Directiva y Código de Ciberseguridad - Un paso adelante para la seguridad en la sociedad de la información.

Por Tania Otero

Indemnización por extinción de contratos de distribución y sus consecuencias jurídicas.

Por Florencia Arrébola

Directiva y Código de Ciberseguridad - Un paso adelante para la seguridad en la sociedad de la información.

Tania Otero

La sociedad de la información en la que vivimos actualmente debe hacer frente a una serie de problemas que afectan a la seguridad de las redes y sistemas de información y a la necesidad de una cooperación internacional para mejorar la seguridad, confidencialidad y el intercambio de información.

Para afrontar los nuevos retos tanto a nivel nacional como internacional los entes públicos se han visto carentes de medios jurídicos homogéneos. Por ello, tanto los organismos nacionales como internacionales han decido actuar conjuntamente y dar respuesta a los problemas actuales relativos a la ciberseguridad mediante la aprobación de una serie de normativa.

1. Directiva 2016/1148 del 06.07.16 del Parlamento Europeo y del Consejo

El pasado 6 de julio de 2016, el Parlamento Europeo y el Consejo aprobaron la Directiva 2016/1148 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (en adelante, la Directiva).

Entre las medidas de gestión del riesgo propuestas figuran aquellas cuya finalidad es determinar todo riesgo de incidentes, prevenir, detectar y gestionar incidentes y mitigar sus repercusiones. La seguridad de las redes y sistemas de información comprende la seguridad de los datos conservados, transmitidos y procesados, tal y como se expone en el Considerando de la Directiva.

(…) tanto los organismos nacionales como internacionales han decido actuar conjuntamente y dar respuesta a los problemas actuales relativos a la ciberseguridad (…)

La Directiva entró en vigor el pasado 8 de agosto con el fin de mejorar el funcionamiento del mercado interior mediante la aprobación de las siguientes decisiones:

₋ Establecer obligaciones para todos los Estados miembros de adoptar una estrategia nacional de seguridad de las redes y sistemas de información.

₋ Crear un Grupo de cooperación para apoyar y facilitar la cooperación estratégica y el intercambio de información entre los Estados miembros y desarrollar la confianza y seguridad entre ellos.

₋ Crear una red de equipos de respuesta a incidentes de seguridad informática con el fin de contribuir al desarrollo de la confianza y seguridad entre los Estados miembros y promover una cooperación operativa rápida y eficaz.

₋ Establecer requisitos en materia de seguridad y notificación para los operadores de servicios esenciales y para los proveedores de servicios digitales.

₋ Establecer obligaciones para que los Estados miembros designen autoridades nacionales competentes, puntos de contacto únicos y CSIRT con funciones relacionadas con la seguridad de las redes y sistemas de información.

Por otra parte, se fijan en la Directiva los requisitos de seguridad y notificación aplicables de los operadores de servicios esenciales y de los prestadores de servicios digitales. Los Estados miembros deberán identificar a los operadores de servicios esenciales y los proveedores de servicios digitales establecidos en su territorio. Se considerarán operadores esenciales aquellas entidades que presten un servicio esencial para el mantenimiento de actividades sociales o económicas cruciales; que la prestación del servicio dependa de las redes y sistemas de información; y en los que un incidente tendría efectos perturbadores significativos.

Los Estados miembros disponen hasta el nueve de mayo de 2018 para transponer la Directiva.

2. Acuerdo de la Comisión Europea de 05.07.16 para el fomento de la cooperación en materia de ciberseguridad

Adicionalmente a la actuación europea referenciada en el punto anterior, la Comisión el pasado cinco de julio de 2016 firmó con la industria un acuerdo sobre ciberseguridad poniendo en marcha una nueva asociación público-privada sobre la materia. Se prevé una inversión por parte de la Unión Europea de 450 millones de euros en esta asociación. Según declaraciones de la propia Comisión el objetivo de la asociación será fomentar la cooperación en las primeras etapas del proceso de investigación e innovación y construir soluciones de ciberseguridad para diversos sectores, como la energía, la salud, el transporte y las finanzas.

Finalmente, la Comisión se propone estudiar un eventual marco de certificación europeo para los productos de seguridad de las TIC.

3. Código de Derecho de la Ciberseguridad realizado por el Instituto Nacional de Ciberseguridad de España (INCIBE)

A nivel nacional, España se ha visto obligada a adaptar su legislación a la actual realidad tecnológica. En este sentido en julio de 2015 entró en vigor la reforma del Código Penal y entre las diversas modificaciones abordadas se introdujeron las siguientes que afectan a los delitos informáticos:

• Se incorporó el artículo 197 bis relativo al acceso no autorizado a sistemas informáticos.

• Se incorporó el artículo 197 ter que castiga la producción, adquisición, importación o entrega a terceros de datos de acceso o software desarrollado o adaptado básicamente para cometer cualquier de los delito de los apartados 1 y 2 del artículo 197 o el artículo 197 bis.

La última novedad legislativa sobre la materia se produjo el pasado 12 de agosto con la publicación por parte del Instituto Nacional de Ciberseguridad de España de una compilación con todas las normas españolas relativas a la ciberseguridad (en adelante, el Código). El Código ha sido publicado en el BOE junto a una pequeña nota de Autor de Don Francisco Pérez Bes, Secretario General del Instituto Nacional de Ciberseguridad de España.

Tal y como afirma Don Francisco Pérez Bes el objetivo propio del documento es el de fijar las directrices generales del uso seguro del ciberespacio a través del impulso de una visión integradora que garantice la seguridad y el progreso de España.

El objetivo a nivel nacional es lograr la seguridad del ciberespacio a través del desarrollo y aplicación de una política nacional manteniendo actualizado el ordenamiento jurídico en ciberseguridad.

Mediante esta iniciativa se ha hecho patente la necesidad de compilar toda la normativa española respecto a la materia para poder cohesionar toda la legislación al respecto y adicionalmente poder analizar los puntos críticos sobre la misma.

En el Código consta toda la normativa española sobre ciberseguridad que se divide en los siguientes bloques:

• Constitución Española
  • Normativa relativa a seguridad nacional
  • Infraestructuras críticas
  • Normativa relativa a seguridad
  • Equipo de respuesta a incidentes de seguridad
  • Telecomunicaciones y usuarios
  • Ciberdelincuencia
  • Protección de datos
  • Relaciones con la administración

La citada normativa nacional se verá modificada próximamente con el fin de adaptarla a los nuevos requerimientos europeos impuestos a través de la Directiva.

Finalmente, y en virtud de la Directiva tanto los operadores de servicios esenciales como los operadores de servicios digitales deberán: (i) adoptar medidas que garanticen un nivel de seguridad de las redes y sistemas de información adecuado en relación con el riesgo planteado, (ii) adoptar medidas adecuadas para prevenir y reducir al mínimo los efectos de los incidentes que afecten la seguridad de las redes y sistemas de información utilizados para la prestación de los servicios con el objeto de garantizar su continuidad y (iii) notificar sin dilación indebida a la autoridad competente o al CSIRT los incidentes que tengan efectos significativos en la continuidad de los servicios que prestan. Las notificaciones incluirán información que permita a la autoridad competente o al CSIRT determinar cualquier efecto transfronterizo del incidente. La notificación no sujetará al notificante a una mayor responsabilidad.

Indemnización por extinción de Contratos de Distribución y sus consecuencias jurídicas

Florencia Arrébola

Los contratos de distribución son contratos atípicos, pues no tienen una regulación específica propia, de esta forma, se rigen por las normas generales del Código Civil y por la jurisprudencia que se ha ido creando al respecto. Al no estar específicamente regulados, su terminación es una cuestión de enorme litigiosidad en nuestros tribunales. En algunos casos y aunque no de forma general, se acude a la aplicación analógica a los contratos de distribución de la ley 12/1992 reguladora de los contratos de agencia.

Frente al incumplimiento de una de las partes del contrato, la otra parte queda facultada para resolverlo por incumplimiento y exigir la correspondiente indemnización por daños y perjuicios, amparada por el artículo 1124 del código civil. Dicho incumplimiento tendrá lugar cuando se reúnan determinadas condiciones que se han ido estableciendo jurisprudencialmente, aunque a pesar de ello no existe un criterio unitario ni unas condiciones determinadas para calificar las causas de resolución y de desistimiento como justas o injustas. No obstante cuando el desistimiento está justificado no hay derecho a indemnización por daños y perjuicios, ni por falta de preaviso en su caso.

(…) no existe un criterio unitario ni unas condiciones determinadas para calificar las causas de resolución y de desistimiento como justas o injustas.

Una de las cuestiones más controvertidas en este tipo de contratos es la indemnización del distribuidor a la finalización del contrato, especialmente cuando nos encontramos frente a contratos de duración indefinida, ya que no se puede asignar un carácter perpetuo a los contratos, debiendo reconocer a las partes la facultad de desistir del mismo.

Dado que nada se prevé al respecto en el Código Civil, hemos de acudir a los criterios aplicados por los tribunales, los cuales podrían resumir las siguientes casusas de desistimiento que se entenderán justificadas:

(i) Desistimiento con preaviso, en los casos de contratos de distribución indefinidos. Para determinar un plazo de preaviso suficiente no existe un plazo determinado, no obstante, hay que tener en cuenta solo como criterio orientativo los plazos establecidos por el artículo 16.3.a de la Ley de Competencia Desleal (LCD) y el artículo 25 de la Ley del Contrato de Agencia (LCA), siempre valorando la naturaleza, ejecución y demás particularidades del contrato de distribución en cuestión. Los tribunales entienden que en estos casos no hace falta que el desistimiento del contrato esté justificado en un ninguna otra causa.

(ii) Desistimiento en caso de incumplimiento del distribuidor.

(iii) Desistimiento en casos de desestructuración de la empresa por muerte del socio fundador de la empresa y/o administrador único, motivo justificado en la naturaleza de algunos contratos, basados en función de la persona (intuitu personae) o basados en la confianza en persona determinada.

(iv) La modificación unilateral del contrato que conlleve una variación de los elementos sustanciales, siempre que no hayan sido aceptados por la otra parte contratante. Esta circunstancia puede justificarse en contratos de duración indefinida, siempre y cuando dichas variaciones contractuales no sean razonables o no estén justificadas atendiendo a la lógica comercial.

Se ha de diferenciar los daños que puede derivarse de la resolución anticipada de los contratos de distribución: (i) por un lado nos encontramos con los daños causados por la inobservancia de los plazos de preaviso, para los cuales se ha de demostrar que dicha inobservancia causó un daño que se podría haber sido evitado o aminorado si el plazo de preaviso hubiera sido superior, (ii) por otro lado, se ha de atender a los daños causados por la resolución en sí misma, es decir aquellos gastos no amortizados que se hayan realizado atendiendo a las instrucciones del proveedor o para llevar a cabo la actividad objeto del contrato de distribución.

El Tribunal Supremo en su reciente Sentencia 3627/2016 de fecha 19 de julio de 2016, ha esclarecido las circunstancias que deben ser tenidas en cuenta a la hora de determinar la procedencia del resarcimiento de los daños producidos por la extinción unilateral del contrato, teniendo en cuenta la naturaleza del perjuicio causado.

En primer lugar, la indemnización de los daños contractuales por desistimiento del contrato de distribución, los cuales derivan del incumplimiento de un plazo razonable y no abusivo de preaviso ejercitado por el empresario, se rige para su resarcimiento, y a falta pacto expreso, por el régimen general dispuesto por el Código Civil (CC), artículos 1101 y 1106 CC. Ello confirma que no cabe una aplicación automática del régimen indemnizatorio contemplado en la LCA, pues ha de valorarse efectivamente la pérdida sufrida por el distribuidor, es decir, el lucro cesante que padece el distribuidor, que se corresponde con el beneficio del empresario, ya que supone un enriquecimiento patrimonial correlativo al empobrecimiento del distribuidor. Circunstancia que resulta más notoria cuando nos encontramos ante relaciones comerciales de larga duración, debido a la extensión de la clientela del principal y la consolidación del negocio.

El Tribunal Supremo (TS) en la Sentencia 3627/2016, no aplicó automáticamente el articulo 28 LCA relativo a la indemnización por clientela, sino que integró la indemnización por clientela dentro del marco del lucro cesante como criterio orientador para calcular la indemnización por preaviso insuficiente, pues tanto la indemnización por clientela como el preaviso insuficiente tienen la misma naturaleza resarcitoria.

El TS aplicó esta solución, puesto que los daños contractuales presentan una gran similitud con la función compensatoria del derecho de indemnización por clientela, ya que un plazo de preaviso insuficiente puede acarrear no solo que el distribuidor no pueda acomodar sus recursos a la nueva situación y liquidar ordenadamente las relaciones pendientes, sino también que el empresario se beneficie de una clientela creada y/o aumentada por el distribuidor, que a su vez la pierde de forma abrupta e injustificada.

En segundo lugar, la indemnización basada en los costes salariales y de seguridad social (costes estructurales) realizados por el distribuidor en cumplimiento del contrato de distribución, también han de ser tenidos en cuenta cuando aquellos gastos hubieran podido evitarse si el preaviso del desistimiento del contrato se hubiera realizado con una antelación suficiente. Así, para determinar la indemnización por los costes estructurales, también nos basaremos en los artículos 1101 y 1106 CC.

Con respecto al plazo de preaviso que se considera razonable, tampoco procede la aplicación automática del artículo 25 LCA ni del artículo 16.3 LCD, los cuales tienen solo un carácter orientativo, pues se ha de valorar el contrato en particular.

En conclusión, cuando hablamos de contratos de distribución no se puede aplicar una regla genérica de forma automática para determinar la indemnización correspondiente en los supuestos de terminación, sino que tendrán que valorarse las circunstancias concretas de cada caso y aplicar los criterios fijados por la jurisprudencia.