Reflexiones sobre el bien jurídico a proteger en el delito de acceso informático ilícito (art. 197 bis CP) El concepto de privacidad informática y la tutela del buen funcionamiento de los sistemas de información y comunicación

• Autor: Norberto J. de la Mata Barranco
• Cargo: Catedrático de Derecho Penal de la Universidad del País Vasco (UPV/EHU)
• Páginas: 43-86

Page 44

I Introducción y referentes internacionales

1. Consideraciones previas: la lucha contra la delincuencia informática

En el Título X del Código Penal, entre los delitos contra la intimidad y el derecho a la propia imagen, el Capítulo I dedicado al descubrimiento y revelación de secretos acoge los arts. 197 bis y 197 ter, que describen delitos informáticos vinculados a la tutela de la confidencialidad de datos y sistemas y surgen, fundamentalmente, por los compromisos internacionales adquiridos por España.

El carácter transnacional de la delincuencia asociada al uso de las denominadas Tecnologías de la Información y de la Comunicación (TICs) ha obligado a los Estados a superar la idea de frontera en la aplicación de sus regulaciones penales y a buscar medidas de coordinación y armonización a nivel supraestatal para alcanzar una regulación eficaz, destinada en gran medida a evitar que la criminalidad se traslade a aquellos Estados en los que la punición de la misma resulte más benévola¹.

Page 45

En esta línea, el Informe CONCRIME, remitido por la Comisión Europea al Consejo en 1998, sobre los aspectos legales de los crímenes relacionados con la informática en la sociedad de la información, ponía ya en evidencia entonces la vulnerabilidad de las TICs, en particular en relación con el futuro del comercio electrónico². Y, en la actualidad, el Tratado de Funcionamiento de la Unión Europea acoge en el artículo 83 (antiguo artículo 31 TUE) la delincuencia informática entre los ámbitos delictivos de especial gravedad y dimensión transfronteriza en los que el Parlamento Europeo y el Consejo pueden establecer mediante Directivas normas mínimas relativas a la definición de infracciones penales y de sus correspondientes sanciones con arreglo al procedimiento legislativo ordinario (al igual que lo hacía el artículo III-271 del Tratado por el que se establece una Constitución para Europa aludiendo a "la ley marco europea").

En este ámbito de la Unión Europea desde hace años existen diversos instrumentos que conciernen total o parcialmente a esta clase de delincuencia³: así, entre otros, la Directiva 91/250/CEE del Consejo de 14 de mayo de 1991 sobre la protección jurídica de programas de ordenador; la Directiva 1995/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, modificada por Reglamento (CE) n° 1882/2003; la Directiva 1997/66/CE del Parlamento Europeo y del Consejo de 15 de diciembre de 1997 relativa al tratamiento de datos personales y a la protección de la intimidad en el sector de las telecomunicaciones; la Directiva 1998/34/CE del Parlamento Europeo y del Consejo de 20 de noviembre de 1998 por la que se establece un procedimiento de información en materia de normas y reglamentaciones técnicas y de las reglas relativas a los servicios de la sociedad de la información, modificada por la Directiva 98/48/CE; la Directiva 1999/93/CE del Parlamento Europeo y del Consejo de 13 de diciembre de 1999, por la que se establece un marco común para la firma electrónica; o la Directiva 2000/31/CE del Parlamento y del Consejo de 8

Page 46

de junio de 2000 relativa a determinados aspectos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior.

En el Considerando 26 de la Exposición de Motivos de esta última se señala ya que "Los Estados miembros, de conformidad con las condiciones establecidas en la presente Directiva, pueden aplicar sus normas nacionales sobre Derecho penal y enjuiciamiento criminal con vistas a adoptar todas las medidas de investigación y otras, necesarias para la averiguación y persecución de delitos, sin que sea necesario notificar dichas medidas a la Comisión". Si bien deja claro en su Considerado 54 que "[...] Los Estados miembros no están obligados a establecer sanciones penales por infracción de las disposiciones nacionales adoptadas en aplicación de la presente Directiva".

Es una de las primeras iniciativas europeas desplegadas hacia la incriminación de la delincuencia informática⁴. Pero, el referente en esta materia, que servirá posteriormente de base a gran parte de la legislación supraestatal, aunque fuera de la normativa de la Unión Europea, es el Convenio sobre la ciberdelincuencia de Budapest de 23 de noviembre de 2001, del Consejo de Europa (firmado por España en la misma ciudad y fecha y ratificado mediante Instrumento publicado en el BOE de 17 de septiembre de 2010 con dicha denominación)⁵.

2. El convenio sobre la ciberdelincuencia del consejo de europa y el concepto amplio de cibercrimen

El Convenio, dirigido a la construcción de una política penal común destinada a prevenir la criminalidad en el ciberespacio y a la mejora de la cooperación internacional⁶, es un instrumento que se limita a enunciar normas generales en la lucha contra la delincuencia cibernética, con

Page 47

disposiciones que no son susceptibles de aplicación directa en los ordenamientos de los países firmantes y que necesitan normas internas que las hagan plenamente operativas. Pero su importancia se cifra en ser el primer instrumento que, a nivel europeo, exige a los Estados firmantes la obligación de adoptar medidas legislativas necesarias para prever como infracción penal las conductas vinculadas a la delincuencia informática contempladas en su articulado⁷.

Ya en el Preámbulo del Convenio se destaca la necesidad de establecer esa política penal común destinada a proteger a la sociedad de la criminalidad en el ciberespacio. Se trata, se dirá, de prevenir los actos que atenten contra la confidencialidad, integridad y disponibilidad de los sistemas informáticos, de redes y de datos, así como el uso fraudulento de dichos sistemas, redes y datos, asegurando la incriminación de tales comportamientos y la adopción de poderes suficientes para permitir una lucha eficaz contra las infracciones penales, facilitando su detección y la investigación y persecución de las mismas a nivel nacional e internacional, con previsión de disposiciones materiales precisas para una cooperación rápida y fiable⁸.

Desde esta perspectiva, el Convenio se ocupa fundamentalmente de dos cuestiones. Por un lado, de la armonización de aspectos relativos al Derecho penal material relacionados con las conductas ilícitas cometidas en el ciberespacio y, por otro, de la política procesal común, centrada en resolver la problemática de la competencia judicial y la cooperación internacional en este ámbito.

El Convenio agrupa las conductas cuya incriminación pretende en los conceptos de "Infracciones contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos", "Infracciones informáticas", "Infracciones relativas al contenido" e "Infracciones vinculadas a los atentados a la propiedad intelectual y a los derechos afines".

Es en los artículos 2 a 6 del Convenio, dentro del epígrafe dedicado a las "Infracciones contra la confidencialidad, la integridad y la disponibi-

Page 48

lidad de los datos y sistemas informáticos", donde se ubican los comportamientos que servirán de primer referente para la labor del legislador español en su aproximación a esta materia en 2010.

Entre ellos, y éste será el inicio de la regulación europea sobre la materia, contempla, en primer lugar, el acceso ilícito, entendido como acceso doloso y sin autorización, a todo o parte de un sistema informático (artículo 2), en segundo lugar, la interceptación ilícita, esto es, la inter-ceptación dolosa y sin autorización, a través de medios técnicos, de datos informáticos en el destino, origen o interior de un sistema informático, incluidas las emisiones electromagnéticas, provenientes de un sistema informático que transporta tales datos informáticos (artículo 3) y, en tercer lugar, el abuso de dispositivos, que hace referencia a la producción, venta, obtención para su utilización, importación, difusión u otra forma de puesta a disposición de dispositivos, contraseñas, códigos de acceso o datos informáticos o posesión de cualquiera de ellos para la comisión de los delitos anteriores (artículo 6). Junto a estos, los artículos 4 y 5 abordarán los atentados contra la integridad de datos y sistemas

3. La normativa de la unión europea: la directiva 2013/40/ue, la tutela de un espacio de seguridad y libertad y la protección de infraestructuras críticas

La política de la Unión, acertadamente, no seguirá la línea del Consejo de Europa de abordar conjuntamente todos los denominados delitos informáticos, en su sentido más...