Miljonärböter för små och medelstora företag som inte informerar dina kunder om en cyberattack

Före ett säkerhetsgap, Det är viktigt att företag agera med maximal hastighet och flit, vidta åtgärder som Informera dina kunder eller tredje parter, Både för att innehålla attacken och för att mildra dess effekter. Ett sent eller olämpligt svar kan förvärra skadeståndet och ta ett brott mot nuvarande bestämmelser, vilket kan leda till viktiga sanktioner.

Cyberattackerna minskar inte bara utan fortsätter att öka. I en ny straff styrde den högsta dotterbolag av ett företag av Försök inte innehålla cyberattack och mildra dess effekter. Han ansåg att det efterfrågade företaget bortsett från reglerna som förfaller som en professionell och att det därför var tvungen att svara på subventiellt från kompensationen av skador på ett annat företag, motsvarande det belopp som drabbats av bedragaren.

I andra fall kan andra juridiska överväganden också inträffa allvarligare som en följd av En datakonfiltrering, eftersom om den påverkar personuppgifter och/eller inkluderar nedladdning av piratprogramvara Det kan till och med bära Kriminella konsekvenser För företag varnade de från AGM Abogados. Alla företag, oavsett storlek kan vara ett offer för detta växande fenomen.

  1. De företag som inte agerar i tid är ansvariga enligt det högsta
  2. Risker och konsekvenser för självarbetet av ett säkerhetsgap

De företag som inte agerar i tid är ansvariga enligt det högsta

Som CLERA CARRERA SOLER rapporterade från AGM Abogados, om en autonom upptäcker en attack och inte varnar kunder eller leverantörer, även om det inte är författaren till bedrägeri, kan det slutar vara civil eftersom hans utelämnande ”ledde” till att genomföras av bedrägerienligt det högsta.

I en ny dom (STS nr 136/2025, den 19 februari) var ett företag ansvarigt för de skador som orsakades till ett andra företag som arbetade som föll i ett hoax, vilket resulterade i bedrägeriet på flera tusen euro.

Den Artikel 120.3 i strafflagen (CP) konstaterar att de kommer att vara civilansvariga i avsaknad av kriminella chefer:

”3. Naturliga eller juridiska personer, i fall av brott som begåtts i anläggningar Av de som är innehavare, när de som riktar eller administrerar eller deras anhöriga eller anställda, polisreglerna eller bestämmelserna i myndigheten som är relaterade till straffbar engagerad, så att detta Det skulle inte ha inträffat utan sådan överträdelse. ”

Detta betyder att datorsystem av företag betraktas som en del av etablering av företaget. Därför, om det finns någon oregelbundenhet som skadar kunder eller leverantörer, kan verksamheten vara civilansvarig.

Som Vanesa Alarcón Caparrós från AGM Abogados förklarade ”Det kommer att bero på omständigheterna, men det autonoma hade inte tillräckliga säkerhetsåtgärder Och det har orsakat en Skador i tredje parter För den icke -adoption av åtgärder, ja, det kan bli. ”

Vill du vara uppdaterad med nyheter som detta?

Prenumerera gratis Till vår nyhetsbulletin för att bli informerad om allt som påverkar ditt företag.

Ansvarets utelämnande betraktas som en överträdelse

Om en autonom eller små och små och medel upptäcker en förekomst i sin digitala miljö och gör ingenting åt det, det vill säga Antar ingen åtgärd för att varna För andra företag, kunder eller leverantörer som finns i sin databas, betraktas detta utelämnande som a överträdelse Reglering enligt villkoren i artikel 120.3 CP. Särskilt om någon annan påverkas som ett resultat.

Dessutom minns den högsta att överträdelsen inte är nödvändig för att vara direkt och unik orsak av skador. Det räcker att det finns en Tillräckligt kausalitetsförhållande Mellan den överträdelsen och den slutliga skadan. Därför, om företaget, inte meddela, Det gynnar eller underlättar Må bedrägeriet uppstå, även om det inte har genomfört det direkt, skulle det förstås att det finns tillräcklig anslutning.

Högsta domstolen som ansvarar för företag som inte mildrar effekterna av bedrägeri.

Det vill säga, det krävs inte att skadan utan överträdelsen skulle ha varit absolut omöjlig, men att det utelämnandet bidra relevant att inträffa.

Risker och konsekvenser för självarbetet av ett säkerhetsgap

Effekterna av en kompromiss av datorsystem i ett företag är inte begränsade till omedelbar ekonomisk skada eller den renommépåverkan som den kan generera. För självarbetslösa och små och medelstora företag kan brist på åtgärder eller sen anmälan översättas till miljonärs sanktioner och i vissa fall även i straffrättsliga ansvar.

Sanktioner för att inte varna

Kommunicera inte ett säkerhetsgap Inom den etablerade juridiska termen kan frilansare och små och medelstora företag vara mycket dyra. Regler för dataskydd anser detta utelämnande som en allvarlig överträdelsesom kan bära Böter på upp till 10 miljoner euro eller 2% av den globala årliga affärsvolymenberoende på den högsta siffran. I de mest allvarliga fallen kan sanktionen till och med nå 4% av faktureringen.

Som förklarats av Vanesa Alarcón Caparrós, advokat för AGM -advokater, ”Varje sanktion är baserad på överträdelsen och dess svårighetsgrad. Normalt skulle icke -anmälan utgöra en allvarlig överträdelse av förordningarna, men detaljerna i varje fall bör ses.” Dessa överträdelser föreskriva vid två årEfter den tiden, även om det upptäcks att det autonoma eller små och medelstora företaget inte kommunicerade datorattacken, kan de inte längre sanktioneras administrativt.

Dessutom erinrade experten att dessa administrativa sanktioner från AEPD är oberoende av det möjliga dotterbolag med civilansvar mot tredje parter som lider skador. ”De är oberoende och De kan delta. En böter kommer att åläggas av den behöriga myndigheten, såsom AEPD, efter administrativ väg; Och samtidigt kan den berörda användaren kräva sina rättigheter vid domstolarna, ”tillade han.

Möjliga kriminella konsekvenser

Vanesa Alarcón varnade också för att, utöver det civila ansvaret som ett säkerhetsgap innebär, ”Om arbetsgivaren tillåter det” kan det också bli mer allvarliga konsekvenser, från de som är relaterade till kränkningen av upphovsrätten till Kriminella konsekvenserTill exempel Om det finns en nedladdning av olaglig programvara.

Således fastställer artikel 270 i strafflagen: Kommer att straffas med straffen på Fängelse från sex månader till fyra år och böter på tjugo månader Den som, med avsikt att få en direkt eller indirekt ekonomisk fördel och till nackdel för tredje av hans anställda.

”Om detta faktum är att installera den här typen av programvara kan ibland tillåta Virusinstallation som följer med piratprogramvaran ibland kan du ha ett dubbel säkerhetsgap, att kunna tillåta åtkomst till dina klientsystem eller data, med vilka, Skador kan vara ännu större”, Klargjorde advokaten.

Företagets rykte kan påverkas

Effekterna av en incident på cybersäkerhet i ett litet företag eller ett små och medelstora företag orsakar inte bara lagliga sanktioner eller ansvar, det kan också äventyra kundernas och leverantörernas förtroende, vilket påverkar projektets livskraft.

Det sätt på vilket händelsen hanteras är nyckeln till att bevara trovärdigheten på marknaden. Som Alarcón påpekade: ”Om du agerar snabbt, effektivt och tar Steg och lämpliga åtgärderpåverkan kommer att bli mindre; Men om det inte deltog ordentligt, vad som hände filtreras och fortfarande inte reagerar, kan det bli något mer allvarligt, mer viralt och med det större skador på företaget ”.

Det är därför att ha krishanteringsprotokoll som integrerar både den juridiska och kommunikativa aspekten är viktigt. De måste fundera från från uppsägning och kriminalteknisk analys Från vad som hände till Meddelande om förekomsten av AEPD och de berörda användarnaliksom kommunikationsstrategin med kunder och media.

Om påverkan är viktig måste det rapporteras

Inte alla säkerhetsfel tvingar kunder och leverantörer. Skyldigheten är född när volymen av drabbade uppgifter är hög eller när förekomsten kan ha en allvarlig inverkan på de grundläggande rättigheterna för de inblandade. I dessa fall, förutom att anmäla AEPD, måste verksamheten också varna de berörda.

Som Vanesa Alarcón Caparrós förklarade: ”Det måste utföra en analys Alltid för att se hur långt påverkan av rättigheter kommer och vem som påverkar, liksom dess svårighetsgrad. Det är inte alltid obligatoriskt att meddela, men det är det väsentligt för att dokumentera analysenRegistrera händelsen internt och motivera varför den inte meddelades, såväl som de åtgärder som vidtagits för att försöka att detta faktum inte kommer att produceras igen ”.

Om företaget inte har dataskyddsdelegat (DPO) måste det utse en intern person som ansvarar Det förutsätter funktionen att samordna och hantera svaret på förekomsten, söker externt stöd vid behov för att garantera överensstämmelse med förordningarna.

Freja
Freja

Jag heter Freja och är redaktör på Dagoja, där jag specialiserar mig på sysselsättningsnyheter och innovation. Med tio års erfarenhet inom journalistik erbjuder jag ingående analyser av arbetsmarknadstrender och påverkan av framväxande teknologier. Passionerad av professionell empowerment, strävar jag efter att ge strategisk information för att hjälpa våra läsare att lyckas i sina karriärer.