Delitos contra los sistemas de información

• Autor: Norberto J. de la Mata
• Páginas: 727-759

Contenidos

• I. Introducción
• II. Delitos de accesos informáticos ilícitos
• 1. Ubicación y consideraciones sistemáticas.
• 2. Evolución legislativa.
• 3. Bien jurídico protegido.
• 4. Objeto material: sistemas de información y datos informáticos.
• 5. Sujeto responsable de la infracción penal.
• 6. Conductas incriminadas.
• 7. Consecuencias jurídicas.
• 8. Responsabilidad de las personas jurídicas.
• 9. Disposiciones comunes al Capítulo I del Título X.
• III. Delitos de daños informáticos
• 1. Ubicación y consideraciones sistemáticas. Cuestiones terminológicas
• 2. Evolución legislativa.
• 3. Bien jurídico protegido.
• 4. Objeto material: sistemas de información y datos informáticos.
• 5. Sujeto responsable de la infracción penal.
• 6. Conductas incriminadas.
• 7. Consecuencias jurídicas.
• 8. Responsabilidad de las personas jurídicas.
• Lecturas recomendadas.

Page 727

I Introducción

La irrupción de la informática y, posteriormente, la telemática y la cibernética en la vida empresarial ha implicado al mismo tiempo la proliferación de conductas delictivas que tienen que ver con los sistemas de información y que afectan a una correcta distribución de bienes y servicios. Desde sus inicios, y aunque sea más que eso, el denominado Derecho penal informático se ha incluido o al menos se ha vinculado al Derecho penal económico: así, en los pioneros trabajos de Tiedemann o de Sieber. Muchas conductas vinculadas a la informática nada tienen que ver con el mundo empresarial (difusión de contenidos lesivos, conductas vinculadas a la pornografía, ciberterrorismo, etc.). Otras son en cambio propias del mundo empresarial. Se habla incluso de cibercriminalidad económica.

A varias de ellas ya se ha hecho referencia a lo largo de este libro. En este contexto hay que tener en cuenta los delitos de estafa y fraudes informáticos (arts. 248.2, 255 y 256), los atentados a la propiedad intelectual e industrial (arts. 270 ss. y 273 ss.) o los delitos contra el mercado y los consumidores (arts. 278 ss. y 286), analizados en los temas 5, 8, 9 y 11 de esta obra. Junto a las mismas, y aunque el legislador español las vincula con delitos tradicionales, hay que tener en cuenta comportamientos directa-

Page 728

mente vinculados con lo que son, en sí mismos, los sistemas informáticos que permiten un correcto desarrollo empresarial (no sólo, obviamente) y que casi siempre tienen una finalidad económica. A éstos se va a hacer referencia aquí.

II Delitos de accesos informáticos ilícitos

Caso del ordenador

"El actor prestó servicios para la demandada desde abril de 2.004, mediante contrato de trabajo de Alta Dirección, con la categoría de Director General, por un período de cinco años [...] prestaba sus servicios en un despacho sin llave, en el que disponía de un ordenador, carente de clave de acceso, y conectado de la red de la empresa, que a su vez dispone de ADSL. El ordenador tiene antivirus propio [...] un técnico de la empresa [...] fue requerido para comprobar los fallos en un ordenador que la empresa señaló como del actor, comprobación, que según dicho técnico, D. Eloy, se llevó a cabo a las cinco de la tarde del citado día. En dicha comprobación se constató la existencia de virus informáticos, como consecuencia de la navegación por páginas poco seguras de internet. A presencia del Administrador de la empresa comprueba la existencia en la carpeta de archivos temporales de antiguos accesos a páginas pornográficas, que procede a almacenar en un dispositivo USB y a su impresión en papel. Dichos archivos se corresponden con imágenes y videos de carácter pornográfico. El dispositivo USB es llevado a un notario para su custodia, así como la relación de páginas que en el mismo se contiene. Las operaciones llevadas a cabo en el ordenador se hicieron sin la presencia del actor ni de representantes sindicales ni trabajador alguno [...].

El ordenador fue retirado de la empresa para su reparación y el 30 de mayo, una vez devuelto, se procede a la misma operación esta vez a presencia de dos delegados de personal grabándose otro USB con las páginas almacenadas en el archivo temporal, y depositándole ante el notario, con el listado de páginas que se señalan [...]"-

Extracto literal de la sentencia de 26 de septiembre de 2007 de la Sala Social del Tribunal Supremo en el Recurso de suplicación 5844/05 interpuesto frente a la sentencia dictada el 30 de septiembre de 2005 por el Juzgado de lo Social n° 3 de A Corana en los autos n° 521/05.

1. Ubicación y consideraciones sistemáticas

En el Título X del Código, entre los delitos contra la intimidad y el derecho a la propia imagen, el Capítulo Primero dedicado al descubrimiento y revelación de secretos acoge los arts. 197 bis y 197 ter dedicados a los delitos informáticos vinculados a la tutela de la confidencialidad de datos y sistemas.

Page 729

Es importante señalar que, aunque en el art. 197.1 se mencionan los mensajes de correo electrónico y la interceptación de telecomunicaciones y en el art. 197.2 las conductas típicas tienen que ver con datos que pueden estar registrados en ficheros o soportes informáticos, electrónicos o telemáticos a ninguno de ellos se va a hacer referencia aquí por tratarse de infracciones, clásicas, directamente vinculadas con la tutela de la intimidad. En el primer caso en cuanto se ha de actuar "para descubrir los secretos o vulnerar la intimidad de otro". En el segundo en cuanto se trata siempre de datos reservados de carácter personal o familiar.

Nada de esto tiene que ver con las conductas de los arts. 197 bis y siguientes, que son las directamente vinculadas, primero, con el Convenio sobre ci-bercriminalidad del Consejo de Europa y, después, con la normativa de la Unión Europea y previstas en el marco de tutela de la confidencialidad, integridad y disponibilidad de sistemas informáticos o, si se prefiere, en el de la de los sistemas de información. Son estos preceptos, por otra parte, los que pueden entenderse más relacionados con la delincuencia en el ámbito empresarial. Sí habrá que tener en cuenta también los delitos, contra el mercado, de descubrimiento de secretos de empresa de los arts. 278 a 280 (objeto de atención en el Tema 8 al no vincularse directamente con la tutela de sistemas de información). No en cambio el descubrimiento de secretos profesionales o de datos reservados de personas jurídicas, que tienen más que ver con la tutela de la intimidad, en el término amplio en que lo entiende la rúbrica del Título X del Código.

2. Evolución legislativa

1. La regulación española en este ámbito está fuertemente relacionada con sus referentes internacionales.

   Así, el Tratado de Funcionamiento de la Unión Europea acoge en el artículo 83 (antiguo artículo 31 TUE) la delincuencia informática entre los ámbitos delictivos de especial gravedad y dimensión transfronteriza en los que el Parlamento Europeo y el Consejo pueden establecer mediante Directivas normas mínimas relativas a la definición de infracciones penales y de sus correspondientes sanciones con arreglo al procedimiento legislativo ordinario.

   Son muchas las iniciativas que a tal efecto se adoptan en Europa, pero el primer referente importante en esta materia, que servirá posteriormente de base a gran parte de la legislación supraestatal, es el Convenio sobre cibercriminalidad de 23 de noviembre

   Page 730

   de 2001, del Consejo de Europa firmado por España. En él se obliga a tipificar la falsedad informática (artículo 7), la estafa informática (artículo 8), las infracciones relativas a la pornografía infantil (artículo 9) y las infracciones vinculadas a los atentados a la propiedad intelectual y a los derechos afines (artículo 10). Y, además, en los artículos 2 a 6 del Convenio, las "Infracciones contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos".

   Son éstas las que tendrá en cuenta, primero, la Decisión marco 2005/222/JAI del Consejo de 24 de febrero sobre ataques a los sistemas de información y, posteriormente, la vigente Directiva 2013/40/UE del Parlamento Europeo y del Consejo de 12 de agosto de 2013 relativa a los ataques contra sistemas de información.

   En ésta se exige de los Estados la adopción de "las medidas necesarias" para que se sancionen como infracción penal el acceso ilegal a los sistemas de información (art. 3), la interferencia ilegal en los sistemas de información (art. 4), la interferencia ilegal en los datos (art. 5) y la interceptación ilegal (art. 6). Se añade esta última en relación con las que preveía la Decisión marco de 2005, pero prescinde como ella de atender comportamientos vinculados a la informática únicamente en cuanto medio de comisión (estafas, falsedades, etc.).

2. Pues bien, son las reformas de 2010 y 2015 las que han atendido en el Código Penal esta normativa.

   Hasta la aprobación de la Decisión marco de 2005, la regulación de la Unión Europea vinculada con las Tecnologías de la Información y la Comunicación (TTCs) tenía un carácter sectorial y no directamente vinculado, estrictamente, a la legislación penal de cada Estado, fijándose más en lo que es la informática como herramienta para la comisión del delito (propiedad intelectual y piratería, etc.)

   La Decisión, centrada ya estrictamente en la tutela de los sistemas de información y preocupada fundamentalmente por la protección de las infraestructuras críticas tanto de los Estados miembros como de la propia Unión, exige a aquéllos una decidida intervención penal, ajena al concepto amplio de "cibercrimen" que maneja el Convenio de Europa (cuya traslación a la normativa penal española se ha ido produciendo en delitos diversos), centrada en las cuatro conductas que definen la esencia de los auténticos delitos informáticos (o contra los sistemas de información) y desarrollada en torno a los binomios confidencialidad-integridad, datos-sistemas y accesos-daños.

   El mandato de la Decisión fue tenido en cuenta por el legislador en la Reforma...