Los ataques a sistemas de información bajo el enfoque penal de la UE. El caso español

Ángel Vallejo, Socio del área procesal. MAIO LEGAL.

 

La doctrina al uso maneja varias definiciones de la ciberdelincuencia, atendiendo, en unos casos, a los medios utilizados para perpetrar los crímenes y, en otros, al objeto que sufre los daños derivados del delito.
Con carácter general podemos hablar del conjunto de actividades delictivas realizadas por medio de redes de comunicación y sistemas de información electrónicos o bien realizados contra dichas redes o sistemas.

Nos centraremos en la segunda de estas referencias para revisar el actual tratamiento penal de los ataques a los sistemas de información.
Hace ya casi diez años el Consejo de Europa emitió la Decisión Marco 2005/222/JAI (DM), con el fin de cubrir ciertas infracciones penales relativas a tales ataques, esencialmente la piratería, la propagación de virus y los ataques por denegación de servicio. Se trataba de un texto acertado y que, en aquel momento, diagnosticó con eficacia ciertos problemas existentes y previó otros que estaban por llegar.

Sabemos, no obstante, que si diez años pueden ser un período importante en materias legales de orden civil o mercantil, un decenio, en el área de la tecnología de las comunicaciones y los sistemas, es una eternidad. Siendo simplistas, basta acudir a la ley de Moore (cuyo acta de defunción vienen anunciando consecutivamente, y sin éxito, ciertos gurús) para concluir que, solo en términos de potencia de procesamiento, los sistemas digitales han multiplicado, cuando menos, por veinte su capacidad desde que se aprobara la DM.

Hoy, en 2014, la cantidad y cualidad de peligros que en el ciberespacio acechan el libre comercio, la privacidad y la comunicación humana supera con creces lo que el legislador europeo previó, incluso con diligencia.
Fruto de la continuada investigación técnica y legal, y de la constatación empírica de la certeza y permanencia de algunos de estos peligros, nació la Directiva 2013/40 UE del Parlamento y Consejo Europeos (Directiva), que viene a sustituir a la citada DM de 2005.

Siendo éste un texto comprensivo de un buen análisis jurídico (lo estrictamente técnico no tiene cabida detallada, como es lógico), destacaremos hoy algunas cuestiones relevantes de la Directiva que nos pueden ser de utilidad.

Para empezar, atendamos a la definición de sistema de información contenida en su artículo 2, identificándolo como “todo aparato o grupo de aparatos interconectados o relacionados entre sí, uno o varios de los cuales realizan, mediante un programa, el tratamiento automático de los datos informáticos, así como los datos informáticos almacenados, tratados, recuperados o transmitidos por dicho aparato o grupo de aparatos para su funcionamiento, utilización, protección y mantenimiento”.

Para continuar, observamos la reiteración de la capital importancia de los sistemas de información como base y vehículo de la interacción social, política y económica en el seno de la Unión.

Y para terminar, aun sin ánimo exhaustivo, tenemos la constatación continua de la tendencia hacia ataques a mayor escala, cada vez más graves y recurrentes, contra tales sistemas, tanto públicos como privados, ataques que necesariamente deben tener respuesta, preventiva primero y sancionadora después.

La Unión urge a los estados a tratar estas materias con carácter prioritario definiendo normas mínimas sobre conductas que, constituyendo técnicamente un ataque a los sistemas de información, se consideren constitutivas de infracción penal, y estableciendo con claridad las sanciones penales pertinentes.

Para ver si el sistema penal español está en línea con lo que la Directiva nos requiere, observemos que nuestro Código Penal (CP) fue modificado en 2010, de conformidad con la anterior DM, específicamente en lo tocante a los artículos 197 y 264.

El artículo 197 recoge ahora como novedad sus apartados 3 y 8, que criminalizan el acceso no autorizado a datos o programas informáticos contenidos en un sistema informático o en parte del mismo, y también la permanencia en tal sistema contra la voluntad de quien legítimamente puede excluirlo del mismo.

Aparece también la responsabilidad penal de las personas jurídicas en este preciso delito, si bien la comisión en el seno de una organización criminal (cuestión distinta y a veces confundida) conlleva una agravación de la pena a imponer. Esto es de la máxima relevancia, habida cuenta de la constatación de existencia de auténticas brigadas criminales cuyo campo de actuación es únicamente el ciberespacio.

El artículo 264 del vigente CP, por su parte, regula tanto el delito de daños informáticos como el más específico de sabotaje informático, quedando este último configurado como el conjunto de acciones tendentes a la destrucción o inutilización del soporte lógico de un ordenador, a fin de impedir el acceso o procesado de la información en él almacenada. Es muy importante comprobar que la intromisión ilegal en sistemas de información (con sus múltiples variantes de obstaculizar su funcionamiento o impedirlo introduciendo datos informáticos o borrándolos, alterándolos o haciéndolos inaccesibles, entre otras cosas) ahora sí está criminalizada, cuando el texto anteriormente vigente no tipificaba esta conducta.

Nuestro actual sistema penal recoge, pues, parte de las consideraciones que la DM hizo en su momento y habrá que cuidar de que el proyecto de modificación del CP recoja las directrices de la novísima Directiva. No está de más recordar que cualquier modificación del CP conlleva necesariamente un proceso normativo de Ley Orgánica, lo que explica en parte que la Directiva aún no haya tenido reflejo en nuestro derecho positivo.

La redacción actual del proyecto contiene, por un lado, algunas consecuencias directas de la Directiva, aunque por otro deja fuera varias de las referencias de la norma europea.

En este sentido, el proyecto sí prevé la criminalización (artículo 197.4) de la divulgación de imágenes o grabaciones íntimas de una persona que hubiera consentido en su obtención, pero no en su divulgación. A todos nos vienen a la mente los comportamientos en el seno de relaciones de intimidad en los que una de las partes hace públicas (a través de YOUTUBE o redes sociales, por ejemplo) imágenes estáticas, video y/o audio elaborados con el consentimiento de ambas partes pero divulgadas sin el consentimiento específico de publicación, distribución y/o divulgación de una de ellas.

Es esta una materia a la que otros países occidentales han dado una especial relevancia y seguimiento. En concreto, los EEUU cuentan ya con dos estados (California y New Jersey) en los que la llamada revenge-porn adquiere categoría de delito y se persigue activamente.

La preocupación por este tipo de comportamientos se ha extendido de la misma forma viral que los propios contenidos de divulgación no autorizada, y en los EEUU ha conseguido pasar por encima de las reservas que la American Civil Liberties Union formuló en su momento ante el proyecto criminalizador, reservas basadas principalmente en que esa restricción divulgativa contravenía la libertad de expresión prescrita por la primera enmienda de la Bill of Rights.

En nuestro país hay una regulación ad hoc en proyecto y no parece que el contenido de la misma vaya a confrontar las mismas prevenciones relativas a derechos civiles que se originaron en los EEUU.

Volviendo a España, sin embargo, con la actual redacción del proyecto, se echa en falta una regulación penal más detallada de los ataques a infraestructuras críticas según se recogen en el artículo 9 de la Directiva, de los ciberataques a escala masiva cuando causen daños graves y de la usurpación de identidad cuando ésta se cometa usando un sistema de información como vehículo.

En resumen, el legislador español parece ir por un buen camino a la hora de adaptar la normativa criminal a las exigencias europeas relativas a los ataques a los sistemas de información, pero es importante que no deje lagunas en algunos supuestos que, desde ya, se perciben como merecedores de una especial vigilancia normativa.