La responsabilidad civil y penal del CISO

17 diciembre, 2025 por Govertis Blog 0 comentarios

La responsabilidad civil y penal del CISO

¿De qué deben responder los profesionales que asumen las funciones de Responsable de Seguridad?

El Chief Information Security Officer (CISO) en su condición de alto ejecutivo, asume las funciones son la de supervisión los riesgos tecnológicos, la gestión de la respuesta a incidentes o la protección de los activos tecnológicos. Las funciones del CISO podemos encontrarlas enumeradas en un artículo publicado en el blog de Telefónica.

El CISO toma una posición de garantía frente a su entidad, de tal forma que por vía contractual se arroga el deber de control de determinadas fuentes de peligro. Lo que se espera que haga un CISO es proteger los activos tecnológicos de una organización frente a posibles riesgos IT, evitar en la medida de lo posible la existencia de incidentes y dar respuesta a éstos para el eventual caso de que ocurran. Hay una serie de tipos delictivos de los que, potencialmente, pueden ser cometidos por los profesionales de ciberseguridad tales como delitos de revelación de secretos, delitos contra la propiedad intelectual e industrial, falsedades documentales o estafas. Así, un CISO sería incriminado penalmente cuando ejecuta una acción con una intención maliciosa de provocar un daño, es decir, actúa dolosamente. Hay otro elenco de delitos que implica que incluso pueda ser penado cuando actúa por imprudencia grave. El Código Penal prevé la comisión del delito de daños informáticos por imprudencia grave en cuantía superior a 80.000 euros. Supone que el CISO, en los casos más graves de falta de atención o cuidado, puede ser considerado como responsable penal en aquellos tipos penales que han previsto la comisión por imprudencia grave.

Teóricamente, aunque mucho más difícil de imaginar en la práctica es la comisión de delitos en lo que se denomina “comisión por omisión”. Al infringir un especial deber jurídico de actuar, la no evitación de la producción de un resultado mediante una omisión, equivale a su causación. Para que se pueda imputar una omisión se requiere que objetivamente se pueda imputar el resultado a la omisión. Ahora bien, los riesgos tecnológicos más peligrosos implican la actuación de un tercero con ánimo de causar un mal, un ciberdelincuente. La implicación de la actuación dolosa del ciberdelicuente ¿podría romper el nexo causal? La respuesta puede llegar a ser afirmativa, y podría suponer la exclusión de responsabilidad penal del CISO.

En conclusión, el CISO responde penalmente de los delitos dolosos que pueda cometer de entre los previstos en el Código Penal, pero también de aquellos tales como los daños tecnológicos cometidos con imprudencia grave.

Civilmente, no se han producido pronunciamientos judiciales que den respuesta a si el CISO es responsable civil de los daños causados por negligencia profesional. Podríamos hacer una extrapolación de las negligencias médicas donde sí existe doctrina y jurisprudencia consolidada. Al igual que un profesional sanitario podría responder de los daños causados en un paciente ante la omisión de las reglas de cuidado o por inobservancia de los protocolos médicos, también el CISO puede responder civilmente ante la falta de seguimiento de los procedimientos de seguridad o desviar su actuación respecto a los patrones habituales que sirven como respuesta que funciona ante un hipotético caso. Es decir, el CISO puede responder por mala praxis. No existe como tal responsabilidad objetiva, sino siempre ha de darse una responsabilidad subjetiva o por culpa y una relación causal entre la infracción y el resultado de daño, bajo los criterios de imputación objetiva.

El legislador europeo, por medio de la conocida como Directiva NIS 2, ha determinado las medidas para alcanzar un «elevado nivel común de ciberseguridad». La Directiva NIS2 alude a la responsabilidad por el incumplimiento del deber de garantizar el cumplimiento de la Directiva de aquellas personas que en una entidad esencial tengan autoridad para la toma de decisiones y ejercer el control sobre ella. Esta disposición no implica que deba responder el CISO del incumplimiento, sino aquellas personas que asumen las funciones directivas.  La Directiva NIS2 está pendiente de su transposición al ordenamiento jurídico español, por lo que no obsta que pueda llegar a arbitrarse una responsabilidad específica para los responsables de seguridad de la información.

Podemos decir que el CISO podría responder, por supuesto de la comisión de aquellos delitos señalados en el Código Penal, y podría responder, igualmente, por mala praxis profesional al desviarse de la «lex artis» exigible. La Directiva NIS2, como decimos, pendiente de transposición, no le exige una responsabilidad directa por el incumplimiento de las obligaciones previstas, situación que sí le es exigible a los órganos directivos.

 

Centro de Competencia Compliance de Govertis, part of Telefónica Tech

Artículos Relacionados

por Govertis5 septiembre, 20150 comentarios

Bienvenido al blog experto en Gobierno TI, Seguridad, Riesgo y Cumplimiento Normativo

por Govertis4 enero, 20160 comentarios

Aspectos TIC en la reforma de la LECRIM (Parte I)

por Govertis27 enero, 20163 comentarios

LA PROTECCIÓN DE DATOS: 15 AÑOS ANTES Y 15 DESPUÉS…

Escribe un Comentario!

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

De extensión a estándar independiente: Novedades de la ISO 27701:2025Entrada anterior: