La privacidad y la ciberseguridad
Por todos es sabido que uno de los sectores económicos más potentes del mundo tiene que ver con los data brokers, que son aquellas empresas, principalmente norteamericanas, que basan su modelo de negocio en la explotación de información personal de terceros, y que desde hace años vienen explotando, sin control ni límites, la información personal de millones de usuarios de Internet de todo el mundo.
Sin embargo ...
La privacidad y la ciberseguridad como riesgos de inversión por...
... La gran presión internacional por reforzar la protección de la privacidad de los ciudadanos (en Europa ya se está trabajando en una propuesta de RGPD2 que refuerce aún más las obligaciones de las empresas que trabajen con datos de ciudadanos europeos) comienza a surtir efectos. De hecho, en las memorias de salida a bolsa de algunas de ellas, como en el caso de Palantir o Snowflake, ya se advierte a los posibles inversores del impacto negativo que puede provocar la imposición de multas y sanciones en países europeos, en la rentabilidad prevista del negocio.
Esto se debe, principalmente, a que el cambiante marco normativo en muchos países del mundo, especialmente Europa -con su RGPD- pero también en estados como California y su ley COPPA, tiende cada vez más a reconocer y globalizar un derecho de la privacidad de los consumidores.
La regulación de la privacidad aparece como uno de los principales riesgos de los que se informa a los posibles inversores interesados en participar en su negocio
En efecto, si observamos la documentación que algunas de estas compañías han presentado ante la Securities and Exchange Commission (SEC), que es el órgano regulador de las salidas a bolsa de las empresas en el mercado norteamericano, ya se puede ver con claridad cómo la regulación de la privacidad aparece como uno de los principales riesgos de los que se informa a los posibles inversores interesados en participar en su negocio.
Y es que la incertidumbre acerca de la interpretación y aplicación práctica de la normativa de protección de datos por parte de los reguladores ha llevado a empresas, tales como a la propia Facebook, a afirmar que los cambios legislativos les obligan a adecuar sus productos y servicios a una nueva realidad, de un modo que -según afirman- no les permite garantizar el cumplimiento absoluto de las leyes, y les enfrenta a una mayor probabilidad de ser duramente sancionadas.
Este sería el caso, por ejemplo, de la anulación del escudo de privacidad (privacy shield) que ha llevado a la interrupción de gran parte de las transferencias internacionales de datos personales desde Europa hacia Estados Unidos.
Otra de esas empresas, como Sumo Logic, dedicada a análisis de datos en la nube, también se refería a este asunto en la documentación que aportaba a la SEC, donde reconocía públicamente que “la percepción de que la privacidad de la información no está protegida satisfactoriamente o que no se cumple con las obligaciones legales, puede perjudicar las ventas de nuestros servicios y limitar la adopción de nuestra plataforma”.
Los inversores en este tipo de negocios deben conocer, al igual que sucede con la ciberseguridad, que la privacidad es un riesgo de negocio respecto del cual las empresas deben preocuparse y sobre el que sus órganos de administración han de adoptar medidas para prevenirlo o evitarlo, pero, en cualquier caso, gestionarlo.
Sin embargo, la ciberseguridad no es un aspecto que sólo deba tenerse en cuenta en momento de la inversión, sino que los incidentes de seguridad pueden afectar al negocio y, en consecuencia, al valor de las acciones. Así las cosas, cabría concluir que la producción de un ciberataque que produzca un impacto significativo a los sistemas de una empresa cotizada debería notificarse al mercado (CNMV) como un hecho relevante.
Sin embargo, de aquí surge otra derivada, como es el riesgo -planteado por la futura Directiva europea de demandas colectivas- de que un ciberataque traiga consigo demandas millonarias presentadas por colectivos de afectados por la fuga de información causada por el incidente de seguridad. Esta situación ya se ha visto en Reino Unido, donde se han iniciado procesos judiciales con reclamaciones millonarias como empresas (como es el caso de la aerolínea Virgin) que han sufrido brechas de seguridad con fugas de datos de cientos de miles de clientes o usuarios.
Este tipo de elementos obligarán a las empresas a replantear sus estrategias en materia de seguridad de la información, no sólo reforzando la protección de sus órganos de administración, sino también en lo que respecta al ámbito asegurador, donde ya son varias las compañías aseguradoras que han comunicado el cese de la cobertura de ciertos ciberriesgos, como es el caso del ransomware.
Todo ello, en definitiva, dibuja un futuro de inseguridad jurídica que va a requerir de grandes especialistas, no sólo conocedores de los aspectos técnicos de la numerosa regulación que se aprobará en el año 2022 (NIS2, MICA, DORA, etc.) sino que entiendan cómo funciona una nueva realidad para la cual no hemos sido capacitados.
El Ciberderecho es la rama del Derecho que nace por el surgimiento de Internet, para estudiar las normas jurídicas y los procedimientos que regulan el ciberespacio. Diferénciate del resto y especialízate en una disciplina con una gran proyección profesional con el Máster en Ciberderecho certificado por la UCAM.
