Hasta hace un tiempo, la problemática legal de los ataques cibernéticos estaban controladas a través de un modelo comercial casi perfecto que tenían los estudios de abogados, para presentar reclamos luego de violaciones de datos. Actualmente, el escenario cambió por una serie de sentencias que han abierto un agujero en el modelo de negocio. Por este motivo, uno de los mayores desafíos que enfrentan las aseguradoras es el crecimiento de los reclamos relacionados con la privacidad y la protección de datos. En este contexto, Clyde & Co, bufete de abogados global enfocados en el sector de seguros, energía, comercio y materias primas, infraestructura y transporte, advierte esta problemática .
“Las filtraciones de datos ahora desencadenan una avalancha de reclamos, incluso en casos en los que la Oficina del Comisionado de Información (ICO) no ha tomado más medidas regulatorias. Las empresas de administración de reclamos y los bufetes de abogados demandantes que alguna vez presentaron reclamos de seguro de protección de pagos (PPI) luego pasaron a reclamos de violación de datos. ¿Y por qué no? Hasta hace poco, tenían un modelo de negocio casi perfecto”, detallan desde Clyde & Co.
El modelo que ya no funciona
Los estudios de legales tenían clientes a quienes se les prometió compensación e inmunidad de cualquier costo mediante el uso de arreglos de tarifas condicionales (CFA) y seguro posterior al evento (ATE) para protegerse contra cualquier costo adverso. Los demandantes no tenían ningún papel en el juego y aparentemente el litigio se perseguía más en favor de los intereses comerciales de los bufetes de abogados en cuestión.
El caso que cambió todo
Un ciberataque golpeó a DSG Retail (conocido por operar las marcas Currys PC World y Dixons Travel) entre el 24 de julio de 2017 y el 25 de abril de 2018 resultó en la infiltración de los sistemas de DSG, incluidos más de 5000 terminales de punto de venta, por parte de ciberdelincuentes. La Oficina del Comisionado de Información (ICO) investigó el incidente y encontró que la seguridad de los datos de DSG Retail era insuficiente, emitiendo un Aviso de sanción monetaria (MPN) por valor de 500.000 libras esterlinas.
El Sr. Warren, que había comprado productos de Currys PC World, vio comprometidos sus datos personales en el incidente. Presentó una reclamación de 5.000 libras esterlinas por su angustia contra DSG Retail, planteando una serie de posibles causas de acción, que incluyen:
- Abuso de confianza (BoC)
- Uso indebido de información privada (MoPI)
- Incumplimiento de la Ley de Protección de Datos de 1998 (DPA 1998)
- La doctrina del common law sobre la negligencia
En julio del 2021, el Tribunal Superior consideró una sentencia sumaria y/o una solicitud de anulación presentada por DSG Retail con respecto a las reclamaciones del Sr. Warren, salvo la reclamación derivada del presunto incumplimiento del deber de seguridad de datos (DPP7) en virtud de la DPA 1998.
Lo que se espera en 2022
Según Clyde & Co, a medida que los demandantes evalúen en qué violaciones de datos invertir, se espera que los reclamos permanezcan en la fase previa a la acción por más tiempo, los demandantes emitirán más solicitudes de divulgación previa a la acción y los demandados se resistirán, y los demandantes adoptarán métodos y enfoques más innovadores, en particular en las violaciones de datos más grandes.