La responsabilidad de las empresas ante los delitos informáticos
Todo el mundo ha oído hablar alguna vez de la existencia de los delitos informáticos, pero lo que nadie asume es que según nuestro Código Penal, este tipo de faltas también las pueden cometer personas jurídicas, es decir empresas u organismos.
La reforma del Código Penal que se llevó a cabo con la Ley Orgánica 5/2010, dio cumplimiento a diversos compromisos legislativos europeos. Entre ellos, los que hacen referencia a delitos informáticos que, también en virtud de ese mandato europeo, habrían de estar aquellos que están vinculados a las personas jurídicas.
Realmente los compromisos de la UE no imponían que la responsabilidad de las empresas o asociaciones hubiera de ser necesariamente de carácter penal, pero sí que debía establecerse su responsabilidad en todo caso, cuando se dieran las circunstancias. La modificación recogida en el art. 31 bis, señala que al optar por la responsabilidad penal, el legislador español se alinea con la tendencia mayoritaria en Europa, y, por supuesto, con la fórmula vigente en EE.UU durante las dos últimas dos décadas.
Desde hace tiempo, el Marco 2005/222 JAI del Consejo de la UE, está alertando sobre la creciente amenaza que supone la delincuencia organizada para la seguridad de la información de los Estados miembros, en una clarísima tendencia de crecimiento y la inquietud existente ante el hecho de que puedan producirse ataques terroristas contra infraestructuras vitales de los Estados miembros, hechos y actos que ocurren en la actualidad.
Por ello, obliga a los países pertenecientes incluir en sus ordenamientos internos sanciones penales efectivas, proporcionadas y disuasorias para una pluralidad de conductas que atentan contra la seguridad de los sistemas y redes. En realidad, esta Decisión Marco recoge el contenido de varios artículos del Convenio de Budapest sobre Ciberdelincuencia.
Además, el art. 31 bis indica que todas las organizaciones, sean o no de carácter empresarial, pueden ser sancionadas penalmente si alguno de sus miembros, actuando en su nombre y en su beneficio directo o indirecto, comete ciertas conductas delictivas, siempre que la entidad en cuestión no cuente con un Sistema de cumplimiento adecuado.
¿Puede responder judicialmente una empresa u organismo por daños informáticos?
Uno de los posibles delitos por los que se puede imputar a una persona jurídica es el de daños informáticos, regulado en los artículos 264 y siguientes del Código Penal. Estos delitos pueden ser por:
- Borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave.
- Obstaculizar o interrumpir el funcionamiento de un sistema informático.
- Producir, adquirir para su uso, importar o, de cualquier modo, facilitar a terceros (con la intención de facilitar la comisión de alguno de los delitos a que se refieren los dos puntos anteriores) un programa informático, concebido o adaptado principalmente para cometer alguno de los delitos a que se refieren los dos artículos anteriores; o bien una contraseña de ordenador, un código de acceso o datos similares que permitan acceder a la totalidad o a una parte de un sistema de información.
Así mismo, encontramos la existencia de un caso en el que una entidad fue acusada, entre otros, por este delito al haber destruido los discos duros de su propia sede ante la perspectiva de una investigación judicial. La Audiencia Nacional estimó la acusación, apoyando su fallo, fundamentalmente, en estos puntos:
- Se constató la comisión de un delito informático, puesto que se había destruido información y documentación electrónica. Además, la información había sido borrada por parte de un miembro de la misma;
- Se recibió un beneficio indirecto por ello, dada la importancia que tenían los datos borrados en relación con la instrucción de un procedimiento judicial penal que sí afectaba a la entidad;
- Se carecía de un Sistema de cumplimiento suficiente; de hecho, se aportó un protocolo de actuación para el borrado, pero la Audiencia no lo consideró suficiente a los efectos del artículo 31 bis. 5 CP.
En conclusión, una persona jurídica (empresa u organismo) puede responder por un delito de daños informáticos (art. 264).
Los peligros del acceso ilegal a sistemas informáticos
Por otra parte, encontramos la aplicación del art. 197.3. En este caso, se tipifica como delito el simple acceso sin autorización a un sistema informático ajeno, o el hecho de mantenerse en él contra la voluntad de quien tenga el derecho de poder excluir del mismo al intruso. El simple acceso, sin necesidad de ningún ánimo especial, ni de que vaya seguido de daños, fugas de datos o revelación a terceros de lo conocido ya incurre en un delito.
Piensen en los riesgos que suponen para la seguridad informática y el mercado en general, el acceso a información sensible de una empresa u organismo mediante el robo de claves, o el uso de sistemas de Spyware; o los accesos potenciales de antiguos empleados de una compañía por resentimiento o por estar vinculados a sus competidores, si conservan claves de acceso o conocen el modo de obtenerlas; en programadores desleales en posesión de backdoors, etc.
Así mismo, también encontramos la existencia de una aplicación del art. 197. En este caso, una entidad fue acusada, del acceso a los sistemas de un competidor que sufrió una caída de sus sistemas de información. La Audiencia Nacional estimó en esta ocasión la acusación, apoyando su fallo, fundamentalmente, en estos puntos:
Hecho constatado de la comisión de un delito informático, puesto que se acreditaba que se había accedido a los sistemas del denunciante por parte de un miembro de la entidad denunciada; Que recibió un beneficio indirecto por ello, dada la indisponibilidad de los sistemas del denunciante; Que se carecía de un sistema de cumplimiento suficiente ni de las herramientas técnicas para prevenir estos hechos.
Como hemos podido ver, ambos delitos, daños informáticos (art 264) y acceso ilegal (art 197), activan la responsabilidad penal de las personas jurídicas (empresas u organismos) cuando se comete en el seno de éstas, y llevan aparejadas penas de multa y la posibilidad de aplicación de las llamadas penas interdictivas (es decir, la clausura de locales, suspensión de actividades, la inhabilitación para obtener subvenciones, etc.) de los apartados b) a g) del art. 33.7 del Código Penal.
Son hechos por desgracia bastante frecuentes en la actualidad, y la persona jurídica podrá ser declarada responsable de ellos, no solo por los actos de sus administradores o representantes, sino también por los de sus empleados, incluso de las personas con las que haya concertado un arrendamiento de servicios, si se aprecia por el Tribunal que no ha existido por su parte el debido control.
Por lo tanto, la responsabilidad de la persona jurídica incluye los delitos informáticos y las entidades deben tomar medidas para que estos no ocurran. Tanto implantando un sistema de cumplimiento, como implementando medidas técnicas de seguridad informática para que los delitos no se puedan cometer y no se pueda imputar un delito informático a la entidad.
David Marqués
Head of Security Information
Asseco Spain Group