Compliance – Gestión de riegos

Responsabilidad civil en la era digital: el Supremo confirma la condena a Gamboa Automoción por una estafa informática

por

La sentencia del Tribunal Supremo nº136/2025 resuelve un recurso de casación presentado por GAMBOA AUTOMOCIÓN S.A., condenado como responsable civil subsidiario por una estafa informática sufrida por la empresa CYASA (Comercio y Asistencia S.A.).


La estafa se produjo en abril de 2018 cuando terceros suplantaron el correo de un empleado de Gamboa para inducir a CYASA a realizar una transferencia por más de 32.000 euros a una cuenta fraudulenta. El Tribunal confirma la responsabilidad subsidiaria de Gamboa por omitir medidas de prevención tras una brecha de seguridad detectada el día anterior a los hechos.


La cuestión clave que analiza el Supremo gira en torno a si los requisitos del artículo 120.3 del Código Penal se cumplen para imponer esa responsabilidad civil. Este artículo exige que: el delito se cometa en un «establecimiento» de la entidad; exista infracción de normas reglamentarias o disposiciones de la autoridad atribuible a sus administradores o empleados; y que dicha infracción esté relacionada causalmente con el delito.


El Tribunal señala que el sistema informático—como medio habitual y necesario—forma parte del entorno funcional del negocio, por lo que, pese a que el delito no ocurrió físicamente en un local, sí ocurrió en un «entorno operativo» de la empresa.


Asimismo, la empresa incurrió en una omisión relevante, pues, a pesar de a haber detectado un incidente similar con otra empresa (Romauto Motion S.A.) la mañana del 10 de abril de 2018, Gamboa no avisó a sus demás socios comerciales ni tomó medidas para prevenir un nuevo ataque.


Por todo lo expuesto, el Tribunal consideró probado que hubo una brecha de seguridad en su sistema informático y que la falta de comunicación e inacción de la empresa fue clave para que el fraude a CYASA se consumara.


Lecciones clave para las empresas


Esta sentencia marca un precedente importante:


  • No actuar ante una brecha de seguridad equivale a asumir riesgos legales.
  • Las empresas tienen un deber proactivo de protección y de comunicación cuando detectan vulnerabilidades que pueden afectar a terceros.
  • No es necesario identificar al empleado culpable para que se imponga responsabilidad civil a la empresa.
  • Las medidas preventivas no son opcionales. Son una obligación legal y operativa.

Conclusión


Esta sentencia es una advertencia clara para todas las empresas: si una empresa detecta una incidencia de seguridad y no informa ni actúa con rapidez, puede terminar condenada, aunque no haya participado en el delito.


Hoy más que nunca, la gestión de riesgos digitales es parte esencial del cumplimiento legal y del deber de diligencia empresarial. Y cuando ese deber se incumple, los costes van mucho más allá de lo tecnológico: impactan en la reputación, las finanzas y la responsabilidad jurídica de la empresa.


Como siempre, cuidad los datos y ¡cuidaos!


Para leer la resolución, haga clic aquí.

Confidencialidad Vulnerada: La Importancia del Deber de Confidencialidad en Canales de Denuncias

por

La Agencia Española de Protección de Datos (AEPD) ha sancionado a SERVICIOS ESPECIALES, S.A. con 200.000€ por no cumplir con el deber de confidencialidad en las denuncias realizadas en el ámbito laboral.


La resolución se fundamenta en dos reclamaciones presentadas por trabajadores que denunciaron la vulneración de la confidencialidad en el tratamiento de datos personales durante un protocolo de acoso laboral. La empresa divulgó información sensible, incluyendo nombres y apellidos de los denunciantes y denunciados, lo cual generó consecuencias negativas para los afectados, como ataques de ansiedad y exposición pública en el entorno laboral.


Si bien todo inició con la activación del protocolo de acoso laboral, la Empresa finalizó el proceso adjuntando la resolución a cada uno de los denunciantes—5 en total—, lo cual destapaba la identidad de cada uno de los ellos (pues se exponían tanto sus nombres y apellidos como sus puestos de trabajo) y de los denunciados—10 en total—a los cuales también se reenvió la resolución.


Como consecuencia, uno de los denunciados, a través de un grupo de WhatsApp del trabajo y el mismo día del conocimiento de la resolución, envió un emoji de un beso y la frase: «Gracias por la denuncia». Este hecho le generó a una de las denunciantes un ataque de ansiedad, por el cual se acogió a la baja médica.


Por su parte, la empresa alegó que «todos sabían ya quiénes eran», por lo que el anonimato no fue solicitado expresamente y que, además, el Comité de Empresa que llevó a cabo el protocolo tampoco lo pidió.


Es necesario recordar que el artículo 5.1.f) del Reglamento General de Protección de Datos (RGPD) establece el principio de integridad y confidencialidad e indica que los datos personales deben ser tratados de manera que se garantice una seguridad adecuada, por lo cual debe evitarse el acceso no autorizado o ilícito y protegerse contra su pérdida o daño accidental.


En este caso, la empresa vulneró este principio al permitir el acceso a datos personales sensibles (identidades de denunciantes y denunciados) por parte de múltiples personas—15—, sin garantizar medidas técnicas u organizativas apropiadas.


Por todo lo expuesto, la AEPD impuso una sanción de 200.000€, la cual quedaría reducida a 120.000€ en caso de que la empresa reconociera su responsabilidad y procediera al pago voluntario.


Conclusión


La resolución evidencia una vulneración significativa del principio de confidencialidad establecido en el RGPD, la cual afectó directamente a los derechos fundamentales de los denunciantes, pues desprotegió sus identidades. Este caso resalta la necesidad de implementar medidas estrictas para garantizar la seguridad y privacidad en el tratamiento de datos personales en entornos laborales.


Como siempre, cuidad los datos y ¡cuidaos!


Para leer la resolución, haga clic aquí.

Secretos al descubierto: La batalla legal contra empleados que se llevan el know-how

por

La protección de la información confidencial y el know-how es fundamental para el éxito y la supervivencia de las pequeñas y medianas empresas (pymes) en el competitivo entorno empresarial actual. En este contexto, la implementación de acuerdos de confidencialidad y medidas de seguridad adecuadas juega un papel fundamental.

Importancia de los acuerdos de confidencialidad

Los Acuerdos de Confidencialidad son herramientas legales esenciales que establecen una relación de confianza entre la empresa y sus empleados.

Estos acuerdos definen claramente qué información se considera confidencial y establecen las obligaciones de los empleados para protegerla

 Al firmar estos acuerdos, los trabajadores se comprometen legalmente a no divulgar ni utilizar indebidamente la información sensible de la empresa.

Para las pymes, estos acuerdos son especialmente importantes por varias razones:

  1. Protección de secretos comerciales: Los acuerdos de confidencialidad salvaguardan fórmulas, algoritmos, estrategias empresariales y otros activos intangibles que son fundamentales para la ventaja competitiva de la empresa.
  2. Prevención de fugas de información: Establecen expectativas claras sobre el manejo de la información confidencial, reduciendo el riesgo de divulgación accidental o intencionada.
  3. Base legal para acciones legales: En caso de incumplimiento, proporcionan una base sólida para tomar medidas legales contra el empleado infractor.
  4. Fomento de la cultura de seguridad: La firma de estos acuerdos sensibiliza a los empleados sobre la importancia de la confidencialidad y promueve una cultura de seguridad en la empresa.

Medidas de seguridad para prevenir brechas

Además de los acuerdos de confidencialidad, las pymes deben implementar medidas de seguridad robustas para proteger su información sensible y prevenir brechas de seguridad. Algunas estrategias clave incluyen:

  1. Formación continua: Educar a los empleados sobre las mejores prácticas de seguridad, como la detección de phishing y el manejo seguro de datos confidenciales.
  2. Protocolos de seguridad actualizados: Establecer y mantener protocolos claros sobre el manejo de información confidencial y actualizarlos regularmente.
  3. Control de acceso: Limitar el acceso a la información sensible solo a los empleados que realmente lo necesiten para realizar sus funciones.
  4. Actualización de software: Mantener todos los sistemas y software actualizados con los últimos parches de seguridad para prevenir vulnerabilidades conocidas.
  5. Cifrado de datos: Implementar técnicas de cifrado para proteger la información confidencial tanto en reposo como en tránsito.
  6. Copias de seguridad: Realizar copias de seguridad regulares de la información crítica para garantizar su recuperación en caso de incidentes.
  7. Plan de respuesta a incidentes: Desarrollar un plan claro para responder rápida y eficazmente a posibles brechas de seguridad.

Consecuencias de no implementar estas medidas

La falta de acuerdos de confidencialidad y medidas de seguridad adecuadas puede tener graves consecuencias para las pymes:

  1. Pérdida de ventaja competitiva: La divulgación de secretos comerciales puede erosionar rápidamente la posición de la empresa en el mercado.
  2. Daño reputacional: Las brechas de seguridad pueden dañar gravemente la confianza de los clientes y socios comerciales.
  3. Sanciones legales: El incumplimiento de las normativas de protección de datos puede resultar en multas significativas.
  4. Interrupción del negocio: Una brecha de seguridad grave puede llevar a la interrupción de las operaciones y, en casos extremos, al cierre de la empresa.

En conclusión, para las pymes, la implementación de acuerdos de confidencialidad y medidas de seguridad robustas no es solo una buena práctica, sino una necesidad crítica para su supervivencia y crecimiento. Estas medidas no solo protegen los activos intangibles de la empresa, sino que también fomentan una cultura de seguridad, aumentan la confianza de los clientes y socios, y proporcionan una base sólida para el crecimiento sostenible en un entorno empresarial cada vez más digitalizado y competitivo.

Como siempre, ¡cuidad los datos y cuidaos!

 

Nota Técnica (resumen)

El Tribunal Superior de Justicia de Valencia confirmó el despido procedente de una trabajadora por descargar, sin autorización, información confidencial (know-how) de su empresa, Honeygreen SAU, mientras estaba de baja médica. Cabe recordar que el know-how engloba conocimientos técnicos y estratégicos clave para la competitividad de una empresa, por lo que suele estar protegido por estrictas cláusulas de confidencialidad que, en este caso, la trabajadora no respetó.  

El TSJ de Valencia subrayó que las cláusulas adicionales y anexas firmadas de confidencialidad y sobre uso de medios informáticos y tecnológicos, que recogían las normas, códigos y protocolos a seguir, impedían a la trabajadora «no solo el uso fuera de la empresa de archivos, documentos, trabajos, sino, por supuesto, la reproducción, copia y envío, precisamente lo que incumplió».  

Por ello, se concluyó que la conducta llevada a cabo por la trabajadora suponía una transgresión de la buena fe contractual. 

Puedes leer la sentencia aquí

¿Una idea muy tonta? No, directamente estúpida y poco ejemplar

por

Pues sí, tal y como ha reconocido en la revista Rolling Stone, el CEO de HBO confesó haber troleado a los críticos con tuits falsos tras publicarse un informe de la revista. Casey Bloys explicó que durante la pandemia pasó una «cantidad de tiempo poco saludable» en Twitter cuando habló de utilizar un «ejército secreto» para responder a los críticos. Y ya dijo que se le había ocurrido «una idea muy tonta para aplacar su frustración».

En resumen, una conducta, como mínimo, poco ejemplar, justificada con excusas inaceptables. Los hechos ocurrieron entre 2020 y 2021 cuando era presidente de programación y responsable de contenidos de la compañía. Ahora es el máximo responsable.

Hechos como estos ponen de manifiesto la importancia de la formación y de la comunicación para fomentar la cultura de cumplimiento en las organizaciones. Formación y Comunicación son piedras angulares para hacerlo.

Y sí, hablamos de protección de datos, pero también de más cosas. Esta cultura debe llegar a todos los rincones de las empresas, y de la Administración, y a todas las personas que están involucradas en ella. Y debe llevar a todas partes la ética y el cumplimiento en general.

Hacemos un repaso breve a los principales aspectos claves a tener en cuenta.

  1. Conciencia sobre la importancia de la protección de datos.
    La formación continua asegura que todos los empleados, desde la alta dirección hasta el personal operativo, entiendan la importancia crítica de proteger los datos personales y la información confidencial. Al estar informados sobre los riesgos y las consecuencias de una brecha de datos, los empleados pueden reconocer la relevancia de su comportamiento diario en la salvaguarda de la información.

  2. Comprensión de la legislación y normativas.
    Las leyes de protección de datos, como el RGPD en Europa, la CCPA en California y otras legislaciones similares en todo el mundo, son complejas y sujetas a cambios. La formación ayuda a mantener al personal actualizado sobre sus responsabilidades legales y sobre cómo la legislación afecta a sus roles específicos.

  3. Implementación de mejores prácticas.
    La capacitación proporciona a los empleados el conocimiento de las mejores prácticas en el manejo de datos, incluyendo la identificación de información sensible, el uso correcto de sistemas de TI y la aplicación de protocolos de seguridad. Esto reduce la posibilidad de errores humanos, que son una de las causas más comunes de las brechas de datos.

  4. Gestión de riesgos.
    La formación puede ayudar a los empleados a identificar y evaluar los riesgos relacionados con la protección de datos en las actividades cotidianas, así como a aplicar las medidas de mitigación adecuadas.

  5. Respuesta a incidentes.
    La comunicación efectiva asegura que, en caso de una violación de datos, todos los miembros de la organización sepan exactamente cómo se puede reaccionar, quién debe ser notificado y qué pasos deben seguir para contener y resolver la situación.

  6. Refuerzo del compromiso ético.
    Una cultura de cumplimiento también es una cuestión de ética empresarial. La formación ayuda a internalizar el valor de la privacidad y el respeto por la información personal, más allá del mero cumplimiento legal.

  7. Transparencia con las partes interesadas.
    La comunicación eficaz no solo es importante internamente sino también hacia fuera. Es vital que los clientes, socios y reguladores perciban la seriedad con la que una organización trata la protección de datos, lo que puede mejorar la reputación y la confianza en la marca.

  8. Adaptación a la evolución tecnológica.
    La tecnología y las amenazas de seguridad evolucionan rápidamente. La formación continua asegura que los empleados estén al día con los desarrollos tecnológicos y las amenazas emergentes.

  9. Fomento de una cultura de informes.
    Los empleados deben sentirse cómodos informando posibles problemas o brechas sin miedo a represalias. Una comunicación abierta y transparente fomenta una atmósfera donde los empleados se sienten seguros al reportar incidentes o conductas sospechosas (más allá del Canal de Denuncias).

  10. Mejora continua.
    La formación y comunicación son procesos continuos que ayudan a las organizaciones a adaptarse y mejorar sus prácticas de protección de datos de forma constante y alineada con los cambios en el entorno regulatorio y tecnológico.

Para que una cultura de cumplimiento sea efectiva y sostenible, es esencial que la formación y la comunicación sean vistas como inversiones continuas y no como requisito de una sola vez. Esto demuestra el compromiso de la organización con la protección de datos y refuerza la importancia de cada individuo en el proceso de proteger la información confidencial y de su compromiso con una conducta ética.

Como siempre, hagamos las cosas bien y ¡cuidaos!

¿Canal de Denuncias?

por

Este mes de mayo hemos celebrado los cinco años desde que entró en aplicación el Reglamento General de Protección de Datos. Con sus luces y sus sombras, parece claro que ha sido un paso muy importante para la defensa de nuestra privacidad. Pues bien, el próximo día 13 de junio entra en aplicación una nueva Ley, importante para el cumplimiento normativo de las empresas: el conocido como «Canal de Denuncias».

Antecedentes

Transponiendo una Directiva europea, el pasado 16 de febrero, el Congreso aprobó la Ley 2/2023 Reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. La Ley obliga, pues, a empresas y entidades a habilitar un Canal de denuncias o canal interno de información.

¿Qué pretende la norma?

Proteger a las personas que, en un contexto laboral o profesional, detecten acciones u omisiones que puedan ser constitutivas de infracción penal o administrativa grave o muy grave y las comuniquen mediante los mecanismos regulados en ésta.

¿Qué es un Canal de Denuncias?

Es un sistema de alertas que avisa a la unidad responsable de cumplimiento normativo sobre presuntas malas prácticas en la gestión de una empresa u organización. La prioridad de estos canales es proteger a las personas que denuncian, en especial, las que trabajan en la organización o están relacionadas con la misma y deben permitir realizar la denuncia de forma completamente confidencial y, en su caso, anónima.

¿Es importante para la empresa?

Es importante por varias razones. Aquí apuntamos las principales que veremos en detalle en un próximo post.

  • Detección temprana de irregularidades
  • Prevención de riesgos y pérdidas financieras
  • Fomento de la ética y la transparencia
  • Cumplimiento normativo y legal
  • Mejora de la gestión de riesgos
  • Protección de la reputación de la empresa

En resumen, proporciona a los empleados y otras partes interesadas una forma segura y confidencial de informar sobre posibles problemas, lo que beneficia tanto a la organización como a sus stakeholders.

¿Quién está obligado?

Como criterio general, a partir del 13 de junio todas las empresas públicas y privadas de más de 250 trabajadores y el 1 de diciembre, las empresas de más de 50 trabajadores.

Multas y sanciones

No tener Canal o incumplir las obligaciones puede comportar una multa leve hasta 25.000€. Las graves, para limitar derechos y garantías, vulneración de la confidencialidad o no garantizar el secreto de las comunicaciones, pueden llegar a los 50.000€. Las muy graves, brecha de seguridad en el Canal, no contar con un sistema interno de información o adoptar represalias, puede conllevar multas muy importantes. En el caso de la brecha, se aplicarían las sanciones previstas en el RGPD (hasta 20M€ o el 4% de la facturación anual).

¿Qué tenemos que hacer?

Cumplir. Las normativas no son optativas. Y no ya por las sanciones, que no son plato de buen gusto para nadie, sino por las razones que hemos detallado cuando hablábamos de la importancia que tiene para la empresa.

Y el activo intangible más importante que tiene la empresa es la salvaguarda de su reputación. No lo olvidemos.

¡Cuidaos!

Nuevo Curso de Compliance Penal diseñado por Molins Defensa Penal

por
Desde Tecnolawyer Academy nos satisface anunciar el lanzamiento de una serie de Cursos de Formación online en materia de Derecho penal y de Compliance, desarrollados conjuntamente con Molins Defensa Penal
 
El primero es el Curso de Compliance para Empresarios, Profesionales, Directivos y Estudiantes. El contenido ha sido diseñado por Abogados y doctores en Derecho, penal especialistas en materia de Compliance de Molins Defensa Penal y desarrollado técnicamente por Tecnolawyer.
 
El Curso permite conocer la situación actual en España en materia de responsabilidad penal de las personas jurídicas, así como los requisitos que debe contemplar todo Sistema de Compliance penal. De esta forma, el destinatario podrá conocer no solo el estado regulatorio, sino comprender los fundamentos básicos de un Sistema de Compliance penal y su puesta en práctica requisito por requisito.
 
Se orienta a empresarios, profesionales, directivos y estudiantes que deseen obtener un conocimiento transversal en materia de Compliance penal para su posterior puesta en práctica en la empresa o desarrollo profesional.
 
Nuestras ventajas
  • 2-3 horas de duración
  • Audios de refuerzo
  • Situaciones prácticas
  • Jurisprudencia
  • Materiales descargables
  • 30 días para realizar el Curso
  • Test final con Acreditación
  • Garantía de excelencia académica
 

Revisión Textos Legales Web