Ello conlleva la aparición de un nuevo escenario de riesgos, no solo económicos y reputacionales, sino también legales, debido al incremento exponencial de ataques informáticos que viene sufriendo este sector. Así, el sector hotelero se coloca en el podio como el tercer objetivo más deseado en el catalejo criminal de los hackers, tras los servicios financieros o de banca y seguros, según el Instituto Nacional de Ciberseguridad (Incibe).
Lo anterior no resulta extraño habida cuenta de las condiciones que reúne el sector: el manejo de ingentes cantidades de información relevante (no solo datos de carácter personal, sino también financieros, de inversión, etc.) y los elevados beneficios que el mismo genera, lo que no hace sino agravar el riesgo potencial de sufrir un ciberataque.
Todo lo anterior nos lleva irremediablemente a cuestionarnos la siguiente pregunta: ¿son responsables los hoteleros en caso de sufrir un ciberataque? La sombra de la duda planea sobre los eventuales daños que puedan causarse a terceros.
Y es que, en este punto, la nueva normativa nacida en el seno de la Unión Europea como el embrión para dar respuesta a las necesidades de ciberseguridad impone a las empresas nuevas obligaciones para proteger la información de sus clientes. De tal forma que, de probarse que las mismas no han obrado con la diligencia necesaria, existirían riesgos legales de diversa naturaleza: contractual, extracontractual e incluso administrativa.
Las responsabilidades contractuales y extracontractuales responden al deber general de no dañar a los terceros (alterum non laedere) del que se desprende que la responsabilidad puede nacer con total independencia de obligaciones de cualquier otro tipo que existan entre las partes, ya que el daño se produce por violación de deberes generales de conducta.
Sin embargo, el foco de atención en este escenario debe ponerse sobre la nueva normativa europea que traerá consigo el Reglamento Europeo General de Protección de Datos (RGPD), de obligatoria aplicación a partir del 25 de mayo de 2018.
Así pues, se crea un marco más exigente para las empresas, acuñándose el concepto de “accountability” por el que el hecho de garantizar la seguridad de los datos personales pasa de ser una obligación de medios a convertirse en una obligación de resultados, donde no incumplir ya no será suficiente. Además, se configura la obligación de establecer políticas de prevención y realizar evaluaciones de impacto (“Privacy Impact Assessment”) cuando, con motivo de su naturaleza, alcance, contexto o fines, existan riesgos específicos para los derechos y libertades de los interesados; así como la obligatoriedad de denunciar, sin dilación indebida, las violaciones o brechas de seguridad (“Data Breach Notification”) tanto a la Agencia Española de Protección de Datos (AEPD) como a los propios interesados.
Por tanto, las empresas ciberatacadas podrían ser responsables si no cumplen con sus obligaciones de cumplimiento normativo, por un lado, frente a los perjudicados (a quienes el RGPD les reconoce el derecho a exigir una indemnización por daños materiales e inmateriales) y, por otro, frente a la administración competente, pues el nuevo RGPD establece un nuevo régimen sancionador más agravado, que podría alcanzar hasta los 20 millones de euros o el 4% de la facturación anual global de la empresa (la más alta de las dos cifras).