» Ir al portal nuevo de Microjuris OK
Las opiniones expresadas en este artículo son únicamente del(a) autor(a) y no reflejan las opiniones y creencias de Microjuris o sus afiliados.
Por Ángel David Santiago Rivera*
En Puerto Rico, una empresa sufre un ciberataque y lo primero que busca es al técnico. Lo que casi nunca busca —hasta que es demasiado tarde— es al abogado.
La ciberseguridad dejó de ser un problema exclusivo del departamento de IT. Hoy es un asunto de gobernanza corporativa, de responsabilidad directiva y, cada vez más, de consecuencias legales concretas.
Las empresas en Puerto Rico operan bajo un conjunto de regulaciones que establecen obligaciones claras ante una brecha de datos. La Ley Núm. 39-2012 de Notificación de Política de Privacidad va más lejos de lo que muchas empresas asumen: no importa dónde esté ubicado el negocio, sino si recopila información personal de residentes de Puerto Rico. El incumplimiento puede conllevar multas de hasta $50,000, sin necesidad de que exista una querella previa de un consumidor.
A eso se suma la Ley Núm. 40-2024 de Ciberseguridad —la más reciente— que establece el marco regulatorio para toda la isla e impone nuevas responsabilidades a las organizaciones públicas y privadas. Y según la industria, aplican regulaciones federales adicionales: HIPAA para el sector salud, GLBA para instituciones financieras, y en casos con clientes en la Unión Europea, el GDPR —cuyas multas pueden alcanzar el 4% de la facturación global anual de una organización.
No cumplir con estas normativas no es solo un riesgo regulatorio. Es un riesgo reputacional, operacional y de responsabilidad civil que puede comprometer la continuidad del negocio.
Aquí es donde muchas organizaciones se encuentran sin respuestas claras. La responsabilidad puede recaer en múltiples partes: la empresa que recopiló los datos, el proveedor tercero que los procesó, los directivos que aprobaron —o ignoraron— las políticas de seguridad, e incluso los miembros de la junta directiva si se demuestra negligencia en su deber de supervisión.
Los tribunales federales y estatales en Estados Unidos han comenzado a reconocer que la falta de controles básicos de ciberseguridad puede constituir negligencia. Esto incluye no aplicar parches de seguridad conocidos, no capacitar al personal, o no contar con un plan de respuesta a incidentes documentado.
En Puerto Rico, aunque la jurisprudencia específica en ciberseguridad aún es limitada, el marco legal existente es suficiente para exponer a las organizaciones a demandas por daños y perjuicios si se acredita que la brecha fue producto de prácticas irresponsables.
Un escenario frecuente —y subestimado— es el que involucra a proveedores externos. Muchas empresas delegan funciones críticas en plataformas de nube, procesadores de pago o proveedores de servicios tecnológicos, bajo la premisa de que transferir la operación también transfiere la responsabilidad.
Eso es un error legal costoso. Imagine una empresa en PR que contrata un proveedor de nube para almacenar expedientes de clientes, sin una cláusula de notificación de incidentes. Si ese proveedor sufre una brecha, la empresa enfrenta la responsabilidad ante sus clientes de todas formas.
Los contratos con terceros deben incluir cláusulas específicas sobre manejo de datos, notificación de incidentes y responsabilidad compartida. Sin ellas, la empresa contratante puede quedar expuesta ante sus clientes aunque el fallo haya sido del proveedor. La cadena de custodia de la información es tan fuerte como su eslabón más débil, y los tribunales lo saben.
La ciberseguridad ya no puede ser ajena a la práctica legal. El abogado que asesora a una empresa —ya sea en derecho corporativo, laboral, contractual o regulatorio— tiene hoy la responsabilidad de incorporar el riesgo cibernético como una variable estándar en su análisis.
Esto no significa que el abogado deba convertirse en experto técnico. Significa que debe saber qué preguntas hacer: ¿Tiene el cliente un plan de respuesta a incidentes? ¿Sus contratos con terceros contemplan responsabilidad por brechas de datos? ¿Está cumpliendo con la Ley 39-2012 y la Ley 40-2024? ¿Sus directivos entienden su exposición personal?
El derecho y la tecnología convergen cada vez más. Las empresas que sobreviven a un ciberataque sin consecuencias legales significativas no son necesariamente las que tienen mejor tecnología. Son las que tuvieron la visión de prepararse legalmente antes de que ocurriera el incidente.
Esa preparación, hoy más que nunca, empieza en el despacho del abogado.
* Director de Sistemas de Información, fundador de TechBiz LLC, consultor y profesor de ciberseguridad, y autor del libro Cybersecurity 360. Es Director de Marketing de ISACA Puerto Rico y candidato doctoral.