La jornada ha contado con la participación de Juan Palomino y Ángela Uría, socio y abogada de esta área, así como de Andrea Sánchez, abogada de Derecho de Propiedad Intelectual, Industrial y Tecnología del Despacho. Los ponentes han explicado, desde un punto de vista práctico, la importancia de que las compañías tengan implantados protocolos de primera respuesta ante ciberataques, una situación cada vez más común en el día a día de las empresas.
En el transcurso de la sesión, Palomino y Uría han explicado que la importancia de establecer este tipo de protocolos reside en limitar los perjuicios y las responsabilidades que pueden derivarse para las compañías como consecuencia de un ciberataque, ya sea desde un plano penal o civil. Asimismo, han hecho especial hincapié en la necesidad de que este tipo de protocolos sean sencillos, comprensibles y fácilmente ejecutables.
Asimismo, los ponentes han comentado las clases de ciberataques más habituales en la actualidad. Entre ellos, han destacado los llamados “secuestros informáticos”, en los que los atacantes bloquean el uso de los sistemas informáticos de una compañía para exigir un rescate a cambio del desbloqueo y los “fraudes del CEO”, aquellos en los que se produce una suplantación de la identidad de terceros para provocar transferencias de dinero a cuentas bancarias de los atacantes. A propósito de estos ciberataques, también han explicado las diversas implicaciones legales que suponen para las compañías afectadas.
Por último, Juan Palomino y Ángela Uría han conversado sobre la conveniencia de constituir en el seno de las compañías comités de crisis encargados de velar por el cumplimiento del protocolo y de llevarlo a la práctica. En este sentido, han enumerado los requisitos esenciales con los que debe contar el referido comité, desde la atribución de facultades de decisión hasta la composición multidisciplinar del mismo.
Por otro lado, Andrea Sánchez, experta en materia de Protección de Datos, ha comentado la importancia de identificar las brechas de seguridad que puedan haber afectado a datos de carácter personal en un ciberataque. En este sentido, ha explicado las circunstancias en las que las compañías deberán notificar a la Agencia Española de Protección de Datos las referidas brechas y la información que deberá ser proporcionada a la misma. Asimismo, ha hablado acerca de la obligación de notificar este tipo de situaciones a los usuarios afectados y las excepciones aplicables a cada caso.
Finalmente, los ponentes han presentado un listado de las medidas que deberían adoptar las empresas en las primeras horas tras el ciberataque y también aquellas que deben acometerse a medio plazo, tales como la consecución de una investigación interna y la actualización y mejora de los procedimientos internos.