales de datos.

A modo de ejemplo, Saint Barthélemy era una región ultraperiférica, pero en 2012 se convirtió en un País y Territorio de Ultramar (PTU). Y a la inversa sucedió con Mayotte en 2014 que, mediante una Decisión del Consejo pasó de ser un PTU a convertirse en una RUP.

Países y Territorios de Ultramar

Los países y territorios de ultramar son una “rara avis” legislativa a efectos de aplicación del RGPD.

Por un lado, dependen constitucionalmente de cuatro Estados miembros de la Unión Europea (UE): Dinamarca, Francia, los Países Bajos y el Reino Unido.

Ahora bien, esta dependencia constitucional no los convierte en territorio de la UE. Por tanto, no son objeto directamente de la legislación de la UE.

Pero por otro lado, sus nacionales son ciudadanos europeos y se benefician del estado de asociados que se les otorga por el Tratado de Lisboa.

Así que vamos a ir paso a paso.

En primer lugar, hay que tener más o menos en mente a qué países y territorios nos referimos cuando hablamos de Países y Territorios de Ultramar o PTU:

En segundo lugar, hay que advertir que como no forman parte de la UE, en principio el RGPD no les resulta aplicable de manera directa.

Sin embargo, el asunto comienza a complicarse con facilidad:

1.- El Tribunal de Justicia (Gran Sala) ha declarado en el Asunto C‑300/04 (M.G. Eman y O.B. Sevinger contra College van burgemeester en wethouders van Den Haag) que:

“Las personas que tienen la nacionalidad de un Estado miembro y que son residentes o están domiciliadas en un territorio perteneciente a los países y territorios de ultramar, en el sentido del artículo 299 CE, apartado 3, pueden invocar los derechos que se reconocen a los ciudadanos de la Unión en la segunda parte del Tratado CE.”

O lo que es lo mismo, se les reconoce la Ciudadanía de la Unión y los derechos contenidos en el TCE.

2.- La condición de asociados de estos países y territorios implica entre otras cosas que:

1) Los Estados miembros aplicarán a sus intercambios comerciales con los países y territorios el régimen que se otorguen entre sí en virtud del presente Tratado.

2) Cada país o territorio aplicará a sus intercambios comerciales con los Estados miembros y con los demás países y territorios el régimen que aplique al Estado europeo con el que mantenga relaciones especiales.

Art. 183 TCE

3.– Varios de los reseñados territorios no tienen legislación propia en materia de protección de datos personales.

4.– Alguno de ellos prevé entre sus fuentes del Derecho que en caso de ausencia de previsión legal propia sea supletorio el derecho del Estado con quien tienen vinculación.

Por tanto, si bien como países y territorios no forman parte de la Unión Europea, sus ciudadanos sí lo son y las relaciones e intercambios con ellos deberán ser iguales que las que ellos mantengan con el “Estado europeo con el que mantenga relaciones especiales.”

De ese modo, aunque no formen parte de la UE ni del EEE en algunos casos:

• Podría ser aplicable directamente el RGPD.
• Pueden existir “instrumentos vinculantes” que permitan una transferencia internacional de datos con las suficientes garantías.
• El RGPD podría ser subsidiariamente aplicable en función de la legislación de un determinado territorio.

Veamos algunos ejemplos para aclararlo algo más:

1.- Transferencia internacional de datos en el caso de Francia

Posiblemente sea el más sencillo, ya que mediante su Ordonnance n° 2018-1125 du 12 décembre 2018 que desarrolla la Loi n° 2018-493 du 20 juin 2018 relativa a la protección de datos , establece una serie de disposiciones relativas a los territorios de ultramar.

Así, su “Titre V  DISPOSITIONS RELATIVES À L’OUTRE-MER” establece en síntesis que las leyes francesas en materia de protección de datos en desarrollo del RGPD son aplicables en dichos territorios.

[table id=11 /]

Con lo cual, y sabiendo que el ámbito de aplicación del RGPD se expande a aquellos territorios donde el Derecho de los Estados miembros sea de aplicación, en estos casos las transferencias internacionales de datos podrán realizarse como si de un Estado de la Unión se tratara.

2.- Transferencia internacional de datos en el caso de Groenlandia:

No tiene en principio mucha complejidad. Ya que a solicitud del Gobierno de Groenlandia, se estipuló que la Ley de protección de datos de Dinamarca se aplicara a Groenlandia el 1 de diciembre de 2016.

Sin embargo, existe un acuerdo transitorio que estipula que la notificación y la obtención de permisos para el procesamiento de datos personales de acuerdo con los Capítulos 12 y 13 de la Ley de Datos Personales Danesa, deberá realizarse dentro de un período de tres años a partir de la entrada en vigor de dicha Ley. Es decir, antes del 1 de diciembre de 2019.

De esta forma, actualmente hay un “instrumento vinculante” entre Dinamarca y Groenlandia que debería extenderse al resto de  Estados miembros de la UE. Con lo cual, transitoriamente, se presuponen las mismas garantías para las transferencias de datos que si éstas se produjeran dentro del territorio del EEE. Y a partir del 1 de diciembre de 2019 se entenderá que están regulados por el Derecho Danés y por tanto será de aplicación directa el RGPD.

Sirva como ejemplo la política de privacidad del Gobierno de Groenlandia, que indica que sus servidores se encuentran alojados en la UE:

[table id=10 /]

3.- Transferencia internacional de datos en el caso de los Países Bajos

Aquí el asunto ya es algo más complejo. Por un lado debemos considerar que el parlamento neerlandés aprobó en 2010 la entrada en vigor, día 10 de octubre, del proyecto de ley que modificaba la estructura del Reino.

De esta forma, pasó de estar compuesto por tres países (Países Bajos, Antillas Neerlandesas y Aruba) a cuatro países:

• Los Países Bajos ( las Islas de Bonaire, San Eustaquio y Saba que son entes territoriales especiales de los Países Bajos )
• Aruba
• Curazao
• San Martín

En cuanto a los territorios de Aruba, Curazao y San Martín, el gobierno de los Países Bajos ha propuesto que puedan optar por la condición de región ultraperiférica. Eso implicaría que podrían pasar a formar parte de la UE, y en consecuencia una transferencia internacional de datos no tendría la consideración de “internacional”.

Sin embargo, por lo pronto no pertenecen a la UE. De modo que las transferencias de datos con ellos seguirán previsiones similares a las del caso de Groenlandia.

Veamos por ejemplo el caso de Aruba. Su REGLAMENTO DEL PAÍS de 19 de mayo de 2011 para la protección de la privacidad de datos personales prevé, en el apartado segundo de su artículo 23 dedicado a “aspectos internacionales”, que pese a estar prohibidas las transferencias internacionales de datos, se otorgarán excepciones para allí donde exista protección equivalente en materia de privacidad.

[table id=12 /]

En su caso, y con respecto a los Países Bajos, eso es automático. En consecuencia, y según estipula el Tratado de la Unión, esta especial relación deberá ampliarse al resto de la UE.

Las otras tres islas (Bonaire, San Eustaquio y Saba) son entes territoriales especiales de los Países Bajos. Esto implica que sólo tienen las competencias de un municipio y están sujetas a la constitución y legislación neerlandesa y por tanto, al igual que en los casos de los territorios franceses, será de aplicación el RGPD.

Así se recoge en concreto en la Ley de 16 de mayo de 2018, que contiene normas en aplicación del Reglamento (UE) 2016/679 de El Parlamento Europeo y el Consejo de 27 de abril, estipulando que:

Las transferencias de datos personales a estos tres territorios no deben tener la consideración internacionales, ni requerir decisión de adecuación, instrumentos vinculantes o la presunción de garantías suficientes.

4.- Transferencia internacional de datos en el caso de Reino Unido

Quizás sea el caso más enrevesado, ya que cada una de las dependencias de la Corona, al igual que los territorios de ultramar, están interpretando la aplicación del RGPD de manera distinta. Es decir, desde la misma premisa alcanzan soluciones distintas.

Sirva como adelanto algunas de las cuestiones comentadas en en nuestro blog en materia de transferencia internacional de datos en el caso de Brexit.

Pero veamos los diferentes casos con más detenimiento.

Por un lado, el equivalente británico a nuestra AEPD, la ICO (Information Commissioner’s Office), ha declarado en relación con las Transferencias Internacionales de Datos que quedan excluidos de la aplicación del RGPD las dependencias de la Corona, los territorios de ultramar y Gibraltar, aunque con éste último se permitirán. (Posteriormente trataremos de manera individualizada el caso de Gibraltar).

[table id=13 /]

Sobre esta base que parece bastante clara, algunos territorios han decidido desarrollar su propia legislación y solicitar una “adecuación” a la Unión Europea, otros han interpretado que el RGPD les resulta directamente aplicable, y otros no tienen ninguna legislación en materia de protección de datos y por tanto se aplica el derecho consuetudinario británico de manera subsidiaria.

Veamos algunos ejemplos:

En el caso de Bermudas han desarrollado y publicado su propia normativa en materia de protección de datos personales, la “PIPA”.

Esta PERSONAL INFORMATION PROTECTION ACT 2016 de Bermudas, que por cierto es muy muy similar al RGPD, recoge en su artículo 3 que su aplicación quedará circunscrita al territorio de Bermuda y en el art. 15 establece las condiciones para transferencias a terceros países.

Así mismo, el Dr. Excmo. E. Grant Gibbons, Ministro de Desarrollo Económico de Bermudas explicó, y así se recoge en la propia web del gobierno de Bermudas, que:

“Con la PIPA creemos que hemos logrado desarrollar una legislación de privacidad informativa pragmática y moderna, que cumple con las mejores prácticas internacionales y equilibra la protección integral con una regulación razonable, que es apropiada para Bermudas y las organizaciones locales e internacionales. Operando así, es nuestra intención presentar una solicitud a la Unión Europea para una evaluación de “Adecuación” para que podamos unirnos a la red de jurisdicciones en las que se puede confiar para proteger la información personal”.

De modo que actualmente las transferencias de datos con dicho territorio se considerarán internacionales. Y en espera de la decisión de adecuación, deberán realizarse bajo los supuestos que el RGPD prevé para estos casos y que posteriormente trataremos.

El caso de las Islas Caimán es muy similar al de Bermudas.

Han redactado su propia legislación, también similar al RGPD y llamada THE DATA PROTECTION LAW, 2017. Y claramente tienen el objetivo de lograr un estado de adecuación a los ojos de la UE para permitir el libre intercambio de datos personales entre la UE y Caimán sin necesidad de mecanismos adicionales.

Sin embargo, la entrada en vigor de esta norma, prevista para el pasado enero, ha sido pospuesta a septiembre de 2019.

De este modo, las transferencias de datos personales a este territorio tendrán la consideración de internacionales. Y deberemos esperar a que entre en vigor su normativa y haya decisión de adecuación para realizarlas normalmente. Mientras tanto, se deberán realizar sólo en las formas tasadas y excepcionales que el RGPD contempla.

El caso de Montserrat es totalmente opuesto.

Su Ministerio de Comunicaciones está alentando a las empresas en Montserrat a cumplir con el RGPD.

Desde su “especial” perspectiva han concluido que el reglamento afecta a los 28 países miembros de la UE, que incluyen el Reino Unido (por ahora). Y por lo tanto, según su interpretación, Montserrat y otros territorios británicos de ultramar ahora también tendrán que cumplir con la UE-RGPD.

Desde nuestra óptica creemos que no puede considerarse que la adopción del RGPD de manera “unilateral” implique que las transferencias de datos se vean automáticamente amparadas. Otra cuestión sería que adoptasen la legislación británica como propia y no requieran ni decisión de adecuación ni garantías.

En cuanto a las Islas Malvinas, su asamblea legislativa el 26 de Julio valoró la adopción de la legislación británica (the Data Protecction Act 2018). Sin embargo, resolvieron que no se haría de momento.

[table id=14 /]

Así se recoge al folio 19 del acta de la asamblea:

De ese modo, las transferencias de datos se considerarán internacional, igual que en los anteriores casos. Debemos considerar además que sin adoptar la legislación británica ni legislar al respecto, difícil será que haya decisión de adecuación.

Por otro lado,  el Gobierno de South Georgia y de las Islas Sandwich del Sur (GSGSSI), – que para hacer las cosas algo más difíciles está asentado en las Islas Malvinas – ha declarado que la información personal puede ser transmitida fuera de Georgia del Sur e Islas Falkland, ya que están sujetos a las leyes del Reino Unido, incluida la Ley de protección de datos inglesa de 1998 y el Reglamento general de protección de datos de la Unión Europea (UE 2016/679).

Desde nuestro punto de vista, al igual que el caso de Montserrat, poca validez tiene esa declaración. La transferencia de datos se considerará internacional al menos hasta que adopten la vigente normativa Británica o exista una decisión de adecuación.

Finalmente, las Islas Vírgenes Británicas (BVI) no han promulgado una legislación formal para regular la protección de datos.

Y aunque se espera que BVI promulgue una legislación propia en esta materia en un futuro próximo para adaptarse a los estándares reconocidos internacionalmente hoy, nada hay en tal sentido hasta ahora.

Además, tampoco se aplica la ley británica de manera supletoria, con lo cual las transferencias de datos a las Islas Vírgenes Británicas sólo deberían hacerse en casos excepcionales.

Sirva como anécdota que la empresa ExpressVPN, uno de los servicios VPN más populares y que se comercializa como una herramienta de privacidad y seguridad, está afincada allí, “un país sin ley”.

TRANSFERENCIA INTERNACIONAL DE DATOS EN CASOS ESPECIALES

Estos territorios que hemos denominado “casos especiales” no son parte de la UE, pero mantienen vinculaciones muy fuertes con la misma, de modo que la aplicación del RGPD y las transferencias internacionales de datos serán frecuentes.

Estos territorios no pertenecen a la UE ni al EEE, de modo que en principio el RGPD no sería de aplicación. Sin embargo, las especiales relaciones que mantienen con la Unión Europea hace que debamos analizar cada caso.

Para entenderlo mejor, hagamos un pequeño viaje por ellos:

En el Estado de la Ciudad del Vaticano ninguna ley específica ha sido adoptada por el Sumo Pontífice, la Comisión Pontificia u otra Autoridad legítima en relación con el derecho fundamental a la privacidad de personas físicas y jurídicas.

Sí es cierto que el Canon 220 del Código de Derecho Canónico se refiere a “la protección de una buena reputación y de la intimidad”. Pero éste no proporciona reglas específicas relacionadas con la protección de datos personales, sino que solo contiene principios generales que deben ser articulados en Reglamentos más específicos.

De esta forma, en ausencia de legislación propia en la materia la Ley Vaticana de Fuentes del Derecho (N. LXXI) prevé en su artículo tercero que serán de aplicación directa las leyes italianas.

[table id=15 /]

Por lo tanto, parece factible concluir que la Ley Italiana de Protección de Datos Personales debera ser de aplicación automática con carácter subsidiario en el Estado de la Ciudad del Vaticano. Y del mismo modo, será de aplicación el RGPD al ser aplicable donde el Derecho de los Estados miembros sea de aplicación.

De igual forma ocurre con las Tierras Antárticas Francesas. Las cuales no forman parte de la UE, pero que la  Ordonnance n° 2018-1125 du 12 décembre 2018 que desarrolla la Loi n° 2018-493 du 20 juin 2018 relativa a la protección de datos las incluye entre los territorios donde será de aplicación la Ley Francesa y por tanto el RGPD.

Así que ya sabéis, ¡sin problemas para enviar datos a la Antártida! :p

Algo similar ocurre en el caso de Gibraltar. Un territorio que no pertenece a la Unión Europea pero que por vinculación con Gran Bretaña asume parte de su legislación.

De este modo, actualmente la legislación en materia de protección de datos de Gibraltar está compuesta por:

[table id=16 /]

Un caso extraño (aunque sin mucha relevancia) es el de las Sovereign Base Areas de Acrotiri y Dhekelia. Estos territorios son dependientes de Gran Bretaña pero con autonomía legislativa.

Según hemos podido comprobar actualmente no tiene legislación propia en materia de protección de datos. Y tal y como se recoge en el listado de legislación británica aplicable a las bases soberanas , tampoco reconocen la respectiva legislación británica. Así que las transferencias de datos a estos territorios tendrán la consideración de internacionales y deberán realizarse bajo las especialidades que en las siguientes etapas del viaje trataremos.

Por otro lado, tenemos territorios que están legislando activamente a fin de obtener una decisión de adecuación:

Así, en Mónaco, tras unas jornadas informativas del Gobierno, se concluyó que era necesario adaptar su legislación para obtener una decisión de adecuación.

[table id=17 /]

De la misma forma en San Marino, cuya LEGGE PROTEZIONE DELLE PERSONE FISICHE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI es prácticamente idéntica al RGPD, incluso en la numeración de los artículos.

No parece por tanto descabellado pensar que próximamente estos territorios tendrán su correspondiente “Decisión de Adecuación”.

Finalmente están aquellos países como Andorra, la Isla de Mann, las Islas del Canal y las Islas Feroe, que ya disponen de su propia decisión de adecuación.

Ya hemos concluido las primeras etapas de nuestro viaje. Así que ahora que tenemos más clara la aplicación directa del RGPD, analizaremos cómo deben realizarse las transferencias de datos al resto del mundo. Es decir, aquellas que sin duda serán consideradas “internacionales”.

En primer lugar encontramos las denominadas:

“Transferencias Internacionales de datos basadas en una decisión de adecuación (art. 45 RGPD)”.

Estas decisiones de la Comisión permiten realizar transferencias de datos personales a terceros países, territorios o sectores específicos de los mismos. Ya que para la concesión de la Decisión se debe acreditar una legislación y nivel de protección adecuado.

A día de hoy, la Comisión ha aceptado la transferencia de datos a 13 Estados. Y como las listas son algo amargas de leer, os dejamos un mapa para que lo veáis mejor :

Debemos resaltar así mismo que entre las “decisiones de adecuación” adoptadas hasta la fecha una de ellas es un caso “especial”, el de Estados Unidos.

Decisión sobre Estados Unidos

El Tribunal de Justicia de la Unión Europea –asunto C-362/14– consideró en 2015 ilegal el acuerdo entre Europa y Estados Unidos a raíz de una filtración de Edward Snowden.

En concreto, en su nota de prensa posterior al fallo determinó que:

“El Tribunal de Justicia estima que la existencia de una Decisión de la Comisión que declara que un país tercero garantiza un nivel de protección adecuado de los datos personales transferidos, no puede dejar sin efecto ni limitar las facultades de las que disponen las autoridades nacionales de control en virtud de la Carta de los Derechos Fundamentales de la Unión Europea”.

A raíz de esta decisión del TJUE, la Comisión Europea y Estados Unidos llegaron a un nuevo acuerdo. Mediante el mismo se considera que aquellas organizaciones que están adscritas al “Privacy Shield” cumplen a prori la adecuación exigida.

De este modo, no todas las transferencias de datos a Estados Unidos podrán estar basadas en la Decisión de Adecuación; sino solo aquellas que tengan como destinatario alguna de las organizaciones adscritas al “Privacy Shield” o Escudo de Privacidad.

Finalmente, de cara al futuro debemos tener en cuenta que:

• Desde 2017 se encuentra en negociación una decisión relativa a Corea del Sur, y se estudian países de América Latina o la India.

• Parte de las negociaciones del Brexit están centradas en una salida con decisión de adecuación automática.

Por otro lado, para aquellos países que no cuentan con una Decisión de Adecuación, se podrán efectuar transferencias si se cumplen unas determinadas garantías. Son las llamadas:

“Transferencias internacionales de datos mediante garantías adecuadas” (art. 46 RGPD).

En estos casos no es necesaria la autorización administrativa de la autoridad de control.

Como vemos, las garantías requeridas pueden agruparse en cuatro grandes grupos que deberemos revisar antes de realizar la pretendida transferencia de datos.

• Los instrumentos vinculantes

Los instrumentos internacionales pueden dividirse en dos categorías: instrumentos vinculantes, también llamados ‘hard law’, y documentos no vinculantes o ‘soft law’.

La primera categoría la componen los Tratados (que pueden presentarse en forma de Convenciones, Pactos y Acuerdos) y supone por parte de los Estados un reconocimiento de obligación legal hacia estos instrumentos.

• Los códigos de conducta

Los códigos de conducta son una buena muestra de lo que se denomina “autorregulación”. Es decir, la capacidad de las entidades y organizaciones para regularse a sí mismas a partir de la normativa establecida y pueden servir –entre otras muchas cosas– para demostrar el cumplimiento de las obligaciones de los responsables en contextos de  transferencia de datos personales a terceros países y organizaciones internacionales.

• Las cláusulas tipo

Es importante resaltar que actualmente siguen vigentes las cláusulas tipo siguientes:

• Decisión 2001/497/CE, de 15 de junio de 2001,  relativa a cláusulas contractuales tipo para la transferencia de datos personales entre responsables del tratamiento a un tercer país.
• La Decisión 2004/915/CE, de 27 de diciembre de 2004, por la que se modifica la Decisión 2001/497/CE en lo relativo a la introducción de un conjunto alternativo de cláusulas contractuales tipo para la transferencia de datos personales a terceros países.
• Y la Decisión 2010/87/UE de la Comisión, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo.

• Finalmente, las normas corporativas vinculantes (NCV o BCR) recogidas en el artículo 47 del RGPD

Éstas, previa aprobación de la autoridad de control, permiten a los grupos de empresas dotarse de unas normas corporativas de uso interno vinculantes. Y así dotar de garantías suficientes las transferencias de datos a responsables o encargados sitos en terceros países.

Es importante destacar que es la primera vez que en materia de protección de datos, las “Binding Corporate Rules” tienen rango legal.

Si seguimos sin estar dentro de los casos anteriormente expuestos, todavía nos queda alguna opción.

Ya que podremos realizar la transferencia de datos si cumplimos alguna de las condiciones del artículo 49 del RGPD, que podemos esquematizar así:

Cuando tampoco sea aplicable ninguna de las excepciones anteriores – y entonces quizás deberíamos plantearnos si de verdad tenemos que hacer el viaje -,  solo se podrá llevar a cabo una transferencia si:

• No es repetitiva
• Afecta solo a un número limitado de interesados
• Es necesaria a los fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento
• No prevalezcan los intereses o derechos y libertades del interesado
• Y el responsable del tratamiento evalué todas las circunstancias concurrentes en la transferencia de datos y ofrezca garantías apropiadas.

Además, en este supuesto el responsable del tratamiento informará a la autoridad de control de la transferencia, proporcionando la información de los artículos 13 y 14 del RGPD, pero el responsable también informará al interesado de la transferencia y de los intereses imperiosos perseguidos.

Finalmente, existe una última excepción para cuando se realicen transferencias internacionales de datos basadas en garantías adecuadas distintas de las reglamentariamente tasadas. Así, necesitaremos una autorización expresa cuando las garantías “adecuadas” se aporten mediante:

a) Cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional, que no hayan sido adoptadas por la Comisión Europea.

b) Disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.

*Las autorizaciones otorgadas por la Agencia Española de Protección de Datos previamente a la aplicación del RGPD seguirán siendo válidas.

Este procedimiento:

A) Tendrá una duración máxima de 6 meses.

B) Se regirá según lo previsto en la sección primera del capítulo V del título IX del RLOPD.

C) Quedará sometida a la emisión de dictamen por el Comité Europeo de Protección de Datos [64.1.e), 64.1.f) y 65.1.c)] del RGPD.

CONCLUSIONES

1.- La aplicación del Reglamento es más expansiva de lo que inicialmente puede parecer.

2.- No solo en el EEE el RGPD es de aplicación directa, lo puede dificultar conocer su concreta aplicación. Por ello quizás hubieran sido de agradecer determinadas previsiones normativas dentro del propio cuerpo legislativo.

3.- Ante una transferencia internacional de datos deberemos verificar la relación entre el territorio receptor y los Estados Miembros.

4.- Parece que lo lógico es que el número de Decisiones de Adecuación vaya creciendo con los años.

5.- Los mecanismos de autorregulación (códigos de conducta o normas corporativas) permiten solventar la falta de adecuación de algunos países. Aunque la burocracia de su inscripción hace que no haya muchos inscritos todavía.

6.- En un mundo “tan pequeño” y que cada vez presenta mayores riesgos a nivel de ciberseguridad, sin duda el RGPD era necesario.

“Tres días antes, Phileas Fogg era un criminal que la policía perseguía sin descanso, y ahora era el caballero más honrado, que estaba cumpliendo matemáticamente su excéntrico viaje alrededor del mundo.”

La vuelta al mundo en 80 días, Capitulo XXXVI, Julio Verne.

Alberto F. Bonet

FIN

La entrada La vuelta al mundo en una transferencia internacional de datos se publicó primero en Términos y Condiciones.

Érase una vez un ciudadano particular que se acababa de comprar una casa y al que le preocupaba mucho la seguridad.

Le habían dicho que la barriada en la que había comprado la casa era muy tranquila, pero aún así quería saber lo segura que resultaba. Sin embargo, no tenía claro cómo hacerlo. Entonces pensó en algo: le daría las llaves a uno de sus mejores amigos (que era vigilante de seguridad) y le pediría que examinara por dentro y por fuera la casa, para descubrir cómo alguien podría llegar a entrar.

De esa manera, su amigo debía probar las ventanas, las cerraduras o cómo de resistente era la valla. El objetivo era descubrir cualquier posible vía de entrada en la casa para por ejemplo, robar algo. Hecha la prueba, el amigo le dijo que había encontrado una ventana que cerraba mal y una cerradura mal instalada.

Lo que el amigo de nuestra pequeña historia había hecho era lo que en el mundo de la ciberseguridad se llama un escáner de vulnerabilidades. Es decir, el primer paso para conocer las fortalezas, debilidades y necesidades de tu negocio desde el punto de vista de la ciberseguridad.

¿Pero era eso un pen test? No, era solo el primer paso para llegar a uno. Es decir, y siguiendo con la analogía de la casa, ahora que nuestro ciudadano particular ya sabía que la casa tenía algunas vulnerabilidades, lo siguiente que iba a hacer era contratar a un “ladrón”. El objetivo ahora era que esa persona entrara en la casa y se hiciera con todo lo posible, para lo que debía aprovecharse de las vulnerabilidades conocidas (o nuevas que encontrara). Por ejemplo, quizá el ladrón pudiera acceder a la casa gracias a la ventana que cerraba mal. Ahora bien, la alarma se disparaba correctamente y eso hacía que lo pudieran acabar deteniendo.

Eso sí sería un pentesting, pen test, penetration test o examen de penetración, o lo que es lo mismo, un ataque a un sistema informático con la intención de encontrar las debilidades de seguridad y todo lo que podría tener acceso a ella, su funcionalidad y datos. De esa forma, una prueba de penetración puede ayudar a determinar si un sistema es vulnerable a los ataques, si las defensas (si las hay) son suficientes y no fueron vencidas.

Por tanto, y entrando más en detalle, el pentesting o test de intrusión consiste en un ataque pactado y previamente acordado entre el atacante/auditor y el atacado/auditado a un dispositivo, equipo, sistema o red informática. El proceso consiste en identificar el o los sistemas del objetivo, la cantidad de información con la que contará el atacante, la metodología, los tiempos de ejecución y la elaboración de un informe técnico con los resultados obtenidos.

De esa forma, el pentesting o la prueba de penetración son valiosas ya que permiten:

1) Determinar la posibilidad de éxito de un ataque (si la ventana que cierra mal puede dar lugar a un ataque);

2) Identificar vulnerabilidades de alto riesgo que resultan de una combinación de vulnerabilidades de menor riesgo explotadas en una secuencia particular (la cerradura mal instalada en combinación con la ventana);

3) Identificar vulnerabilidades que pueden ser difíciles o imposibles de detectar con un escáner de vulnerabilidades (una cámara de videovigilancia con un password poco seguro);

4) Comprobar la capacidad de las defensas de la red o equipo atacado para detectar con éxito y responder al mismo (el sistema de alarma de la casa).

En todo caso, y antes de seguir, una curiosidad: en España desde 2006 está registrada la palabra “Pentest” como marca y nombre comercial, lo que ha sido cuestionado por los profesionales del sector al limitar la comercialización de servicios usando esa denominación. Por ello es más común encontrar esos servicios como prueba o examen de penetración.

Pero volviendo a lo nuestro, visto lo visto parece obvia la utilidad de una herramienta como los test de intrusión, ¿verdad?

Pues bien, ¿qué deberíamos tener en cuenta legalmente antes de hacer un contrato de pentesting? Como ya imaginará el lector, una intrusión o ataque a un sistema informático puede entrañar riesgos tanto operativos como a nivel legal. De esta forma, vamos a desglosar qué debemos hacer constar en el contrato de este servicio a fin de evitar problemas futuros. Distinguiendo entre las formalidades habituales, las cuestiones relacionadas con la técnica y las cuestiones estrictamente legales.

1.- Formalidades

Como en todo contrato será esencial que figuren una serie de formalidades contractuales comunes en general a todos los contratos de prestación de servicios y que por tanto aquí no entraremos en profundidad en ellas.

Nos referimos por supuesto a la identificación de las partes, su capacidad, el objeto del contrato (lo más preciso y detallado posible), precio y formas de pago (también con el nivel de  detalle adecuado), las causas de extinción o la jurisdicción y legislación aplicables en caso de conflicto, entre otras. 

2.- Cuestiones relacionadas con la técnica

Sentadas las anteriores formalidades, es imprescindible definir los aspectos más técnicos del servicio, pues como veremos posteriormente serán la base sobre la que construiremos el resto de cláusulas (las que de verdad protegen a una y otra parte).

Cualquier servicio de pentesting, aunque cada empresa lo preste con sus particularidades y adaptado al caso concreto, tiene una serie de fases comunes que deben conocerse y pactarse de antemano entre las partes.

Así, en un primer momento se debe preparar el test, posteriormente se llevará a cabo la intrusión y finalmente se entregará el informe con los resultados.

Esta preparación significa acordar la cantidad de información disponible y el tipo de intrusión o modelo de amenaza pactada.

2.1.- Preparación del test

La preparación significa acordar la cantidad de información disponible para el auditor/atacante y el tipo de intrusión o modelo de amenaza pactado entre las partes.

¿De qué información debe disponer el auditor y por qué es importante? La cuestión es que en función de la cantidad de información que disponga el “atacante”, su posición se acercará más a la de un hacker real, siendo por tanto una prueba mucho más efectiva a fin de medir la exposición a diversas amenazas. Pero por otro lado, la escasez de información puede implicar no averiguar determinadas vulnerabilidades e incluso riesgos legales.

Dentro del sector, y en función de la cantidad de información de la que se dispone, se distinguen diferentes tipos de pentesting:

– El pentesting de caja blanca, donde el prestador del servicio contará con toda la información disponible acerca del sistema, la aplicación o la arquitectura, permitiendo  un análisis integral de la infraestructura.

– El pentesting de caja gris, que implica disponer de cierta información, pero que no será en ningún caso completa.

– El pentesting de caja negra, en el cual no se dispondrá de ningún tipo de información sobre el objetivo.

Según nuestras necesidades o el objetivo pretendido, nos decantaremos por una u otra opción. En todo caso, debe resaltarse la importancia de disponer de una mínima información y que ésta sea veraz, ya que la entidad auditada solo puede permitir la intrusión en aquellos dispositivos, sistemas y ficheros de los cuales es titular.

Por tanto, al auditor/atacante le debería resultar legalmente indispensable que se identificaran claramente los equipos objeto de pentesting y que la entidad auditada pueda demostrar la titularidad de los mismos.

2.2.- ¿Qué es el “modelo de amenaza” y por qué es importante conocerlo?

Un pentesting no es un ataque en particular, sino más bien un plan global de ataque. De esta forma, el número de métodos es extenso y variado, debiendo elegir y pactar en cada caso qué acciones se van a llevar a cabo contra los equipos y sistemas de la entidad auditada. Para ello hay que tener en cuenta las necesidades de la empresa auditada y los estándares de seguridad requeridos.

Con el fin de estructurar estas acciones, el sector ha estandarizado una serie de métodos donde se recoge la metodología a seguir. Sirvan como ejemplos los siguientes:

• • ISSAF (Information Systems Security Assessment Framework)

• • PCI DSS (Payment Card Industry Data Security Standard)

• • PTES (Penetration Testing Execution Standard)
  • OSSTMM (Manual de la Metodología Abierta de Testeo de Seguridad)

Desde el punto de vista jurídico, conocer el método elegido es importante a fin de valorar el cumplimiento del servicio y en qué momento u orden pueden verse afectados los equipos de la empresa auditada, debiendo preverse en el contrato de pentesting qué mecanismos de notificación y alerta se establecerán entre las partes.

2.3.- Intrusión

Esta fase del trabajo será eminentemente técnica y consistirá en examinar la seguridad de los distintos módulos que componen el objeto de ataque (procesos, comunicaciones, sistemas inalámbricos o seguridad física, entre otros).

¿Que es importante tener en cuenta a efectos legales? Esta fase debe ejecutarse conforme a la información proporcionada y según el método acordado. Además, debemos tener en cuenta que las vulnerabilidades deben poder probarse.

Esto significa que aunque los métodos de intrusión de los que hablábamos antes suelen incluir la forma en la que se prueba la vulnerabilidad detectada, las partes pueden acordar cualquier mecanismo extra a efectos de probar la vulnerabilidad.

2.4.- Informe

Finalmente se deben recopilar y estructurar los datos obtenidos de tal manera que sean comprensibles a fin de conocer las vulnerabilidades del sistema, la forma en la que han sido encontradas y el riesgo que supone con respecto a la seguridad.

¿Cómo hacerlo legalmente? En el informe deben incluirse todas las vulnerabilidades detectadas, conforme se ha pactado previamente y debiendo tener muy presente que la información contenida es altamente sensible. Por ello debe pactarse quién tendrá acceso al mismo y a quién se entregará, así como las medidas de seguridad que deben aplicarse sobre el mismo.

3.- Cuestiones estrictamente legales

Ahora que ya hemos repasado los aspectos relacionados con la técnica del servicio y su relevancia a efectos legales, es hora de adentrarse en aquellas cuestiones estrictamente legales y que deberemos tener en cuenta en el clausulado de todo contrato de pentesting.

La prueba de penetración, por sus características, implica: a) quebrantar medidas de seguridad y sistemas de acceso a equipos informáticos; b) poner en riesgo el funcionamiento de los sistemas y mecanismos de producción; c) el potencial descubrimiento de secretos empresariales por persona ajena a la entidad; d) el manejo de información confidencial altamente sensible e) o el impacto en el tratamiento de datos personales.

3.1.- Acceso a equipos

El quebrantamiento de medidas de seguridad de un sistema y el acceso a equipos informáticos ajenos son conductas delictivas, que se cometen tanto por quién la realiza como por quien facilita o encarga el acceso. Sin embargo, la ley contempla que esto solo será así si se realiza sin la debida autorización.

¿Cómo debe ser esta autorización? A fin de que la conducta no se considere un “ataque real” y por tanto delito, debemos incluir en el contrato de pentesting una autorización clara y explícita por quien sea titular real de los equipos y sistemas de que se consiente el acceso, vulnerando las medidas de seguridad interpuestas a una serie de equipos perfectamente identificados.

3.2.- Riesgo para el funcionamiento

Debemos tener en cuenta que el servicio encargado supondrá un riesgo específico para los sistemas, redes y equipos informáticos identificados como objetivo. Además, durante el tiempo pactado para la prestación del servicio la actividad de los mismos puede verse alterada. En tal sentido, los daños causados a equipos informáticos pueden ser también constitutivos de delito y/o generar una responsabilidad civil con su consecuente indemnización.

Por tanto, al igual que en el anterior caso, para que los posibles daños no sean considerados delito, deberemos contar con una autorización en los mismos términos que para el acceso pero para los posibles daños.

En todo caso, a fin de eludir posibles responsabilidades civiles, tendremos que tener en cuenta que todo daño que causemos o advirtamos deberá ser comunicado tan pronto como sea posible, mediante medios que permitan dejar constancia de ello y a quién sea responsable de arreglarlo.

Es imprescindible por tanto incluir en las cláusulas del contrato de pentesting las previsiones específicas para estas situaciones y su canal y forma de comunicación.

3.3.- Secretos empresariales

Los secretos empresariales pueden ser industriales, científicos, tecnológicos, organizativos o financieros. Por tanto, dado su gran valor comercial, se conservan en secreto y se protegen. En nuestro caso, el servicio de pentesting pone en riesgo su protección y su secreto ya que cuando se produzca el acceso a los equipos, el pentester va a tener a su alcance información que puede haber sido considerada secreto empresarial.

¿Cómo hacerlo legalmente? En este caso son varias las cuestiones a tener en cuenta en el contrato, así que vamos a identificarlas de una en una.

• • Disponer de la debida autorización de la empresa auditada

• • No obtener provecho de la información accedida

• • No causar perjuicio con la información descubierta

• • Destruir la que no sea necesaria para la prestación del servicio

• • Conservar de manera segura la que sea necesaria para el servicio

• No divulgar nada de lo averiguado o accedido

3.4.- Datos personales

Del mismo modo que en el caso anterior, durante la ejecución del servicio van a tratarse y quedar al descubierto datos personales.Es decir, información que también requiere de un tratamiento y cautelas específicas.

¿Cómo debemos tratar los datos personales? Para estos casos debemos distinguir dos tipos de datos personales: Los que se han intercambiado las partes para la correcta ejecución del servicio y aquellos que pueden ser descubiertos con motivo del pentesting (bases de datos de clientes, boletines de noticias, facturas, presupuestos o archivos de videovigilancia, entre muchos otros) .

Para el primer supuesto debemos realizar el tratamiento habitual conforme a la legalidad vigente (donde lo normal será que la empresa auditada sea el responsable del tratamiento).

Los obtenidos o descubiertos con motivo de la intrusión, deberán aplicar las indicaciones comentadas a nivel de secreto empresarial y todas las particularidades que correspondan en relación al atacante/auditor, como encargado del tratamiento que resulta. 

3.5.- Confidencialidad

Observaremos que en muchos contratos existe un apartado dedicado a la confidencialidad de las partes. Esta puede funcionar como cláusula de cierre del contrato de pentesting por si alguna de las anteriores no ha sido de manera clara o deja lugar a ambigüedades.

En todo caso, si hemos tratado de manera precisa los anteriores elementos, puede no ser estrictamente necesaria.

En conclusión, cuando se contrata u ofrece un servicio de pentesting o examen de penetración, hay que tener toda una serie de particularidades en cuenta a la hora de redactar el contrato: 

• Buscar una empresa que otorgue las suficientes garantías.

• Realizar un contrato amplio que prevea las peculiaridades de este servicio.

• No olvidar las formalidades propias de cualquier contrato de servicios.

• Definir perfectamente las autorizaciones, la información disponible, la técnica utilizada y el tratamiento de la información, secretos y datos obtenidos durante el examen.

Al fin y al cabo, si nos preocupamos de la seguridad de nuestra casa en el mundo real, igual o más debemos hacerlo de la que habita en el mundo digital.

La entrada Cómo redactar un contrato de pentesting se publicó primero en Términos y Condiciones.