Circular 3/2017, de 21 de septiembre, sobre la reforma del Código Penal operada por la lo 1/2015, de 30 de marzo, en relación con los delitos de descubrimiento y revelación de secretos y los delitos de daños informáticos

Autor:Carmen Figueroa Navarro - SERGIO CÁMARA ARROYO
Cargo:Profesora Titular de Derecho Penal. Universidad de Alcalá. - Profesor Ayudante Doctor (Acreditado contratado Doctor). Universidad Nacional de Educación a Distancia
Páginas:543-586
 
ÍNDICE
EXTRACTO GRATUITO

Page 543

SUMARIO: Introducción.–1. Novedades introducidas en los delitos de descubrimiento y revelación de secretos. 1.1 Nueva redacción del artículo 197 CP. 1.2 El nuevo apartado 7.º del artículo 197 CP. 1.3 El nuevo artículo 197 bis CP. 1.3.1 Acceso ilegal a sistemas informáticos (art. 197 bis.1). 1.3.2 Inter-ceptación ilegal de datos informáticos (art. 197 bis.2). 1.4 El nuevo artículo 197 ter CP. 1.5 El nuevo artículo 197 quater CP. 1.6 El nuevo artículo 197 quinquies CP. 1.7 El artículo 198 CP. 1.8 Condiciones de perseguibilidad de estas conductas.–2 Novedades introducidas en los delitos de daños informáticos. 2.1 Nueva redacción del artículo 264 CP. 2.1.1 Los subtipos agravados del artículo 264.2 CP. 2.1.2 La agravación específica del artículo 264.3 CP. 2.2 El nuevo artículo 264 bis CP. 2.3 El nuevo artículo 264 ter CP. 2.4 El nuevo artículo 264 quater CP.–Conclusiones.

Introducción

La reforma llevada a efecto en el Código penal por la LO 1/2015, de 30 de marzo, afecta de forma importante a la regulación hasta ahora existente en materia de delitos de descubrimiento y revelación de secretos y de daños informáticos. Los primeros encuadrados en el capítulo I del título X del libro II del CP, dedicado a «Los delitos contra la intimidad, el derecho a la propia imagen y la inviolabilidad del domicilio», y los segundos en el capítulo IX del título XIII del libro II del CP, dedicado a los «Delitos contra el Patrimonio y contra el Orden Socioeconómico.

Page 544

El Preámbulo de la citada Ley Orgánica, en su apartado XIII, se refiere a las modificaciones introducidas en estas tipologías delictivas como consecuencia de la incorporación al ordenamiento jurídico interno de la Directiva 2013/40/UE, del Parlamento y del Consejo, de 12 de agosto de 2013, relativa a los ataques contra los sistemas de información. Pero las novedades incorporadas en los tipos penales concernientes a los delitos de descubrimiento y revelación de secretos obedecen también a la voluntad del Legislador de ofrecer respuesta penal ante determinados comportamientos, concretamente los relacionados con la divulgación de imágenes o grabaciones de una persona que, aun obtenidas con su consentimiento, se difunden contra su voluntad afectando gravemente a su intimidad personal.

En cualquier caso, el análisis de las novedades incorporadas en unos y otros tipos delictivos exige previamente una reflexión sobre el sentido y alcance de la Directiva 2013/40/UE. Al respecto ha de recordarse que dicha norma europea, dictada en el marco del proceso de aproximación de las legislaciones penales de los Estados miembros en que nos encontramos inmersos, sustituye a la Decisión Marco 2005/222/JAI del Consejo, de 24 de febrero de 2005, relativa también a los ataques contra los servicios de información, cuya publicación en febrero del año 2005 tuvo un doble objetivo: por una parte el establecimiento de normas mínimas comunes para todos los Estados en la definición de las infracciones penales para hacer frente a los ataques informáticos y las sanciones aplicables a las mismas, y de otro lado reforzar y mejorar la cooperación entre las autoridades competentes de los Estados y los organismos europeos con responsabilidad en esta materia.

La citada Decisión Marco 2005/222/JAI fue incorporada al ordenamiento jurídico español a través de la reforma operada en el Código Penal por Ley Orgánica 5/2010, de 22 de junio, que dio lugar a la modificación del artículo 197 del Código Penal y concretamente a la tipificación del acceso ilegal a sistemas informáticos, en el apartado tercero del citado precepto, así como a la previsión, en el párrafo segundo de este mismo apartado, de las penas correspondientes a las personas jurídicas en los supuestos en que resultaran responsables de estos ilícitos en aplicación del artículo 31bis del mismo texto legal. También fruto de este mismo objetivo, de incorporación al ordenamiento interno de la citada norma europea, se añadió en éste mismo precepto un nuevo apartado, el número 8, en el que se contemplaba una agravación de la pena cuando los delitos hubieran sido cometidos en el seno de una organización o grupo criminal.

Asimismo, la transposición de la indicada Decisión Marco dio lugar a la tipificación específica en el artículo 264 CP de los delitos de daños informáticos, en relación con los cuales también se contempló, siguiendo las directrices de dicha norma europea, similar agravación penológica en los supuestos de actuación en el marco de una organización criminal, así como la posibilidad de extender la responsabilidad penal por estos hechos a las personas jurídicas cuando concurrieran las circunstancias pre-vistas en el artículo 31 bis CP, estableciéndose en el apartado 4.º citado precepto, las sanciones imponibles en esos supuestos.

Pese a este esfuerzo realizado por el Legislador, tanto español como europeo, por definir los tipos delictivos que permitieran la persecución y sanción en vía penal de determinados comportamientos surgidos al hilo del desarrollo tecnológico cuyo objeto son los propios datos y sistemas informáticos, la rápida evolución de esas mismas tecnologías ha ido determinando, en pocos años, la aparición de nuevos riesgos y amenazas y, por ende, la necesidad de articular otras figuras delictivas –o modificar las ya existentes– de tal forma que sea posible actuar penalmente frente a estas nuevas situaciones cuando se estime que por su gravedad y por los riesgos que generan se hacen acreedoras de dicho reproche.

Page 545

Se refiere concretamente la Directiva a la amenaza que supone para la Unión el riesgo de ataques informáticos de carácter terrorista o de naturaleza política contra los sistemas informáticos de las infraestructuras críticas de los Estados Miembros o de las Instituciones de la Unión, e igualmente a la tendencia creciente hacia ataques a gran escala a partir de nuevos métodos de actuación como la creación y utilización de redes infectadas de ordenadores (botnets). Por ello el Legislador europeo plantea la necesidad de dotarse de herramientas legales que permitan hacer frente a determinadas conductas, particularmente aquellas que se producen en fases más incipientes de la planificación y desarrollo de la actividad delictiva, así como el establecimiento de sanciones más graves en atención a la importancia o trascendencia de los sistemas afectados por los ciberataques.

De acuerdo con este planteamiento, la Directiva 2013/40/UE insta a los Estados a la tipificación penal de nuevas conductas no contempladas en la Decisión Marco 2005/222/JAI tales como la interceptación ilegal de transmisiones no públicas de datos informáticos o la producción intencional, venta, adquisición para el uso, importación, distribución u otra forma de puesta a disposición de instrumentos aptos para cometer este tipo de infracciones con la intención de que sean utilizados con esa finalidad. La Directiva también demanda de los Estados el establecimiento para esta clase de ilícitos de penas efectivas, proporcionadas y disuasorias, contemplando agravaciones en atención a circunstancias tales como la importancia de los daños causados, la afectación de sistemas de infraestructuras críticas o la utilización en la acción criminal de datos de carácter personal de otra persona.

No sería completa esta introducción sin reseñar que esta Directiva europea toma como punto de partida para la definición de los tipos penales los artículos 2 a 6 de la Convención sobre Ciberdelincuencia –también conocida como Convención de Budapest–, aprobada por el Consejo de Europa en el año 2001 y ratificada por España en Instrumento publicado en el BOE el 17 de septiembre de 2010. Ello se debe a que el Consejo Europeo, en Conclusiones adoptadas en noviembre del año 2008, consideró que cualquier estrategia de actuación sobre esta materia en el ámbito de la Unión Europea debía tener como marco jurídico de referencia la citada Convención del Consejo de Europa. Consecuentemente, la Directiva no solamente asume sus directrices en las definiciones que incorpora en su articulado sino que, en su considerando decimoquinto, también insta a los Estados Miembros que aún no lo hayan hecho a llevar a efecto el proceso de ratificación de la misma.

Esta decisión se enmarca en el objetivo –plenamente aceptado en la Unión Europea, y en menor medida en...

Para continuar leyendo

SOLICITA TU PRUEBA