El pasado año, Richard Smith -máximo directivo de la compañía estadounidense Equifax-, dimitió pocas semanas después de que se produjera un ataque informático que provoco el robo de datos personales de más de 140 millones de clientes. En la misma línea, desde hace varios meses cada semana vemos noticias sobre nuevos incidentes cibernéticos, incluyendo casos en los que se ha cuestionado públicamente la gestión de los máximos responsables empresariales.
Los ciberataque son cada vez más sofisticados y capaces de aprovechar las brechas de seguridad: nuevas tecnologías, mayor conectividad y muchos otros factores hacen aumentar esta vulnerabilidad. Si a ello añadimos un entorno regulatorio cada vez más complejo y con multas más elevadas (como es el caso del nuevo Reglamento General de Protección de Datos, que entró en vigor el 25 de mayo 2018) no es de extrañar la preocupación creciente que genera esta materia en los consejos de administración.
Según la reciente encuesta elaborada por Willis Towers Watson en colaboración con Economist Intelligence Unit (EIU), solo el 13% de los consejeros entrevistados creen que su empresa aprende de los errores en ciberseguridad cometidos en el pasado, si bien la principal preocupación y el ámbito en el que más se involucran los consejeros es precisamente el de la ciberseguridad. Como comentaba recientemente Giuseppe Tringali, presidente del Global Corporation Center en un encuentro de expertos: “La ciberseguridad es un aspecto que los consejos deben tener en cuenta mucho más que hasta ahora”.
En paralelo, el marco legislativo y normativo para los que toman decisiones estratégicas en las empresas también gana en complejidad. La actuación diligente del Consejero implica la obligación de estar informado sobre la marcha de la sociedad. La Ley de Sociedades de Capital, el Código de Buen Gobierno de la Sociedades Cotizadas, el Código Penal y la Ley de Auditoría han ampliado las responsabilidades exigidas y el abanico de riesgos a los que se exponen, pudiendo llegar a responder incluso con su patrimonio y enfrentarse a responsabilidades graves.
El seguro de Responsabilidad Civil de Administradores y Directivos, o D&O por su nombre el inglés (Directors and Officers), está diseñado para proteger a los gestores de la empresa ante la posibilidad de recibir reclamaciones por errores u omisiones que puedan cometer tomando decisiones sobre la dirección empresarial.
Ahora bien, ¿las pólizas de D&O actuales tienen en cuenta el componente de riesgo cibernético?
En España es difícil que nos encontremos con exclusiones específicas, mientras que en Estados Unidos se está volviendo una tendencia la incorporación de exclusiones respecto a reclamaciones relacionadas con “ciber privacidad”.
Por esta razón, como expertos en gerencia de riesgos profesionales os recomendamos prestar especial atención a las siguientes exclusiones en tus pólizas de D&O:
Esta exclusión casi siempre incluye el “daño moral”, algo que cobra mucha relevancia con la nueva normativa RGPD y el uso de datos sensibles. Del mismo modo, la póliza no dará cobertura a los daños y perjuicios materiales causados a consecuencia de un ciberataque.
Se excluyen las reclamaciones derivadas de una conducta deshonesta o fraudulenta, aunque esa exclusión solo deba aplicar cuando dicha conducta se establezca mediante resolución judicial firme. La póliza deberá regular que la mala conducta de un asegurado no afecte a la cobertura disponible para otros asegurados cubiertos por la misma póliza.
Aunque cada vez menos presente, es importante comprobar si aplica la exclusión de “guerra y terrorismo”, ya que puede haber incidencias relacionadas con organizaciones “hacktivistas” y que los daños relacionados con posibles ataques realizados por estas organizaciones no tuvieran cobertura alguna.
Respecto al nuevo RGDP y cómo afecta en el diseño de los seguros de D&O, puedes encontrar más información en este post que publicamos recientemente en nuestro blog.
La ciberseguridad es uno de los asuntos que más preocupan a la alta dirección de las empresas, y los consejeros deberán extremar su diligencia en recabar información en la toma de decisiones también en esta materia. Desde Willis Towers Watson estamos a tu disposición para ayudarte a revisar tu seguro de D&O, negociar con la aseguradora y adecuarlo si fuera necesario para tener la máxima tranquilidad en la gestión de tu empresa.