Los delitos que cometa un empleado contra la privacidad de los datos personales y la seguridad de los sistemas de información pueden generar responsabilidad penal de la empresa para la que trabaje. Así lo establece el Tribunal Supremo si considera que la mercantil no ha adoptado las medidas de prevención necesarias para evitar su comisión, vulnerando la normativa de protección de datos de obligado cumplimiento.

La última reforma del Código Penal incorporó al título que ya incluye la protección de los delitos contra la protección de datos dos nuevos tipos que sancionan los ataques a los sistemas de información. De este modo, solo acceder a un sistema, aunque sin llegar a los datos que contiene, está tipificado como delito que genera responsabilidad penal de las personas jurídicas. Si se prueba una negligencia en la adopción de medidas de prevención, puede tener como consecuencia una condena para la empresa.

En la actualidad, se estima que la ciberdelincuencia es el segundo negocio ilegal más lucrativo, solo por detrás de la venta de armas y multiplica por tres el dinero que mueve el tráfico de drogas.

A los riesgos económicos y de reputación para la empresa que implica ser más vulnerable ante un posible ciberataque, hay que añadir la posibilidad de ser sancionado por no haber adoptado las medidas de protección exigidas por el Reglamento de protección de datos. Las multas, con esta norma, podrán alcanzar los 20 millones de euros o el 4% del volumen anual de negocio.