Reforma del Código penal: Personas jurídicas y hackers entre los damnificados

Otra extensa reforma del Código Penal se cierne sobre todos nosotros, el gobierno de José Luis Rodríguez Zapatero ha remitido al Congreso de los Diputados un proyecto de reforma del Código Penal (CP), en el que se introducirá, como es habitual, nuevas figuras delictivas (sobre todo las informáticas), y trae como gran novedad la responsabilidad penal para las personas jurídicas, hasta ahora sólo civilmente responsables, pasarán a ser partícipes de los delitos (y tendrán, como no podía ser de otra forma, sus propios atenuantes y demás). Así pues, se eliminará el artículo 31.2 para introducir un larguísimo artículo 31.bis que regulará la Responsabilidad de las Personas Jurídicas (sean asociaciones, sociedades de todo tipo y fundaciones).

Sobre la Responsabilidad Penal de las Personas Jurídicas

Sé que últimamente se habla mucho de la posibilidad de la responsabilidad penal de las personas jurídicas, sobre todo por una cuestión práctica (la que llevó a países como Gran Bretaña o Estados Unidos a aceptar esta responsabilidad de las personas jurídicas, y desde hace relativamente poco fue asumido por países de tradición continental como son Holanda, Portugal o Francia), pero la doctrina española (la mayoría de la misma, siempre hay voces en otro sentido) defendía (y defiende) la responsabilidad individual , esto es, referida al individuo. Así pues, la doctrina mayoritaria habla de la incapacidad de culpabilidad de las personas jurídicas y la responsable no sería la persona jurídica, sino la persona física que maneja esa persona jurídica, aunque luego la persona jurídica tuviera que pagar los trastos rotos como responsable solidario del pago de la multa y/o indemnización (en ese sentido va el pronto derogado artículo 31.2 de la Ley Orgánica 10/1995, el Código Penal), así como se puede imponer una serie de medidas (disolver la sociedad, intervenirla, prohibirle realizar actividades en el futuro o suspender las mismas, etc., todo regulado en el artículo 129 del CP, siendo penas accesorias).

Cierto es también que esta no responsabilidad de las personas jurídicas podría dar ciertos problemas en los delitos especiales propios en que esas condiciones personales (que hacen que el delito sea especial propio) sólo concurren en la persona jurídica y no en los que actúan usando dicha persona, donde la no responsabilidad de las personas jurídicas significa la impunidad de los auténticos responsables del delito y no sería correcto trasladar la responsabilidad a los administradores o similares de la Persona Jurídica. Así pues, en España se siguió lo hecho en Alemania y en el artículo 31 del presente código penal se regula la figura de "actuar por otro" (introducido en el 83).

Ahora bien, con la reforma que propone el gobierno, se da, literalmente, responsabilidad penal a las personas jurídicas. Así pues, el artículo único punto segundo introduce el artículo 31.bis en el Código Penal en el que se dice (en su punto primero):

«En los supuestos previstos en este Código, las personas jurídicas serán penalmente responsables de los delitos cometidos, por cuenta o en provecho de las mismas, por las personas físicas que tengan en ellas un poder de dirección fundado en la atribución de su representación o en su autoridad, bien para tomar decisiones en su nombre, bien para controlar el funcionamiento de la sociedad.

En los mismos supuestos, las personas jurídicas serán también penalmente responsables de los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en provecho de las mismas, por quienes, estando sometidos a la autoridad de las personas físicas mencionadas en el párrafo anterior, han podido realizar los hechos por no haberse ejercido sobre ellos el debido control.»

A falta de profundizar más sobre toda la reforma (el total de la misma, que aún no la termino de leer siquiera, pero me llamó la atención esta introducción de responsabilidad penal) y de leer los comentarios de la doctrina (a ver si me paso por la biblioteca y tiro de las revistas a ver qué se movió en los últimos meses -de discusión previa- y ver qué se mueve ahora, por curiosidad, claro), acá dejo este extremo de la reforma, no sin antes recordar que sólo existirá responsabilidad por parte de una persona jurídica cuando el código indique que el responsable puede ser una de estas personas (así pues, el nuevo artículo 310.bis menciona la responsabilidad penal de las personas físicas expresamente).

Esta responsabilidad penal de las personas jurídicas no ha preocupado mucho a los internautas, ni tiene por qué realmente, los mismos se se han fijado más en la introducción (en la exposición de motivos) de la palabra hacker y de la criminalización de ciertas conductas. Así que pasemos a ver este nuevo tipo penal.

Los Hackers en el Código Penal

Ante todo, es incorrecto decir que la palabra "hacker" entrará en el código penal, entre otras cosas porque sólo figura en la exposición de motivos del proyecto de reforma, por tanto, dicha palabra NO entrará en el Código Penal. El párrafo en donde se menciona (en la página 7) dice así (lo pongo porque sé que muchos pondrán el grito en el cielo y no sabrán qué dice la exposición de motivos:

«Esa preocupante laguna, que pueden aprovechar los llamados hackers ha aconsejado, cumpliendo con obligaciones específicas sobre la materia plasmadas en la Decisión Marco 2005/222/JAI de 24 de febrero de 2005 relativa a los ataques contra los sistemas de información, incorporar al artículo 197 del Código Penal un nuevo apartado que castiga a quien por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, accediera sin autorización a datos o programas informáticos contenidos en un sistema informático. La realidad de que los actos de invasión en la privacidad en todas sus manifestaciones no son siempre llevadas a cabo por individuos aislados ha determinado la incorporación de una cualificación punitiva para todas las acciones descritas en el artículo 197 en el caso de que se cometan en el marco de organizaciones criminales.» (El resaltado es mío).

Lo sé, la palabra más correcta sería cracker, pero ya que se describe la clase de hacker que buscan (los hacker malos o cracker), así que no veo problema alguno (siquiera terminológico) en el empleo de "hacker" en el sentido señalado (entre otras cosas, porque, lamentablemente, es de uso normal dicha acepción para hacker). Además, como bien señala la gente del Bufet Almeida, lo importante no es el término que se use para hablar sobre las personas que realicen el tipo penal nuevo, "Lo importante es el fondo: la conveniencia o no de la criminalización definitiva de todo tipo de acceso, con independencia de su objetivo", pero a fin de cuentas, en sitios como Barrapunto (donde tratan la noticia) abundan los comentarios sobre la terminología. Y ese no debe ser el debate.

La reforma hace un quilombo un tanto extraño para introducir un nuevo apartado 3 en el artículo 197 se procede a desplazar a los siguientes apartados (así pues, los actuales 3, 4, 5 y 6 pasan a ser 4, 5, 6, 7). Estamos en el Capítulo I (del descubrimiento y revelación de secretos) del Título X (delitos contra la intimidad, el derecho a la propia imagen y la inviolabilidad del domicilio) del libro II del Código Penal.

El apartado que traerá cola entre los internautas reza:

«El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, accediera sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo, será castigado con pena de prisión de seis meses a dos años.»

En otras palabras, la típica actividad hacker/cracker (que cada quien use el término que quiera) y se pena el simple acceso sin autorización. Esto tal vez sea lo peor, no se habla de la gravedad que deba tener el acceso, o el uso deseado de esos datos o programas a los que se accede, simplemente el hecho de acceder sin autorización (rompiendo la seguridad) constituirá delito, al menos si nos ceñimos a la literalidad de la ley.

En este sentido informático (y sigo el vistazo realizado por la gente del Bufet Almeida sobre los delitos informáticos o "de hacker"), además, nos encontramos con una reelaboración del 264 del Código Penal que quedará redactado de esta forma (en sus primeros dos puntos):

«El que sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese, o hiciese inaccesibles datos o programas informáticos ajenos, será castigado, en consideración a la gravedad del hecho, con la pena de prisión de seis meses a dos años.

El que sin estar autorizado y de manera grave obstaculizara o interrumpiera el funcionamiento de un sistema de información ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, será castigado, atendiendo a la gravedad del hecho, con la pena de prisión de seis meses a tres años.»

Así pues, tanto las intrusiones físicas como por red para causar todos esos daños quedan castigados (tal vez con excesiva dureza), el que mande virus o troyanos a sabiendas a otra persona incurrirá en este tipo penal sin lugar a dudas, también el envío de xploits y similares (el tan habitual hackeo de cuentas de hotmail -correo electrónico en general- será, claramente, un delito, según lo que haga, por este tipo penal o por el apartado 3 del 197, aunque, bueno, realmente ya lo era, interrupción de comunicaciones y todo eso).

Algunas consideraciones finales

El legislador (en este caso, el gobierno al redactar el proyecto) escucha cohetes y no sabe ni quién es el enemigo ni cómo combatirlo, y se lía a poner penas sin siquiera mencionar en qué casos la conducta sería delito y en cuales falta, o cuando no sería nada. Los hackers (crackers realmente) le preocupan, y no ven con buenos ojos que nadie se meta en la computadora de otra persona.

¿Y saben qué? En ese extremo les doy toda la razón del mundo, nadie debe entrar a la computadora de nadie si no tiene autorización. Pero el gobierno se equivoca en la forma en que combate las intrusiones negativas (y acá es donde debemos matizar). No estoy diciendo que esa intrusión deba ser delito, no "por sí misma", me voy a explicar un poco: no es lo mismo entrar para, por ejemplo, robar datos o crackear una página web que entrar y mandar un correo al administrador del sistema avisándole de una vulnerabilidad, en un caso estaríamos ante un hecho un poco molesto (pero que, a fin de cuentas, hay que agradecer) y en el segundo ante un delito que debe ser combatido por el Estado de Derecho sin lugar a dudas. Pero la reforma penaliza ambos casos por igual, ya que el delito es el hecho de acceder, no lo que se haga con los datos, programas, o lo que toque (y ya será el juez quien tenga que valorar la situación al imponer la pena en concreto), y justo es ahí donde la reforma yerra.

El gobierno, parece, quiere penalizar a los crackers, pero en el camino se carga a los hackers. Y con muy poco tino penaliza a las herramientas en vez de a quien las usa (véase en este sentido "Las Herramientas prohibidas" de Carlos Sánchez Almeida), o mejor, sin distinguir a quién las usa y para qué. El Derecho Penal normalmente tiene muy en cuenta el elemento subjetivo de cualquier acción para considerarla delito, sobre todo en los delitos que no son contra la integridad de las personas (y aún ahí hay muchos matices), pero el legislador, en los últimos años, se ha olvidado de ese punto del derecho penal y se obsesiona en realizar reformas objetivistas, donde la mera actividad, la mera tenencia, es un delito en sí mismo. Un error. Un desperdicio de reforma. Esperemos que en el Congreso (y luego en el Senado) corrijan un poco el actual proyecto.

5 Comments

  1. Bueno, yo expuse en un foro una cuestión, falta en la ley describir algo que creo que podria darse.

    Yo podria tener un troyano echo por mi simplemente porque me gusta investigar, llega un dia un craker entra en mi equipo sin autorización y yo que tengo el troyano debidamente preparado para mis pruebas de equipos para la investigación de vulnerabilidades en mi propio sistema, no hago nada pero el hacker descarga y ejecuta mi archivo infectado por un troyano y consigo sus datos de acceso, seria delito mio, suyo de ambos, sus datos se obtienen de manera accidental aunque me sirvan para denunciarlo, pero no quedaria claro porque yo no realice ninguna acción anomala si no que fue él el que me hackeó y descargó un archivo sin mi permiso y por tanto la infección es bajo su responsabilidad, si dicha persona se conecta a mi equipo a traves de un equipo zombie yo no obtendria datos del equipo zombie porque es una pasarela es decir el canal de comunicación, es entre el craker y mi equipo aunque pase por otros equipos, estos no quedarian nunca infectados, porque es una descarga de un archivo.

    ¿La ley también considera esto delito?

    Un saludo

  2. Jomra

    Saludos

    Sin intencionalidad jamás hay delito.

    A todo esto ¡¡Qué cracker más lammer!! Vulnerar la seguridad de un equipo ajeno para acabar contaminado es, cuanto menos, patético.

    Por otra parte, la obtención de los datos no es consentida, así que tendría que desecharlos lo antes posible… Y avisar al cacho lamer infectado que borre el troyano que se descargó.

    En fin, debió proteger mejor el troyano y que no se lo robaran tan fácilmente…

    Hasta Luego ;)

  3. Igual toda ley informática creo que está lejos de ser completa, hay demasiadas posibilidades. Igual siempre hay argumentos en contra y a favor, como lo que es «intención» y esas cosas.

    Saludos!

  4. Jomra

    Saludos

    El Derecho Penal, por definición y necesidad, es «incompleto», o mejor, «muy pequeño», es la idea. No toda intrusión ni todo daño debe ser perseguido penalmente, hay multitud de vías, y siempre se puede recurrir al daño civil como tal (generando una obligación extracontractual) o a leyes específicas sobre tratamiento de datos.

    Es un error pensar que el «derecho informático» está «incompleto» si se ve sólo regulaciones de situaciones específicas y se piensa en «otros casos», ya que para eso está todo el cuerpo jurídico. No hay reales lagunas, sólo falta de aplicación del Derecho.

    Hasta Luego ;)

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.