El Ibex 35 se enfrenta a demandas millonarias por fallos de ciberseguridad

La banca, las energéticas y otros sectores del Ibex 35 amenazados de forma habitual por los ciberataques tendrán que abonar multas millonarias en el caso de que la Directiva en la que desde hace dos años trabaja la Unión Europea salga adelante.

El pasado 30 de junio los representantes permanentes de los Estados miembros aprobaron el proyecto de Directiva -se denomina así a las normas de aplicación obligada a cada país de la UE- relativa a las acciones de representación para la protección de los intereses colectivos de los consumidores. El nuevo marco legal extiende la defensa colectiva frente a situaciones en las que se vean vulnerados los derechos de los usuarios, como puede ser el caso de un ciberataque en el que los datos de clientes se vean comprometidos.

Según la empresa de gestión de riesgos jurídicos y empresariales, Ecix, "la Directiva prevé que los consumidores puedan exigir una indemnización a la empresa ciberatacada". Esto abre un melón interesante para las asociaciones de consumidores y despachos de abogados. Las empresas del Ibex 35 son las que más clientes tienen y por ello son más susceptibles de que se generen demandas colectivas contra ellas.

Los países de la UE tendrán dos años de margen para transponer la Directiva a sus legislaciones locales

Francisco Pérez Bes, Socio de Derecho Digital de Ecix Group, matiza que "la nueva Directiva permitirá a los consumidores acceder colectivamente a una tutela judicial efectiva cuando las infracciones de la legislación comunitaria por parte de los comerciantes les priven de sus derechos, ofreciéndoles acciones tanto de cesación como de reparación, incluida la de indemnización. La Directiva faculta a una serie de entidades (que pueden ser nacionales o transfronterizas) a la interposición de dichas acciones en nombre de un grupo de consumidores que se haya visto perjudicado por un comerciante, cuando éste haya infringido supuestamente la normativa de la UE, como el Reglamento General de Protección de Datos o la Directiva de privacidad, entre otras normas", asegura.

Según el equipo de Audea, empresa dedicada a la ciberseguridad, los sectores que más ciberataques sufren son, por este orden, Banca, Comercio, Industria, Salud, Gobierno y Educación. Las empresas que conforman estos sectores recibirán demandas, en algunos casos millonarias, en el caso de que sufran un ataque informático y reciban una demanda conjunta.

Quien pierde paga

La Directiva establece también que las costas de los procesos judiciales serán sufragadas por quien pierda el litigio. Con esto pretende evitar reclamaciones infundadas. Para ello establece normas claras sobre la imposición de costas en las acciones de representación. Están basadas en el principio de "quien pierde paga".

Para eliminar cualquier conflicto de interés, la Unión Europea ha impuesto una serie de requisitos de transparencia en lo que a financiación por parte de terceros se reflere. La Directiva aún no ha cumplido con todos los trámites de adopción, si bien se encuentra en la recta final. Una vez aprobada, los países de la Union Europea dispondrán de un periodo de 24 meses -dos años- para transponer al reglamento local la Directiva.