gesprodat_teclas

Derecho y nuevas tecnologías: reforma del Código Penal (I)

El pasado 26 de marzo de 2015, el Congreso de los Diputados aprobó la reforma de la Ley Orgánica del Código Penal, que entrará en vigor el próximo 1 de Julio.

 En líneas generales, esta reforma revisa el régimen de penas existente hasta la actualidad, aparecen nuevos actos delictivos y desaparecen algunas infracciones o delitos.

 Pero en el ámbito del Derecho y las Nuevas Tecnologías (DNT), la reforma del Código Penal también es relevante por los numerosos cambios que se introducen y que a partir de su entrada en vigor el 1 de julio de 2015 habrá que tener en cuenta.

De entre estos cambios, destacamos la modificación del artículo 31 bis, desde el punto de vista de la responsabilidad en la comisión de delitos. Actualmente, las personas jurídicas son plenamente responsables:

a) De los delitos cometidos en nombre o por cuenta de las mismas, y en su beneficio directo o indirecto, por sus representantes legales o por aquellos que actuando individualmente o como integrantes de un órgano de la persona jurídica, están autorizados para tomar decisiones en nombre de la persona jurídica u ostentan facultades de organización y control dentro de la misma

 b) De los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en beneficio directo o indirecto de las mismas, por quienes, estando sometidos a la autoridad de las personas físicas mencionadas en el párrafo anterior, han podido realizar los hechos por haberse incumplido gravemente por aquéllos los deberes de supervisión, vigilancia y control de su actividadatendidas las concretas circunstancias del caso

 Sin embargo y con la reforma del Código Penal, la persona jurídica queda exenta de responsabilidad si el delito fue cometido por las personas del punto a) anterior si se cumple las siguientes condiciones:

  •  El órgano de administración ha adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión.
  • La supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado ha sido confiada a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica.
  • Los autores individuales han cometido el delito eludiendo fraudulentamente los modelos de organización y de prevención.
  • No se ha producido una omisión o un ejercicio insuficiente de sus funciones de supervisión, vigilancia y control por parte del órgano al que se refiere la condición 2ª.

 Del mismo modo, la persona jurídica queda exenta de responsabilidad si el delito fue cometido por las personas del punto b) anterior si antes de la comisión del delito, ha adoptado y ejecutado eficazmente un modelo de organización y gestión que resulte adecuado para prevenir delitos de la naturaleza del que fue cometido o para reducir de forma significativa el riesgo de su comisión.

 Finalmente, queda por analizar el elemento de provecho ante la comisión del delito, ya sea por el administrador o responsable, ya sea por los subordinados de éste. El elemento de provecho se refiere a que “la acción debe ser valorada como provechosa desde una perspectiva objetiva e hipotéticamente razonable, con independencia de factores externos que puedan determinar que la utilidad finalmente no se produzca. […] de modo que cualquier ventaja a favor de la entidad cumple con las exigencias del actuar en provecho, por difícil que pueda resultar su traducción a euros”, (Circular 1/2011 de la Fiscalía General del Estado)

 Estos dos condicionantes, desde el punto de vista de la comisión de delitos informáticos en el ámbito empresarial, resulta sumamente interesante ya que significa que la Ley provee de mecanismos jurídicos a la empresa para que, si los pone en práctica y evidencia su eficacia e implantación, quede exonerada de responsabilidades frente a incumplimientos, tanto por delitos cometidos por los propios representantes legales de la empresa, personal con poder de representación o, simplemente, los empleados que integran la sociedad.

 Llegados a este punto, quedarían dos aspectos que es necesario desarrollar para entender completamente la relevancia de la modificación del Código Penal en lo que respecta a la comisión de delitos informáticos y la exoneración de responsabilidades:

 1- Qué es, en la práctica, un delito informático.

 2-  Qué es un modelo de organización y gestión para la prevención de delitos informáticos.

 Los delitos informáticos, puede definirse como “delitos tradicionales cometidos a través de medios tecnológicos” o como los “actos dirigidos contra la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos, redes y datos informáticos, así como el abuso de dichos sistemas, redes y datos” (Convenio de Ciberdelincuencia del Consejo de Europa)

 ¿Qué delitos informáticos pueden producirse en una organización atendiendo al texto del  Código Penal? Estos son algunos ejemplos:

  • Acceder a secretos o a la intimidad de un tercero a través de sus papeles, correos electrónicos o documentos personales, sin su consentimiento, utilizando medios de captura, escucha o grabación de información.
  • Utilizar, alterar o acceder a datos reservados de carácter personal o familiar de un tercero registrados en soportes informáticos o no, en perjuicio de éste.
  • Difundir, revelar o ceder a terceros los datos descritos en los puntos anteriores
  • Vulnerar las medidas de seguridad preestablecidas para acceder o facilitar el acceso a un tercero a todo o parte del sistema de información, sin la debida autorización.
  • Utilizar medios tecnológicos para interceptar transmisiones de información no públicas hacia o desde un sistema de información, sin estar debidamente autorizado.
  • Sin estar debidamente autorizado, producir, adquirir para su uso, importar o, de cualquier modo, facilitar a terceros software informático concebido para la comisión de delitos.
  • Sin estar debidamente autorizado, producir, adquirir para su uso, importar o, de cualquier modo, facilitar a terceros contraseñas o códigos de acceso a todo o parte de un sistema de información para la comisión de delitos.
  • Revelar secretos ajenos de los que se tiene conocimiento normal por razón del oficio o puesto de trabajo desempeñado.
  • El incumplimiento del deber de sigilo profesional.
  • Descubrir, revelar o ceder datos reservados de personas jurídicas, sin el consentimiento de sus representantes legales

La comisión de estos u otros delitos en el seno de una organización, pueden materializarse sin necesidad de grandes conocimientos informáticos ni la aplicación de complejas tecnologías.

La propuesta del Código Penal para la exoneración de responsabilidad de las personas jurídicas en la posible comisión de estos delitos, es la creación de modelos de organización y gestión, que cumplan los siguientes requisitos:

  •  Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.
  • Establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos.
  • Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.
  • Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.
  • Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.
  • Realizarán una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios.

La tarea de las empresas es el diseño de modelos o sistemas de organización, que por un lado, permitan el cumplimiento legal y por otro sean la base para la prevención de delitos informáticos, creando una cultura empresarial de buenas prácticas a nivel informático, salvaguarda de la seguridad de la información, datos y modelo de negocio.

Share: