Solicitar cita
Pedir cita para asesoría

Multas millonarias para autónomos y pymes que no informen a sus clientes de un ciberataque

Alicante, 26-09-2025.

La normativa exige que los autónomos y negocios afectados por incidencias de ciberseguridad actúen con rapidez y transparencia, tanto para contener el fraude como para proteger a clientes y proveedores.

Ante una brecha de seguridad, es imprescindible que los negocios actúen con la máxima rapidez y diligencia, adoptando medidas como informar a sus clientes o terceros, tanto para contener el ataque como para mitigar sus efectos. Una respuesta tardía o inadecuada puede agravar los daños y suponer un incumplimiento de la normativa vigente, que puede dar lugar a importantes sanciones.

La tendencia de los ciberataques no sólo no disminuye, sino que continúa en aumento. En una reciente sentencia, el Supremo dictaminó la responsabilidad civil subsidiaria de una empresa por no tratar de contener el ciberataque y mitigar sus efectos. Consideró que la empresa demandada desatendió las normas debidas como profesional y que, por ende, debía responder subsidiariamente de la indemnización de daños a otra empresa, equivalente al importe sustraído por el estafador.

En otros casos, pueden darse también otras consideraciones jurídicas más graves como consecuencia de una filtración de datos, ya que si afecta a datos personales y/o incluye la descarga de software pirata podría incluso acarrear consecuencias penales para los negocios, según alertaron desde AGM abogados. Cualquier negocio, sin importar su tamaño puede ser víctima de este fenómeno creciente.

Los negocios que no actúan a tiempo son responsables, según el Supremo

Tal y como informó Clara Carrera Soler desde AGM abogados, si un autónomo detecta un ataque y no avisa a clientes o proveedores, aunque no sea el autor del fraude, puede acabar siendo responsable civil porque su omisión “propició” que se consumara el engaño, según el Supremo.

En una reciente sentencia (STS núm. 136/2025, de 19 de febrero) una empresa resultó responsable subsidiaria de los daños ocasionados a una segunda empresa con la que trabajaba que cayó en un engaño, que resultó en la estafa de varios miles de euros.

El artículo 120.3 del Código Penal (CP) establece que serán responsables civilmente, en defecto de los responsables penales:

“3. Las personas naturales o jurídicas, en los casos de delitos cometidos en los establecimientos de los que sean titulares, cuando por parte de los que los dirijan o administren, o de sus dependientes o empleados, se hayan infringido los reglamentos de policía o las disposiciones de la autoridad que estén relacionados con el hecho punible cometido, de modo que éste no se hubiera producido sin dicha infracción”.

Esto quiere decir que el sistema informático de las empresas sí se considera como parte del establecimiento de la empresa. Por tanto, si se produce en él alguna irregularidad que dañe a clientes o proveedores, el negocio podría ser responsable civilmente.

Según explicó Vanesa Alarcón Caparrós de AGM Abogados “dependerá de las circunstancias, pero si el autónomo no disponía de medidas de seguridad adecuadas y eso ha provocado un daño en terceros por esa no adopción de medidas, sí, podría llegar a serlo”.

La omisión de responsabilidad se considera una infracción

Si un autónomo o pyme detecta una incidencia en su entorno digital y no hace nada al respecto, es decir, no adopta ninguna medida para alertar a otras empresas, clientes o proveedores que estén en su base de datos, esta omisión se considera una infracción reglamentaria en los términos del artículo 120.3 CP. Máxime si como resultado de ello alguien más resulta afectado.

Además, el Supremo recuerda que no hace falta que la infracción sea la causa directa y única del daño. Basta con que exista una relación de causalidad adecuada entre esa infracción y el perjuicio final. Por tanto, si la empresa, al no avisar, favorece o facilita que el fraude ocurra, aunque no lo haya ejecutado directamente, se entendería que hay conexión suficiente.

El Supremo responsabiliza a los negocios que no mitiguen los efectos de un fraude.

Es decir, no se exige que, sin la infracción, el daño hubiera sido absolutamente imposible, sino que esa omisión contribuya de manera relevante a que se produzca.

Riesgos y consecuencias para los autónomos de una brecha de seguridad

Los efectos de un compromiso de los sistemas informáticos en un negocio no se limitan al daño económico inmediato o la afectación reputacional que pudiera generar. Para los autónomos y pymes, la falta de actuación o la notificación tardía pueden traducirse en sanciones millonarias y, en determinados casos, incluso en responsabilidades penales.

Sanciones por no alertar

No comunicar una brecha de seguridad en el plazo legal establecido puede salir muy caro a los autónomos y pymes. La normativa de protección de datos considera esta omisión como una infracción grave, que puede acarrear multas de hasta 10 millones de euros o el 2% del volumen de negocio anual global, en función de cuál sea la cifra más elevada. En los casos más graves, la sanción puede llegar incluso al 4% de la facturación.

Según explicó Vanesa Alarcón Caparrós, abogada de AGM Abogados, “toda sanción va en función de la infracción cometida y su gravedad. Normalmente, la no notificación constituiría una infracción grave de la normativa, pero habría que ver los detalles de cada caso”. Estas infracciones prescriben a los dos años, pasado ese tiempo, aunque se descubra que el autónomo o la pyme no comunicaron el ataque informático, ya no se les puede sancionar administrativamente.

Además, la experta recordó que estas sanciones administrativas de la AEPD son independientes de la posible responsabilidad civil subsidiaria frente a terceros que sufran daños. “Son independientes y pueden concurrir. Una multa la impondrá la Autoridad Competente, como la AEPD, por la vía administrativa; y al mismo tiempo, el usuario afectado puede reclamar sus derechos ante los tribunales”, añadió.

Posibles consecuencias penales

Vanesa Alarcón, alertó también de que, más allá de la responsabilidad civil que una brecha de seguridad conlleva, “si el empresario lo permite” también pueden darse consecuencias más serias, desde las relacionadas con la infracción de los derechos de autor hasta consecuencias penales, por ejemplo, si hay una descargar de un software ilegal.

Así, el artículo 270 del Código Penal, establece: Será castigado con la pena de prisión de seis meses a cuatro años y multa de doce a veinticuatro meses el que, con ánimo de obtener un beneficio económico directo o indirecto y en perjuicio de tercero, reproduzca, plagie, distribuya, comunique públicamente o de cualquier otro modo explote económicamente, en todo o en parte, una obra o prestación literaria, artística o científica, o su transformación, interpretación o ejecución artística fijada en cualquier tipo de soporte o comunicada a través de cualquier medio, sin la autorización de los titulares de los correspondientes derechos de propiedad intelectual o de sus cesionarios.

“Si este hecho lo unes a que instalar este tipo de software puede permitir a veces la instalación de virus que acompañan los software pirata en ocasiones, podrías tener una doble brecha de seguridad, pudiendo permitir acceso a tus sistemas o datos de clientes, con lo cual, el perjuicio podría ser aún mayor”, aclaró la letrada.

La reputación del negocio puede verse afectada

El impacto de un incidente en ciberseguridad en un pequeño negocio o una pyme no sólo acarrea sanciones o responsabilidades legales, también puede comprometer la confianza de clientes y proveedores, afectando a la viabilidad del proyecto.

La forma en que se gestione el incidente resulta clave para preservar la credibilidad en el mercado. Tal y como señaló Alarcón, “si se actúa rápido, de forma eficaz y se toman los pasos y medidas adecuadas, el impacto será menor; pero si no se atiende debidamente, se filtra lo sucedido y aun así no se reacciona, se puede convertir en algo más grave, más viral y con ello, mayor daño para la empresa”.

Es por esto por lo que contar con protocolos de gestión de crisis que integren tanto la vertiente legal como la comunicativa resulta fundamental. Deben contemplar desde la denuncia y el análisis forense de lo ocurrido hasta la notificación de la incidencia a la AEPD y a los usuarios afectados, así como la estrategia de comunicación con clientes y medios.

Si la afectación es importante hay que informar

No todos los fallos de seguridad obligan a informar a clientes y proveedores. La obligación nace cuando el volumen de datos afectados es elevado o cuando la incidencia puede tener una repercusión grave en los derechos fundamentales de las personas implicadas. En esos casos, además de notificar a la AEPD, el negocio debe alertar también a los afectados.

Según explicó Vanesa Alarcón Caparrós, “debe realizarse un análisis siempre para ver hasta dónde llega la afectación de derechos y a quiénes afecta, así como su gravedad. No siempre es obligatorio notificar, pero sí es imprescindible documentar el análisis, registrar el incidente a nivel interno y justificar por qué sí o no se notificó, así como las medidas adoptadas para intentar que este hecho no se vuelva a producir”.

Si la empresa no dispone de delegado de Protección de Datos (DPO), deberá designarse un responsable interno que asuma la función de coordinar y gestionar la respuesta ante la incidencia, buscando apoyo externo si fuera necesario para garantizar el cumplimiento de la normativa.

Fuente; autonomosyemprendedor.es

Imagen de Ben Chilwell
Ben Chilwell

Proin eget tortor risus. Curabitur aliquet quam id dui posuere blandit. Vivamus suscipit tortor eget felis porttitor volutpat.

All Posts
Newsletter

Date de alta para recibir nuestras noticias por correo

Redes sociales
Icon-facebook X-twitter Instagram Linkedin

Artículos relacionados

Newsletter

¿Quieres recibir nuestras noticias semanalmente? Date de alta y te mantendremos informado.

¿Quieres formar parte de nuestro grupo?, Envíanos tu C.V. a

hola@azvconsulting.com 

Somos una Asesoría-Consultoría estratégica empresarial con más de 30 años de experiencia en el sector. La fidelidad y confianza con nuestros clientes avalan nuestra experiencia y confirman nuestra trayectoria basada en la seriedad, profesionalidad y eficacia.

Menú
Menú legal
Contacto

Av. del Mar, 59, 03187 Los Montesinos, Alicante

  • +34 965 207 262
  • hola@azvconsulting.com
Icon-facebook X-twitter Instagram Linkedin
Acceso área privada
Copyright © 2025. Todos los derechos reservados.
Diseño web realizado por Aznar Ortega Marketing Digital

Contacta con nosotros

Oficina central
Av. del Mar, 59, 03187 Los Montesinos, Alicante
Icon-facebook X-twitter Instagram Linkedin