Ilícitos digitales

10.1. Ciberdelincuencia y criminalidad digital global.10.2. Delitos tecnológicos: los hechos digitales a la tipificación penal.10.3. Colisión con derechos fundamentales: derechos a la intimidad y secreto de las telecomunicaciones.10.4. Problemas en la investigación digital en el procedimiento criminal: medios previstos en las normas procesales penales.10.5. Persecución de delitos tecnológicos: comunicación con ISP, Unidades tecnológicas de cuerpos de seguridad y otros operadores.10.6. Recursos humanos en la empresa, uso de tecnologías y ilícitos laborales.

Responsabilidad civil en la era digital: el Supremo confirma la condena a Gamboa Automoción por una estafa informática

por

La sentencia del Tribunal Supremo nº136/2025 resuelve un recurso de casación presentado por GAMBOA AUTOMOCIÓN S.A., condenado como responsable civil subsidiario por una estafa informática sufrida por la empresa CYASA (Comercio y Asistencia S.A.).


La estafa se produjo en abril de 2018 cuando terceros suplantaron el correo de un empleado de Gamboa para inducir a CYASA a realizar una transferencia por más de 32.000 euros a una cuenta fraudulenta. El Tribunal confirma la responsabilidad subsidiaria de Gamboa por omitir medidas de prevención tras una brecha de seguridad detectada el día anterior a los hechos.


La cuestión clave que analiza el Supremo gira en torno a si los requisitos del artículo 120.3 del Código Penal se cumplen para imponer esa responsabilidad civil. Este artículo exige que: el delito se cometa en un «establecimiento» de la entidad; exista infracción de normas reglamentarias o disposiciones de la autoridad atribuible a sus administradores o empleados; y que dicha infracción esté relacionada causalmente con el delito.


El Tribunal señala que el sistema informático—como medio habitual y necesario—forma parte del entorno funcional del negocio, por lo que, pese a que el delito no ocurrió físicamente en un local, sí ocurrió en un «entorno operativo» de la empresa.


Asimismo, la empresa incurrió en una omisión relevante, pues, a pesar de a haber detectado un incidente similar con otra empresa (Romauto Motion S.A.) la mañana del 10 de abril de 2018, Gamboa no avisó a sus demás socios comerciales ni tomó medidas para prevenir un nuevo ataque.


Por todo lo expuesto, el Tribunal consideró probado que hubo una brecha de seguridad en su sistema informático y que la falta de comunicación e inacción de la empresa fue clave para que el fraude a CYASA se consumara.


Lecciones clave para las empresas


Esta sentencia marca un precedente importante:


  • No actuar ante una brecha de seguridad equivale a asumir riesgos legales.
  • Las empresas tienen un deber proactivo de protección y de comunicación cuando detectan vulnerabilidades que pueden afectar a terceros.
  • No es necesario identificar al empleado culpable para que se imponga responsabilidad civil a la empresa.
  • Las medidas preventivas no son opcionales. Son una obligación legal y operativa.

Conclusión


Esta sentencia es una advertencia clara para todas las empresas: si una empresa detecta una incidencia de seguridad y no informa ni actúa con rapidez, puede terminar condenada, aunque no haya participado en el delito.


Hoy más que nunca, la gestión de riesgos digitales es parte esencial del cumplimiento legal y del deber de diligencia empresarial. Y cuando ese deber se incumple, los costes van mucho más allá de lo tecnológico: impactan en la reputación, las finanzas y la responsabilidad jurídica de la empresa.


Como siempre, cuidad los datos y ¡cuidaos!


Para leer la resolución, haga clic aquí.

Protección de datos vs. mentiras en el CV: Cuando la empresa cruza la línea de la legalidad en su investigación

por

El 19 de abril de 2024, el TSJ de Castilla y León (STSJ CL 1540/2024) declara improcedente el despido disciplinario de una trabajadora por mentir en su CV. La empresa había detectado irregularidades, y por ello solicitó el informe de vida laboral a los trabajadores para contrastar dicha información con sus currículums. Así es cómo pudieron descubrir que en el de esta empleada había discrepancias. No obstante, el Tribunal ha declarado el despido como improcedente debido al uso ilícito de los datos personales.

Hechos

La empleada, que inició su relación laboral con la empresa en septiembre de 2020, aportó inicialmente un currículum en el que indicaba que había trabajado como operaria de cadena en el departamento de soldadura en Renault. Sin embargo, este dato no aparecía en el currículum que entregó en 2022; en su lugar, se indicó otra experiencia profesional como operaria de cadena que no se correspondía con lo expuesto en su día.

Ese mismo año, a raíz de un procedimiento interno de selección, la empresa solicitó a los trabajadores la remisión de su vida laboral y, al contrastar el currículum de la trabajadora con su vida laboral, se observó la incongruencia. 

Por ello, en marzo de 2022 la empresa procedió a notificarle su despido disciplinario, con efectos a partir del 24 de junio y fundamentado en su transgresión a la buena fe contractual (artículo 54.2.d) del Estatuto de los Trabajadores).

No obstante, la empleada impugnó el despido y alegó que se había vulnerado su derecho a la protección de datos, dado que la empresa empleó su informe de vida laboral para justificar su despido sin ningún tipo de base legítima para ello.

Si bien el tribunal de instancia declaró la procedencia del despido, la trabajadora recurrió al TSJ de Castilla y León, el cual ha declarado el despido como improcedente.

Este TSJ ha reconocido el uso ilícito de los datos personales cedidos por la trabajadora que realizó la empresa, dado que esta los utilizó para un fin distinto al que se suponía—la trabajadora había entregado el informe voluntariamente para procesos de selección, no para una investigación disciplinaria.

Asimismo, el Tribunal subraya la ilicitud del tratamiento, indicando que se ha vulnerado el derecho a la protección de datos de la trabajadora, el cual considera como un derecho fundamental protegido por el artículo 18.4 de la Constitución española

El Tribunal considera que esta vulneración es motivo suficiente para afirmar la improcedencia, dado que, en caso de prescindir de la información obtenida de la vida laboral de la empleada, el despido carecería de justificación. Además, destaca el defecto formal en la carta de despido, ya que esta no describía con claridad la conducta sancionada y que la falta alegada por la empresa había prescrito, pues, desde el conocimiento de la supuesta irregularidad en marzo de 2022 hasta el despido en junio de 2022, ya habían transcurrido más de 60 días, lo cual superaba el plazo legal para sancionar una falta muy grave.

El Tribunal Superior de Justicia de Castilla y León condenó a la empresa a readmitir a la trabajadora o abonarle una indemnización de 5.462’42€, además de una indemnización adicional por daños morales de 3.000€, debido a la vulneración de su derecho fundamental a la protección de datos.

Conclusión

La empresa no pudo acreditar un interés legítimo superior al derecho fundamental a la protección de datos de la trabajadora, por lo que la causa del despido quedó invalidada. Este fallo sienta un precedente sobre los límites de las empresas para verificar CVs, priorizando el cumplimiento del RGPD incluso en casos de presunta mala fe del trabajador.

Como siempre, cuidad los datos y ¡cuidaos!

Para leer la resolución, haga clic aquí.

Cómo un acceso a ASNEF costó el puesto a un directivo bancario: El TS equipara consultar morosidad sin causa al robo de información

por

La Sentencia del Tribunal Supremo nº37/2025 resuelve un recurso de casación presentado por Banco Sabadell SA contra una sentencia que declaró improcedente el despido disciplinario de un empleado por accesos no autorizados a ficheros de morosidad y retrocesión irregular de comisiones.

Hechos probados

El trabajador, que llevaba desde el 2000 trabajando para el Banco Sabadell, consultó datos en ficheros de morosidad de varias personas y empresas sin consentimiento, algunas de ellas sin relación contractual con el banco. Por ello, la entidad bancaria le comunicó su despido disciplinario, fundamentado en infracciones muy graves tipificadas en el art. 69.1 del convenio colectivo del sector de Banca, relativo al art. 54.2.d) del Estatuto de los Trabajadores.

El Banco alegó que el trabajador realizó varias consultas sin justificación de ficheros de morosidad. Concretamente, el empleado realizó, sin justificación alguna, búsquedas de hasta 4 personas físicas y una empresa en seis fechas distintas. Una de estas personas investigadas presentó una queja al Banco por haberse consultado sus datos personales tener una base legítima para ello y reclamó que se le compensara el daño ocasionado.

Asimismo, el actor también realizó retrocesiones de comisiones por un valor de 133’80€ a favor de un amigo que era cliente de otra oficina.

El trabajador despedido defendió sus acciones alegando que realizó los accesos a los ficheros de morosidad como una mera acción comercial. Por otro lado, respecto a las retrocesiones de comisiones, indicó que lo realizó como un favor a su amigo personal.

No obstante, el Banco decidió ejecutar el despido disciplinario al considerar los hechos como muy graves y constitutivos de transgresión de la buena fe contractual, abuso de confianza en el desempeño del trabajo y fraude o deslealtad en las gestiones encomendadas.

Decisión del Tribunal Supremo

En este supuesto, el Tribunal Supremo considera probada la transgresión de buena fe contractual y abuso de confianza por parte del ahora ex-empleado y subraya el uso indebido de facultades directivas para beneficiar a terceros sin interés empresarial. Además, destaca que los accesos realizados en más de una ocasión fueron accesos a datos sensibles sin base legítima, por lo que se constituye una vulneración del art. 20 de la LOPDGDD, precepto que indica que solo se puede consultar la información de los sistemas de información crediticia cuando se mantuviese una relación contractual con el afectado.

Por otro lado, se identifica también una vulneración del art. 5.1.f) RGPD, el cual prevé que los datos personales deben ser tratados garantizando una seguridad adecuada, incluyendo la protección contra el tratamiento no autorizado o ilícito (principio de confidencialidad).

Conclusión

Esta sentencia sienta precedente sobre el alcance del deber de lealtad en el manejo de datos personales, estableciendo que el uso no autorizado de sistemas de información crediticia por directivos bancarios, aunque sea puntual, justifica la extinción contractual por riesgo sustancial para los intereses empresariales.

Como siempre, cuidad los datos y ¡cuidaos!

Para leer la sentencia, haga clic aquí.

¿Una idea muy tonta? No, directamente estúpida y poco ejemplar

por

Pues sí, tal y como ha reconocido en la revista Rolling Stone, el CEO de HBO confesó haber troleado a los críticos con tuits falsos tras publicarse un informe de la revista. Casey Bloys explicó que durante la pandemia pasó una «cantidad de tiempo poco saludable» en Twitter cuando habló de utilizar un «ejército secreto» para responder a los críticos. Y ya dijo que se le había ocurrido «una idea muy tonta para aplacar su frustración».

En resumen, una conducta, como mínimo, poco ejemplar, justificada con excusas inaceptables. Los hechos ocurrieron entre 2020 y 2021 cuando era presidente de programación y responsable de contenidos de la compañía. Ahora es el máximo responsable.

Hechos como estos ponen de manifiesto la importancia de la formación y de la comunicación para fomentar la cultura de cumplimiento en las organizaciones. Formación y Comunicación son piedras angulares para hacerlo.

Y sí, hablamos de protección de datos, pero también de más cosas. Esta cultura debe llegar a todos los rincones de las empresas, y de la Administración, y a todas las personas que están involucradas en ella. Y debe llevar a todas partes la ética y el cumplimiento en general.

Hacemos un repaso breve a los principales aspectos claves a tener en cuenta.

  1. Conciencia sobre la importancia de la protección de datos.
    La formación continua asegura que todos los empleados, desde la alta dirección hasta el personal operativo, entiendan la importancia crítica de proteger los datos personales y la información confidencial. Al estar informados sobre los riesgos y las consecuencias de una brecha de datos, los empleados pueden reconocer la relevancia de su comportamiento diario en la salvaguarda de la información.

  2. Comprensión de la legislación y normativas.
    Las leyes de protección de datos, como el RGPD en Europa, la CCPA en California y otras legislaciones similares en todo el mundo, son complejas y sujetas a cambios. La formación ayuda a mantener al personal actualizado sobre sus responsabilidades legales y sobre cómo la legislación afecta a sus roles específicos.

  3. Implementación de mejores prácticas.
    La capacitación proporciona a los empleados el conocimiento de las mejores prácticas en el manejo de datos, incluyendo la identificación de información sensible, el uso correcto de sistemas de TI y la aplicación de protocolos de seguridad. Esto reduce la posibilidad de errores humanos, que son una de las causas más comunes de las brechas de datos.

  4. Gestión de riesgos.
    La formación puede ayudar a los empleados a identificar y evaluar los riesgos relacionados con la protección de datos en las actividades cotidianas, así como a aplicar las medidas de mitigación adecuadas.

  5. Respuesta a incidentes.
    La comunicación efectiva asegura que, en caso de una violación de datos, todos los miembros de la organización sepan exactamente cómo se puede reaccionar, quién debe ser notificado y qué pasos deben seguir para contener y resolver la situación.

  6. Refuerzo del compromiso ético.
    Una cultura de cumplimiento también es una cuestión de ética empresarial. La formación ayuda a internalizar el valor de la privacidad y el respeto por la información personal, más allá del mero cumplimiento legal.

  7. Transparencia con las partes interesadas.
    La comunicación eficaz no solo es importante internamente sino también hacia fuera. Es vital que los clientes, socios y reguladores perciban la seriedad con la que una organización trata la protección de datos, lo que puede mejorar la reputación y la confianza en la marca.

  8. Adaptación a la evolución tecnológica.
    La tecnología y las amenazas de seguridad evolucionan rápidamente. La formación continua asegura que los empleados estén al día con los desarrollos tecnológicos y las amenazas emergentes.

  9. Fomento de una cultura de informes.
    Los empleados deben sentirse cómodos informando posibles problemas o brechas sin miedo a represalias. Una comunicación abierta y transparente fomenta una atmósfera donde los empleados se sienten seguros al reportar incidentes o conductas sospechosas (más allá del Canal de Denuncias).

  10. Mejora continua.
    La formación y comunicación son procesos continuos que ayudan a las organizaciones a adaptarse y mejorar sus prácticas de protección de datos de forma constante y alineada con los cambios en el entorno regulatorio y tecnológico.

Para que una cultura de cumplimiento sea efectiva y sostenible, es esencial que la formación y la comunicación sean vistas como inversiones continuas y no como requisito de una sola vez. Esto demuestra el compromiso de la organización con la protección de datos y refuerza la importancia de cada individuo en el proceso de proteger la información confidencial y de su compromiso con una conducta ética.

Como siempre, hagamos las cosas bien y ¡cuidaos!

¡Ay!, la (maldita) copia oculta

por

Debemos reconocerlo. A todos nos ha pasado, por ir con prisas y no fijarnos o simplemente porque en el momento supremo de enviar el correo una distracción –llaman al móvil o alguien nos interrumpe – hace que enviemos los correos a un conjunto de destinatarios sin poner en copia oculta (CCO). Y una vez pulsada la tecla de Enviar, sale, inevitablemente de lo más profundo de nuestra garganta, un “Ay!” que se hace sentir por toda la estancia. Sin embargo, ya es tarde. Irremediablemente tarde.

Pues eso le ocurrió a una inmobiliaria aquí, en Terrassa. Y, como no puede ser de otra forma, con consecuencias no deseadas (ver resolución AEPD). Por la empresa y, lo que es peor, por los destinatarios que vieron expuestos sus datos personales. Vamos a contarlo.

Los hechos

Una empresa inmobiliaria remite un correo electrónico, a una pluralidad de destinatarios, sin utilizar la modalidad de copia oculta, lo que permite que terceros tengan conocimiento de la dirección de correo electrónico del reclamante. ¿Fácil de entender? Pues sí. No se pueden desvelar datos personales, ni siquiera el correo, porque vulnera el artículo 5.1.f) del RGPD. Y el 32 también, como veremos.

Las consideraciones de la AEPD

La Agencia considera que la entidad reclamada, con su actuación, ha cedido los datos a terceros sin causa que lo legitime y, por tanto, ha realizado un tratamiento de los datos personales, cuya custodia tiene encomendada, contrario a derecho . La empresa ha violado el principio de integridad y confidencialidad (artículo 5.1.f) RGPD), así como no haber adoptado las medidas de seguridad necesarias para garantizar la protección de datos de carácter personal de sus clientes (artículo 32 RGPD), al no utilizar la modalidad de copia oculta del correo electrónico.

Multa por dos conceptos

La primera multa, por la infracción del artículo 5.1.f) RGPD, se cuantifica (tras la graduación de la sanción) en 6.000€.
La segunda, por infracción del artículo 32 RGPD, es de 3.000 €.
Hacen un total de 9.000 €.

No está mal una multa de 9.000€ por una acción que se podría haber evitado sólo pegando el listado en el campo CCO del editor de correo. Además, la empresa, de forma inusitada, no contestó al requerimiento de la AEPD ni presentó ninguna alegación (de las comunicaciones con la AEPD hablaremos otro día).

Apuntes

Pero más allá del hecho puntual, doloroso pero asumible, está el bien jurídico que quiere protegerse que no es otro que la privacidad de los datos personales. Y aquí sí debemos prestar atención. Se trata de realizar un tratamiento escrupuloso de los datos personales que nos encomiendan. Aplicar los principios del RGPD como la transparencia, minimización, integridad, confidencialidad y demás, y, sobre todo, el de la lealtad con el interesado.

Como siempre, ¡cuidados!

‘Fake news’ y empresa, ¿qué hemos de saber?

por

Tiempo atrás hablamos de las deepfakes y ahora queremos echar un vistazo a cómo las ‘fake news’ pueden afectar a las empresas.

Estamos, y cada día más, entrando de lleno en la era de la infoxicación (overload Information). Este neologismo hace referencia al concepto de sobrecarga informativa que tiene lugar cuando la cantidad o intensidad de información exceden la limitada capacidad de procesamiento del individuo, lo que puede provocar efectos disfuncionales. El término lo debemos a Alfons Cornella, fundador del Institut Next.

Medios compitiendo por la audiencia y por llenar parrillas y millones de usuarios que, de repente, nos hemos vuelto periodistas, comentaristas, influencers y no sé cuántas cosas más. Y, como es natural, las redes sociales han elevado la infoxicación a la enésima potencia.

Añadamos los acontecimientos extraordinarios que desde hace unos años estamos viviendo: pandemia, naturaleza desatada, guerra, crisis climática y una larga retahíla que añade presión a la caldera informativa.

Todos estos cúmulos de circunstancias hacen que cada vez seamos menos cuidadosos con la verificación de la información que recibimos, no tenemos tiempo, ni ganas, de contrastarla ni mucho menos de refutarla. Y ya tenemos un excelente caldo de cultivo por las fake news.

Pero todo esto, que en la esfera privada puede tener consecuencias que van desde leves (se anuncia de forma falsamente intencionada que un jugador fichará por otro equipo la próxima temporada) a muy graves (como puede ser el acoso sexual) , en el caso de las empresas los efectos pueden ser devastadores si no se toman medidas.

En efecto, en la empresa hay dos vertientes, como mínimo, que deben cubrirse. Por un lado, la difusión por parte de nuestra empresa de informaciones falsas: alertar de una supuesta escasez de un producto para subir su precio, difundir noticias negativas sin fundamento sobre un competidor o hacer publicidad denigratoria. En estos casos podríamos estar infringiendo una serie de normativas que van desde la Ley General de comunicación audiovisual (art.61) a la Ley de Competencia desleal (art 27.3), entre otros.

Y, por el contrario sensu, nuestra empresa puede ser la afectada. Sea por alguna noticia falsa de las mencionadas, que todas tendrán recorrido en los tribunales con las conocidas dificultades probatorias, o, y eso es más sutil, que una información no contrastada nos lleve a tomar una decisión desacertada con el consecuente perjuicio económico o, peor, reputacional.

En este punto, es necesario realizar unas recomendaciones para intentar minimizar los posibles peligros. Partir del convencimiento de que no todo lo que se publica, con independencia del medio, es fiable y aplicar grandes dosis de escepticismo y sentido común suele ser un buen comienzo. Recurrir a la fuente original (y sospechar si no se cita), buscar la información en otras fuentes, distinguir entre información y opinión y no creer por defecto aquella información que se adapta a nuestro sesgo pueden ser buenas guías para no caer en la trampa .

Desde noticias falsas para intentar manipular elecciones hasta noticias alarmantes a propósito del COVID estamos sometidos a una lluvia de informaciones que necesariamente debemos contrastar si queremos evitar situaciones adversas, tanto a nivel personal como profesional.

Quizás nos convendría un ‘detox’ informativo. Mientras tanto y como siempre, ¡cuidados!

Influencers, la legislación que viene (porque viene)

por

Tiempo atrás ya hablamos de la entrada en vigor del Código de Conducta sobre el Uso de Influencers en la Publicidad que recoge un conjunto de reglas que vinculan a los anunciante adheridos a AEA (Asociación Española de Anunciantes), a AUTOCONTROL, así como a cualquier otro anunciante del sector y a Influencers que voluntariamente se adhieran al mismo.

Al margen de esta iniciativa, de carácter voluntario, la publicidad de los influencers en España se mueve en un marco legal todavía por desarrollar. Y se tiene que emprender el camino, más pronto que tarde, porque el sector movió el 2019 una facturación global de 8.000€ y la falta de regulación crea inseguridad jurídica que no beneficia, o no tendría que beneficiar, a nadie.

Según un estudio de la Universidad de Compostela, el 68% de los usuarios españoles de redes sociales siguen a influencers por lo cual las marcas ven un canal valioso para prescribirse y ganar consumidores. Y el 93% de las publicaciones publicitarias en Instagram realizadas por los 25 principales influencers españoles del sector de la moda –algunos superan el millón de seguidores– ocultan que son contenidos patrocinados, es decir, publicidad que podemos calificar como engañosa.

En este sentido, la Comisión Nacional de los Mercados y de la Competencia (CNMC) propone incluir la actividad de los influencers en la futura Ley de Comunicación Audiovisual. La Comisión propone incluir la definición de los “prestadores de servicios de comunicación audiovisual que se soportan en plataformas de intercambio de videos” que comprendería a los influencers los requisitos para ser considerados prestamistas de servicios de comunicación audiovisual.

Además de la Ley de Comunicación Audiovisual, hay otras normativas en las que nos tenemos que fijar. Por ejemplo, la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE) que en el artículo 20.1 exige que las comunicaciones comerciales hechas por vía electrónica tendrán que ser claramente identificables como tales, y también la persona física o jurídica en nombre de la que se hacen, tendrá que ser claramente identificable.

Y ya para acabar, mencionar la Ley General de Publicidad a efectos de la cual, anunciante es la persona física o jurídica por cuenta del cual se realiza la publicidad. Y ante una publicidad ilícita, engañosa o desleal, las acciones a llevar a cabo son las establecidas a todos los efectos por las acciones derivadas de la competencia desleal, como recoge el artículo 18 de la Ley de Competencia Desleal (LCD).

En consecuencia, tanto anunciantes como influencers harían bien al ir acomodando sus prácticas profesionales en la materia de acuerdo con estas previsiones legales. Las relaciones de las empresas con los influencers y las de estos con sus seguidores se tienen que forjar a lo largo del tiempo porque su base, como en tantos otros casos, es la confianza.

Cuidaos!

Revisión Textos Legales Web