UN ACERCAMIENTO A LA MODERNIDAD EN EL CÓDIGO PENAL Y UNA ARMONIZACIÓN EUROPEA
El desarrollo de las nuevas tecnologías ha conllevado un cambio notorio en las relaciones interpersonales, ya que ahora lo son tras una pantalla. Lo que antes era una noticia en un periódico en papel, ahora lo es en un periódico digital. Lo que antes era un anuncio o publicidad en un póster en la carretera, o en el buzón, ahora lo es en forma de publicidad display. Lo que antes era la compra de un producto en un pequeño negocio físico, hoy lo es a través del famoso e- commerce. Con todo lo que esto implica, se han desarrollado nuevas formas de proliferación en los derechos individuales y colectivos, con tal rapidez, que el legislador ha tenido que dar una respuesta de manera urgente y digamos que algo improvisada mediante el Derecho Penal, siguiendo los pasos de diferentes directivas y decisiones marco dictadas por la Unión Europea. Así mismo, la informática ha ido cobrando cada vez más importancia, teniendo que actuar el derecho en una nueva rama totalmente novedosa; el derecho a la informática, dotando nuestro sistema de nuevas instituciones y normativas adaptadas a la informática. Ya en 2010 se reguló el delito de daños informáticos de una manera muchísimo más leve de la que se reguló en la reforma del CP de 2015. El motivo de la dureza en la tipicidad de este delito regulado en el artículo 264 del CP, tiene sus argumentaciones fundadas por dos esenciales motivos: El uso de la informática como fuente de abusos y la facilidad de comisión de delitos por el anonimato en el que se pueden escudar los Ciberdelincuentes. En este artículo, voy a tratar de dar un breve análisis del artículo 264 de CP, analizando sus elementos y sus particularidades de forma totalmente detallada, haciendo un análisis de la Normativa nacional y europea.
BIENJURÍDICO PROTEGIDO Este delito se incluye dentro del Título XIII del Libro II del CP, titulado << De los delitos contra el patrimonio y el orden socioeconómico>>. Son muchos los autores que abogan por la implantación de un nuevo bien jurídico informático, que, desde mi punto de vista, se tendrá que implementar tarde o temprano, ya que aquí encuadramos el delito contra daños informáticos como un delito que tenga un resultado patrimonial o económico, siendo esto algo polémico y disuasorio, ya que no tiene que suponer un perjuicio económico un borrado o un bloqueo de datos y su posterior rescate (Ransomware); como el famoso caso de Wannacry. 1. TIPO BÁSICO El artículo 264 establece que: ‘’1. El que, por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a tres años.’’
Su redacción tiene origen en la directiva 2013/40/UE del parlamento europeo y del consejo, de 12 de agosto de 2013, relativa a los ataques contra los sistemas de información (en adelante, DAI), donde se exige a todos los países de la Unión Europea en su artículo 5,que se castigue mediante la ley penal este tipo de conductas dando al injusto una serie de elementos objetivos y subjetivos que contemplaremos a continuación, pero dejando una puerta abierta a todos los ordenamientos jurídicos década Estado miembro la posibilidad de endurecer aún más las penas y conductas, teniendo esta directiva como una base limitadora.
1.1 TIPO OBJETIVO Este tipo de delitos castiga una multitud de conductas posiblemente realizadas por cualquier tipo de persona, desde el ‘’hacker’’ o informático que comúnmente conocemos, o de cualquier persona que cuenten con un poco de conocimiento y un ordenador o cualquier otro dispositivo telemático, como un móvil. Por lo tanto, nos encontramos ante un artículo que castigará todas las conductas que generen un resultado patrimonial o económico, siendo esto un mero delito de resultado lesivo. Los requisitos básicos para la comisión del delito son: - Realización del daño, borrado, deterioro, alteración, supresión o inaccesibilidad de datos, programas o documentos informáticos ajenos SIN AUTORIZACIÓN. - Que se dé un RESULTADO GRAVE. La delimitación de los elementos objetivos en tan amplia, que tendremos que complementar con la directiva europea, ya que surgirán preguntas que no nos resolverá nuestra Ley Nacional. Sirvan como ejemplo: ¿Quién tiene la potestad de dar autorización? O, ¿Qué entendemos por causar un resultado grave? Para ello la DAI establece que el encargado de autorizar será el propietario de los datos informáticos (no del sistema físico) u otro titular del derecho sobre el sistema o parte de éste, o por el mismo derecho nacional. En cuanto al daño grave, la Ley da algo más de protagonismo a los tribunales, que serán los que tendrán que delimitar y cuantificar dichas conductas para que se considere grave; aunque debido a la novedad de este delito, contamos con pocas sentencias que puedan aclarar esta premisa.
1.2 TIPO SUBJETIVO
El artículo 264 castiga las acciones realizadas de FORMA DOLOSA, que uniéndolo al carácter de delito de resultado-lesión, deja un tupido velo para que se pueda castigar las conductas en grado de tentativa. La DAI establece que todos los estados de la UE castiguen las conductas ‘’intencionadas’. La legislación española da un paso hacia delante y decide completar esta conducta, ampliando el elemento subjetivo de la IMPRUDENCIA GRAVE, con el Artículo 267 del CP (estableciendo una pena de multa para las acciones cometidas de manera imprudente, poniendo el límite en una cuantía superior a 80.000 euros).
2. TIPO CUALIFICADO Además del tipo básico, que como hemos podido comprobar, tiene una tipificación muy amplia; el apartado 2 del mismo delito castiga todos los tipos cualificados posibles, adelantándose una vez más la ley Nacional a la DAI dando una respuesta algo más dura en cuanto a los años de condena del reo. El apartado dos establece que: ‘’Se impondrá una pena de prisión de dos a cinco años y multa del tanto al décuplo del perjuicio ocasionado, cuando en las conductas descritas concurra alguna de las siguientes circunstancias:
1. Se hubiese cometido en el marcode una organización criminal. Este precepto surge a raíz de la aparición de grupos informáticos, negocios ilegales de piratas informáticos con una gran cualificación y conocimiento en este ámbito, que se dedicaba a la prestación de servicios a terceros para llevarle a cabo estas actividadesa cambio de una contraprestación económica, siendo muy difícil su investigación debido a las medidas de seguridad adoptadas: como por ejemplo, el uso de VPN, o cualquier otra circunstancia que un particular ignoraría, castigándose hasta con 5 años de prisión. La DAI se vio obligada a castigar en su texto este tipo de conductas agravadas, que nuestra legislación incluye.
2. Haya ocasionado daños de especial gravedad o afectado a un número elevado de sistemas informáticos. Aquí se castiga, por una parte, que ocasione especial gravedad; por lo que podríamos entender por gravedad que supere una cantidad de 50.000 euros, ya que es la gravedad que se cuantifica para otros delitos de la misma naturaleza Por otra parte que afecte a un número elevado de sistemas informáticos, elevando la cuantía de la pena privativa hasta 5 años de prisión, endureciendo la pena que se fija en la DAI con 3 años de prisión. 3. El hecho hubiera perjudicado gravemente el funcionamiento de servicios públicos esenciales o la provisión de bienes de primera necesidad. En este caso, el legislador impone una seguridad ciudadana en caso de ataques a sistemas informáticos de instituciones públicas. En Sanidad, por ejemplo, en los tiempos de pandemia; los intentos de ataques informáticos han sido el pan de cada día. Afortunadamente ninguno se llegó a cometer con éxito. No obstante, se castiga incluso la tentativa, aunque sea un ataque frustrado, pues un ataque en estos tiempos hubiera sido mucho más invasivo que en otros tiempos u otras circunstancias. 4. Los hechos hayan afectado al sistema informático de una infraestructura crítica o se hubiera creado una situación de peligro grave para la seguridad del Estado, de la Unión Europea o de un Estado Miembro de la Unión Europea. A estos efectos se considerará infraestructura crítica un elemento, sistema o parte de este que sea esencial para el mantenimiento de funciones vitales de la sociedad, la salud, la seguridad, la protección y el bienestar económico y social de la población cuya perturbación o destrucción tendría un impacto significativo al no poder mantener sus funciones. En este caso, la DAI, al igual que nuestra legislación nacional, consideran que un ataque a algunas de las infraestructuras críticas tendría una repercusión transfronteriza.
Para ellos, el Ministerio de Interior creó un catálogo nacional con todas las
infraestructuras críticas de nuestro país y así tener un conocimiento y unas directrices sobre en qué situaciones se aplicaría este tipo cualificado del delito.
5. El delito se haya cometido utilizando alguno de los medios a que se refiere el artículo 264 ter.’’
Este apartado hace referencia al artículo 9.3 de la DAI obligando a castigar los delitos de daños informáticos cometidos con programas adaptados para cometer este tipo de delitos.
Como conclusión, nuestro código penal endurece aún más la cuantía de pena que la DAI establece en un principio, castigando con dureza este tipo de delitos. Sin embargo, la DAI no es más que un camino por el que todos los estados miembros deberán comenzar su andadura en su regulación interna, aclarando los elementos básicos del delito,y dando un protagonismo mucho mayor a la labor interpretativa de
los tribunales.
Además, se puede apreciar un auge de los delitos informáticos en el CP en estos últimos años, pues la era digital avanza ininterrumpidamente y la ley no puede dejar de adaptarse a un continuo cambio, lo que hará, desde mi punto de vista, que se tengan que plantear la posibilidad de ampliar la protección penal a otros bienes jurídicos protegidos.
Comentarios