Cada vez son más los números de ciberataques que reciben las empresas, despachos de abogados e, incluso, la Administración Pública, convirtiéndose en un verdadero problema del día a día. Estamos ante un aumento exponencial caracterizado por un continuo desarrollo y transformación, casi imposibles de controlar. 

Este es el reto al que se enfrentan los grandes tenedores de datos. Cuentan con cantidades masivas de información a disposición de estos ciberdelincuentes que, con una rápida adaptación de técnicas y procedimientos informáticos, consiguen obtener información confidencial de terceros. Son estas grandes entidades tenedoras de datos las encargadas de poner la seguridad y barreras ante las actuaciones penalmente delictivas. 

ciberseguridad - diario juridico
Imagen: Gonzalo León, abogado penalista en LABE Abogados

¿Cómo regula el Código Penal la ciberdelincuencia?

La ciberdelincuencia es un problema derivado de las nuevas tecnologías que ha venido para quedarse. Son cada vez más numerosas las reformas y disposiciones que el legislador prevé en el Código Penal para dar respuesta a esta nueva realidad delictiva, puesto que, por lo general, la respuesta punitiva llega mal y tarde.  

Una de las mayores críticas es la falta de unificación de las medidas, la diversificación del tipo penal y la falta de concreción en el bien jurídico protegido. Ello hace aún más ardua la tarea de las acusaciones y el juzgado, que depende en muchas ocasiones de la propia casuística y la actuación delictiva concreta para saber a qué articulado debemos acudir.

De esta forma, podemos observar la diversificación que tenemos alrededor de nuestro Código Penal con respecto a los delitos realizados por ciberataques, teniendo en primer lugar, delitos informáticos de índole de descubrimiento de información personal (art. 197 C.P), que seguidamente y por la variante casuística, se reforzó a través del delito de acceso a transmisiones no públicas (art. 197 bis C.P.). 

A los anteriores se suma en segundo lugar los delitos por descubrimiento y revelación de secretos de empresa, que pueden verse afectos por una gran cantidad de actores y singularidades (art. 278 C.P.), pasando por los delitos de daños informáticos y destrucción de información en sentido estricto (artículos 264, 264 bis y ter). 

Es importante matizar que, en tercer lugar, contaremos con la suma de delitos y causalidades que nos llevarán a una gran diversidad de actividades delictivas concretas, que pueden conllevar a procesos de concursos delictivos con particularidades muy específicas, ya sea por el actor material de la actividad delictiva, por la gravedad en el daño ocasionado, o, por las intenciones de uso de los datos obtenidos; lo cual, marca un verdadero reto legislativo y de seguridad general para poner freno a una actividad delictiva que no tiene fronteras. 

 

Responsabilidad de empresas afectas a un ciberataque:

Como todo autor material del delito, los ciberdelincuentes se ven afectados por las penas y responsabilidad civil y penal consecuente a los actos de los que hayan sido responsables, sin embargo, la gravedad de los actos ante los que estamos siendo testigos y la realidad de la falta de previsión de muchas empresas para proteger los datos de terceros, han llevado al legislador a establecer responsabilidad a las empresas que no han seguido unos mínimos de defensa para evitar estos ataques por no garantizar la seguridad de los datos de sus clientes y, o, terceros. 

En este mismo sentido, la Ley Orgánica de Protección de Datos 15/1999, de 13 de diciembre, puesta en relación con el Reglamento General de Protección de Datos 2016/679, de 27 de abril, establecen la posibilidad de castigar y responsabilizar a todas las empresas que incluyan datos personales de sus clientes y terceros en ficheros que no cumplan con las condiciones mínimas de seguridad establecidas en el título octavo del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, siendo las empresas el primer filtro de control que debe implementar las medidas de seguridad necesarias para la defensa de intromisión de estos datos de terceros, no siendo válida una mera disposición empresarial sin aplicación práctica real. 

A pesar de lo anterior, la obligación de seguridad no es absoluta, puesto que puede darse el caso de que la empresa cuente con las herramientas necesarias y adecuadas que garanticen la seguridad de los datos incorporados en sus ficheros, siendo la intromisión ilícita un mero hecho delictivo de terceros que cuentan con un grado elevado de conocimientos informáticos

Entra en juego entonces la aplicación empresarial interna y efectiva del programa de corporate compliance, que se trata de un requisito de gestión interna de gran influencia para la inimputabilidad de la acción ajena de terceros, por el que la empresa no es ni será nunca responsable por tener aplicación de buenas prácticas que se despliegue en todos los efectos de la empresa, así, el Tribunal Supremo, en su sentencia 2947/2018, de 28 de junio, exige que la empresa demuestre una verdadera inmersión empresarial de cultura de cumplimiento del programa de buenas prácticas, a fin de dar respuesta a una realidad que carece de fronteras, que cuenta con una transformación y dinamismo cada vez más hostil. 


Autor: Gonzalo León, abogado penalista en LABE Abogados

Dejar una respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.