Por Diego Cabezuela Sancho, CIRCULO LEGAL.- Director Jurídico.-  Madrid.

La reforma del Código Penal que llevó a cabola Ley Orgánica5/2010, dio cumplimiento a diversos compromisos legislativos europeos que tenía pendientes nuestro país. Entre ellos, los relativos a los delitos informáticos que, también en virtud de ese mandato europeo, habrían de estar entre aquéllos de los que han de responder las personas jurídicas. Realmente los compromisos UE no imponían que la responsabilidad de éstas hubiera de ser necesariamente de carácter penal, pero sí que debía establecerse su responsabilidad en todo caso, cuando concurrieran las circunstancias que ahora recoge el art. 31 bis de nuestro Código. Al optar por la responsabilidad penal, el legislador español se alineó con la tendencia mayoritaria en Europa, y, por supuesto, con la fórmula vigente en USA durante las dos últimas dos décadas.

La Decisión Marco2005/222 JAI alertaba sobre la creciente amenaza que para los sistemas de información supone la delincuencia organizada, y la inquietud existente ante el hecho de que puedan producirse ataques terroristas contra la seguridad informática y las infraestructuras vitales de los Estados Miembros. Por ello transmitía a éstos la obligación de incluir en sus ordenamientos internos sanciones penales efectivas, proporcionadas y disuasorias para una pluralidad de conductas atentatorias contra la seguridad de los sistemas y redes.  En realidad  esta Decisión Marco recogía el contenido de varios artículos del Convenio de Budapest sobre Ciberdelincuencia de 2001.

Una de las novedades más relevantes que introdujo nuestro Código en el tratamiento de estos hechos es la que se contiene en su art. 197.3. La tipificación como delito del simple acceso no autorizado a un sistema informático ajeno, o el hecho de mantenerse en él contra la voluntad de quien tenga el derecho de poder excluir del mismo al intruso. El delito se  consuma con el simple acceso, sin necesidad de ningún ánimo especial, ni de que vaya seguido de daños, fugas de datos o revelación a terceros de lo  conocido. Ello supone, por ejemplo, que las hazañas informáticas de los hackers , –muchas veces, personas muy jóvenes–, que burlan sistemas de seguridad complejos por mera diversión o por dejar en evidencia la vulnerabilidad de sistemas informáticos que se suponen inexpugnables (de organismos gubernamentales, grandes compañías) se traducen ahora en este delito. Naturalmente, no todos los accesos ilegales son travesuras de adolescentes y la finalidad de esta norma es trazar una primera línea defensiva penal frente a ataques a bienes jurídicos que pueden revestir un calado infinitamente mayor. Piénsese en los riesgos que suponen para la seguridad informática y el mercado en general, los accesos a empresas u organismos mediante robo de claves, o mediante el uso de sistemas de Spyware; o los accesos potenciales de antiguos empleados de una compañía por resentimiento o por estar vinculados a sus competidores, si conservan claves de acceso o conocen el modo de obtenerlas; en programadores desleales en posesión de backdoors etc .

Es decir accesos guiados por un ánimo evidente de malicia y que, normalmente, serán paso previo para la perpetración de conductas como el espionaje industrial, el descubrimiento de secretos, o los sabotajes informáticos. Con este artículo  197.3 el Código adelanta su barrera de protección penal frente a los ataques informáticos hasta la primera fase delictiva. Una fase que casi siempre será preparatoria de hechos nuevos y más graves, pero que, en todo caso, cuenta, por sí sola, con su propia penalidad.

Ciertamente el artículo exige que este acceso se haga vulnerando medidas de seguridad lo que excluye los accesos que se produzcan  aprovechando  el descuido del titular y parece exigir de éste la adopción de unas ciertas medidas de autoprotección. (al igual que ocurre, por ej, con la exigencia de engaño bastante en los delitos de estafa común).

Mayor capacidad lesiva tienen los daños o el sabotaje informático. El Código sanciona cualquier clase de ataque tanto a los contenidos –ya sean datos, documentos electrónicos o programas— como a los sistemas –bloqueo intencionado de páginas web u otros servicios de internet–,por ejemplo mediante ataques dDOS. El art. 264 describe las modalidades de ataque con una casuística exagerada, que da buena cuenta de la intención del legislador de no dejar impune ninguna conducta que, tal como impone la Decisión Marco2005/222/JAI,  pueda afectar en cualquier modo, total o parcial, a la seguridad, conservación e integridad de los datos y sistemas.  El apartado 1 se refiere a “el que por cualquier medio, sin autorización (…) borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles “los datos programas o documentos electrónicos…  Y lo mismo cabe decir del apartado 2: “el que por cualquier medio (…) obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos…”. En ambos supuestos ha de tratarse de hechos de carácter grave. Un concepto nada fácil de delimitar en conductas como éstas, cuya equivalencia en términos económicos o incluso reputacionales puede ser compleja de evaluar. Habrá que permanecer atentos a los pronunciamientos de los Tribunales.

Según hemos visto, ambos delitos, acceso ilegal y daños informáticos, activan la responsabilidad penal de las personas jurídicas cuando se comete en el seno de éstas y llevan aparejadas penas de multa y la posibilidad de aplicación de las llamadas penas interdictivas (es decir, la clausura de locales, suspensión de actividades, la inhabilitación para obtener subvenciones  etc) de los apdos b) a g) del art. 33.7 del Código Penal. Son hechos frecuentes y la persona jurídica podrá ser declarada responsable de ellos no solo por los actos de sus administradores o representantes, sino también por los de sus empleados o –si nos atenemos al criterio que mantiene la Circular 1/2011 de la Fiscalía Generaldel estado— incluso de las personas con las que haya concertado un arrendamiento de servicios, si se aprecia por el Tribunal que no ha existido por su parte el debido control. Los programas de cumplimiento (compliance guide) deberán ser cuidadosos en la identificación de los riesgos y en el establecimiento de controles aptos para detectar a tiempo cualquiera de estas conductas.

 

 

 

Dejar una respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.