Una directiva europea pendent de la seva transposició a llei espanyola regularà les denúncies d’incidents de ciberseguretat en grans empreses.
Les companyies hauran de crear un registre que podran consultar els reguladors, i no podran prendre represàlies contra els empleats que denunciïn algun il·lícit.
D’aquesta manera, la nova normativa europea pretén incentivar la transparència en el sector privat davant els ciberatacs.
Les privades sempre procuren guardar en secret els ciberatacs, però estan obligades a comunicar els incidents a les autoritats.
Quan una empresa pateix un ciberatac, no només s’enfronta a el desafiament que li provoca l’incident: també vol protegir -amb gelosos la informació que genera el mateix. No vol donar pistes als seus competidors ni tampoc sembla vulnerable davant els seus potencials clients.
Aquesta situació ha portat al fet que grans firmes espanyoles hagin evitat -amb més o menys èxit- que els ciberatacs que pateixen hagin transcendit a l’opinió pública. Alguns casos recents són els de Everis o la Cadena Ser. Vodafone va patir una incidència informàtica a finals de l’any passat, però mai es va aclarir a què es va deure.
Fa dies, Fernando Cubillos, tinent coronel i cap de l’Oficina de Relacions Informatives i Socials (ORIS) de la Guàrdia Civil, confirmava que una altra “gran empresa espanyola” havia evitat amb èxit que la informació sobre un incident es fes pública.
Però, com és possible que un ciberatac no es conegui i sí ho sàpiguen les Forces i Cossos de Seguretat de l’Estat? Com ho saben els reguladors?
La legislació espanyola ja preveu -fins i tot des de l’any 1882, amb la Llei d’enjudiciament criminal – que els que presenciïn un delicte públic “està obligat a posar-ho immediatament en coneixement” de les autoritats.
Ara, la Directiva Europea 2019/1937 “relativa a la protecció de les persones que informin sobre infraccions de el Dret de la Unió” deixarà les coses més clares.
Aquesta nova normativa es va publicar al Diari Oficial de la Unió Europea al novembre de l’any passat. I a la RootedCon, un dels esdeveniments sobre ciberseguretat més importants d’Espanya, l’ex secretari general de l’Institut de Ciberseguretat (INCIBE) Francisco Pérez Bes ha analitzat les seves implicacions per al sector de la seguretat informàtica.
Això és tot el que has de saber sobre la també coneguda com Directiva whistleblowing.
A què i qui afecta aquesta directiva per “xivatos”?
Pérez Bes ha preferit evitar fer servir en la seva xerrada el terme “xivato”, per les connotacions pejoratives que té en espanyol. En anglès, whistleblower , que podria traduir-se com filtrador o delator, és la paraula que reben aquells que fan que la informació que corporacions, empreses o grups de pressió pretenien amagar.
El que planteja aquesta nova directiva és, precisament, protegir els whistleblowers . Els afecta a ells, els denunciants i confidents, però també a les empreses.
Les companyies d’entre 50 i 249 treballadors hauran d’habilitar canals d’informació segura que garanteixin la confidencialitat de les denunciants perquè les denúncies sobre incidents de ciberseguretat arribin a bon port. Se’ls garanteix confidencialitat i no anonimat precisament per seguretat jurídica, destaca Francisco Pérez Bes.
A més, per la nova directiva, el concepte de “treballador” que denunciï és molt ampli. Serà considerat com a tal tot aquell que tingui una relació laboral, o una relació mercantil o comercial amb la signatura afectada.
Què exigirà la nova directiva a les empreses?
Fonamentalment, un canal segur per a denunciants. Un canal intern que serà oral però també escrit, ja que en ell també intervindran els reguladors: aquests poden exigir el registre de denúncies rebudes.
Les empreses hauran de determinar quina estructura del seu organigrama serà l’encarregada de gestionar aquest canal, ia més la norma també preveu la nul·litat jurídica de tota possible represàlia que es pugui dur a terme contra els denunciantes.Cada vegada que s’interposi una denúncia a través d’un d’aquests canals interns, les empreses hauran de fer justificant de recepció en 7 dies, i comptaran amb un termini per respondre de 3 mesos -excepte circumstàncies excepcionals-.
Afecta només a el sector de la ciberseguretat?
En realitat no. Però sí que és una de les primeres directives europees en incloure una referència explícita a aquest sector econòmic en el seu text. En concret ho fa en el Considerant 14, que pot ser anàleg a l’preàmbul d’una Llei Orgànica espanyola. Es protegiran les filtracions d’aquelles infraccions que puguin perjudicar l’interès públic.
I la directiva cita textualment: “Inclosos els incidents a prestadors de serveis essencials -energia, salut, transport i banca- i proveïdors de serveis digitals -proveïdors de cloud i subministradors de béns bàsics com l’aigua, l’electricitat o el gas-“.
Com protegirà els denunciants?
Atès que la nova directiva preveu potenciar la denúncia interna abans que l’externa, les garanties per als whistleblowers són totals. Tant és així, que la norma europea preveu declarar nuls jurídics aquelles represàlies que puguin adoptar les empreses contra aquests “delators”.
Es refereix així a totes les “decisions de l’empresari” que puguin suposar un deteriorament dels drets laborals dels denunciants.
És clar que, com indica Pérez Bes, en el dia a dia està per veure com es desenvolupa això en la jurisprudència, ja que aquestes “decisions de l’empresari”, així com la seva correlació de causalitat, són després molt difícils d’acreditar.
I el sector públic?
Encara que per a les empreses privades que incompleixin aquesta nova directiva hi ha previst un capítol de sancions, Pérez Bes assumeix que cal “treballar” en com afectarà el sector públic.
“Si algú s’assabenta que un ajuntament o una diputació està posant en perill la informació de l’ciutadà, hi haurà un canal perquè es denunciï”. Això sí, si una administració no contempla crear aquest canal, caldrà treballar en això. La manca de conseqüències en l’incompliment de la directiva per part de les administracions podria convertir massa aviat la nova llei espanyola en paper mullat.
Quan entrarà en vigor a Espanya?
El Govern encara no s’ha pronunciat sobre quan transpondrá la nova directiva europea per adaptar-la i incloure-la en la legislació espanyola. No obstant això, és fàcil preveure que la seva transposició tindrà lloc en els propers mesos: l’acció de l’Executiu de Sánchez està sent molt contundent amb la necessitat de traslladar com més aviat les norma aprovades a nivell europeu.
De fet, la transposició ha de ser efectiva abans de mitjans de desembre de 2021. I la seva entrada en vigor en els estats membres no pot demorar-se més enllà de mitjans de desembre de 2023.
Alberto R. Aguiar – BUSINESS INSIDER
