Las pequeñas empresas y los particulares también pueden ser perjudicados e incluso tener responsabilidades o ser objeto de reclamaciones por parte de sus clientes afectados.
Los ciberataques a las grandes compañías, como los que han tenido lugar hoy, dejan otros perjudicados, entre particulares y pequeñas empresas, cuyos datos, por ejemplo, han podido ser robados o cuyo servicio a sus clientes, interrumpido por dejar de contar con la infraestructura que las grandes les proporcionaban.
En este sentido, se ha recopilado los diferentes conceptos que podrían reclamarse y las responsabilidades que, una pequeña empresa, también podría tener con sus clientes.
¿Qué podemos reclamar?
El Código Penal, en su artículo 109, establece que "la ejecución de un hecho descrito por la ley como delito obliga a reparar, en los términos previstos en las leyes, los daños y perjuicios por él causados". Esto significa que, al margen de la pena que corresponda por el delito cometido, el culpable del ataque será condenado a reparar los daños causados, como responsabilidad civil.
Los daños que pueden reclamarse en virtud de esa responsabilidad civil serán todos aquellos que nuestra empresa ha sufrido como consecuencia del ataque. Será necesario poder acreditar no solo que se han sufrido, sino también la relación causa-efecto.
A modo de ejemplo, podremos reclamar, si se cumplen esos requisitos, los daños sufridos en los equipos, el coste de recuperación de los datos, gastos derivados de robo de identidad y su restauración, gastos de control de redes sociales, gastos de congelación de crédito, servicios de restauración de imagen, etc.
Además, si como consecuencia del ataque nuestra actividad empresarial se ha visto afectada por no haber podido prestar nuestros servicios con normalidad, y por tanto nuestros ingresos han disminuido, también podremos reclamar el lucro cesante o importe dejado de percibir por esa causa.
Por otro lado, podremos reclamar también los gastos que hayan sufrido terceros clientes o proveedores nuestros que por causa del ataque por los que hayamos debido resarcirles.
Responsabilidad frente a terceros
Ante un ciberataque a una empresa, hay que tener en cuenta la posibilidad de que un tercero, es decir un cliente, haya sufrido un perjuicio y este nos reclame por los daños sufridos. Nos planteamos un escenario en el que un tercero deja de percibir un suministro o un servicio, bajo este contexto el cliente podrá reclamar daños y perjuicios, siempre y cuando acredite la relación de causalidad, hecho que no será complicado para el consumidor/cliente.
A su vez, la empresa deberá acreditar que se encuentra bajo alguno de los supuestos de exoneración de responsabilidad (art 1105 CC) y acreditar que efectivamente actuó con la diligencia debida en el mantenimiento de las medidas de seguridad de sus sistemas técnicos (art. 1101 del Código Civil y 147 TRLGDCYU). Sin embargo, en la práctica, y ante la vulneración de las normas de defensa de los consumidores, nuestra jurisprudencia se inclina en favorecer al usuario/cliente.
Debemos tener también en cuenta que, aparte las consecuencias de un ciberataque, todo lo referente al robo de datos, en cuyo caso entraría en juego la AEPD, quien, en el supuesto de no haber actuado con la diligencia debida nos sancionará por ello.