Tema 3. Legislación para el cumplimiento de la responsabilidad penal PDF
Document Details
Uploaded by ProtectiveThallium
UNIR
Tags
Summary
This document discusses legislation related to criminal responsibility in the digital age, specifically focusing on the Budapest Convention on Cybercrime. It explores the impact of internet technology, including the growth in the sharing of information, and highlights the need for updated international laws to deal with cybercrimes. The document explores new legal frameworks and challenges posed by the digital environment.
Full Transcript
Tema 3. Legislación para el cumplimiento de la responsabilidad penal 3.2. El Convenio de Budapest sobre la Ciberdelincuencia «1. La revolución de las tecnologías de la información ha modificado radical...
Tema 3. Legislación para el cumplimiento de la responsabilidad penal 3.2. El Convenio de Budapest sobre la Ciberdelincuencia «1. La revolución de las tecnologías de la información ha modificado radicalmente a la sociedad y probablemente seguirá haciéndolo en un futuro cercano. Muchas tareas son más fáciles de realizar. Si bien en un principio sólo algunos sectores específicos de la sociedad habían racionalizado sus procedimientos de trabajo con la ayuda de la tecnología de la información, en la actualidad se ven afectados casi todos los sectores de la sociedad. La tecnología de la información, de un modo o de otro, ha invadido casi todos los aspectos de las actividades humanas. »2. Una característica notable de la tecnología de la información es el impacto que ha tenido, y que tendrá, en la evolución de la tecnología de las telecomunicaciones. La telefonía clásica, que supone la transmisión de la voz humana, se ha visto superada por el intercambio de grandes cantidades de datos, que incluyen voz, texto, música e imágenes estáticas y en movimiento. Este intercambio ya no ocurre sólo entre los seres humanos, sino también entre los seres humanos y los ordenadores, y entre los mismos ordenadores. Las redes de conmutación de circuitos han sido reemplazadas por redes de conmutación de paquetes. Ya no es relevante si se puede establecer o no una conexión directa; basta con ingresar los datos en una red con una dirección de destino o ponerlos a disposición de cualquiera que quiera acceder a los mismos. »3. El uso generalizado del correo electrónico y del acceso por Internet a numerosos sitios web son ejemplos de esta evolución. Nuestra sociedad ha sufrido cambios profundos. »4. La facilidad para buscar y acceder a la información contenida en los sistemas informáticos, unida a las posibilidades casi ilimitadas para su intercambio y difusión, sin tener en cuenta las distancias geográficas, ha conducido a un crecimiento explosivo en la cantidad de información disponible y de los conocimientos que se pueden extraer de la misma. »5. Estos acontecimientos han dado lugar a cambios económicos y sociales sin precedentes, pero también tienen un lado oscuro: el surgimiento de nuevos tipos de delitos, así como también la comisión de delitos tradicionales mediante el uso de las nuevas tecnologías. Por otra parte, las consecuencias del comportamiento delictivo pueden tener mayor alcance que antes, porque no están restringidas por los límites geográficos o las fronteras nacionales. La reciente propagación de virus informáticos Programa Profesional en Ciberseguridad 76 Tema 3. Legislación para el cumplimiento de la responsabilidad penal © Universidad Internacional de La Rioja (UNIR) Tema 3. Legislación para el cumplimiento de la responsabilidad penal nocivos por todo el mundo es un buen ejemplo de esta realidad. Es necesario aplicar medidas técnicas con el fin de proteger los sistemas informáticos, al mismo tiempo que se adoptan medidas jurídicas destinadas a prevenir e impedir los comportamientos delictivos. »6. Las nuevas tecnologías constituyen un desafío para los conceptos jurídicos existentes. La información y la comunicación fluyen con mayor facilidad por todo el mundo. Las fronteras han dejado de ser barreras para ese flujo. Los delincuentes se encuentran cada vez menos en los lugares en que se hacen sentir los efectos de sus actos. Sin embargo, la legislación nacional está confinada generalmente a un territorio específico. Es por ello que las soluciones a los problemas planteados deben ser abordadas por el derecho internacional, lo que requiere la adopción de instrumentos jurídicos internacionales adecuados. El Convenio de Budapest sobre la Ciberdelincuencia tiene por objeto hacer frente a este desafío, con el debido respeto de los derechos humanos en la nueva Sociedad de la Información» (Consejo de Europa, 2023). El Convenio de Budapest sobre la Ciberdelincuencia fue aprobado por el Comité de Ministros del Consejo de Europa en su 109ª reunión (8 de noviembre de 2001) y el Convenio fue abierto a la firma en Budapest, el 23 de noviembre de 2001, con motivo de la celebración de la Conferencia Internacional sobre la ciberdelincuencia. «9. Por consiguiente, el derecho penal debe mantenerse al corriente de estos desarrollos tecnológicos que ofrecen oportunidades muy sofisticadas para hacer un mal uso de las facilidades del ciberespacio y perjudicar intereses legítimos. Dada la naturaleza transfronteriza de las redes de información, es necesario un esfuerzo internacional concertado para hacer frente a ese uso impropio. Únicamente un instrumento internacional de carácter vinculante puede asegurar la eficacia necesaria en la lucha contra estos nuevos fenómenos. En el marco de dicho instrumento, además de las medidas de cooperación internacional, se deberían abordar las cuestiones de derecho sustantivo y procesal, así como cuestiones que están estrechamente relacionadas con el uso de la tecnología de la información» (Consejo de Europa, 2023). Programa Profesional en Ciberseguridad 77 Tema 3. Legislación para el cumplimiento de la responsabilidad penal © Universidad Internacional de La Rioja (UNIR) Tema 3. Legislación para el cumplimiento de la responsabilidad penal La redacción del Convenio de Budapest tenía los siguientes objetivos: «i. Examinar, a la luz de las Recomendaciones núm. R (89) 9 sobre la delincuencia relacionada con la informática, y núm. R (95) 13, relativa a las cuestiones de procedimiento penal vinculadas a la tecnología de la información, en particular los siguientes temas: »ii. Los delitos cometidos en el ciberespacio, en particular los cometidos mediante el uso de las redes de telecomunicaciones, por ej., Internet, tales como las transacciones ilegales de fondos, las ofertas de servicios ilegales, las infracciones de la propiedad intelectual, así como también los delitos que atentan contra la dignidad humana y la protección de los menores; »iii. otras cuestiones de derecho penal sustantivo donde puede ser necesario un enfoque común a los fines de lograr una cooperación internacional tales como las definiciones, las sanciones y la responsabilidad de las personas activas en el ciberespacio, incluidos los proveedores de servicios de Internet; »iv. el uso, incluida la posibilidad del uso transfronterizo y la aplicabilidad de los poderes coercitivos en un entorno tecnológico, por ej., la interceptación de telecomunicaciones y la vigilancia electrónica de las redes de información, por ej,, a través de Internet, el registro y la confiscación de datos almacenados en los sistemas de procesamiento de información (incluidos los sitios de Internet), la prohibición de acceder a material ilegal y el requerimiento de que los proveedores de servicios cumplan con obligaciones especiales, teniendo en cuenta los problemas causados por ciertas medidas de seguridad de la información como, por ej., el cifrado; »v. la cuestión de la jurisdicción en relación con los delitos relacionados con la tecnología de la información, por ej., el determinar el lugar donde se cometió un delito (locus delicti) y cuál es el derecho que corresponde aplicar, incluido el problema de ne bis in idem en el caso de múltiples jurisdicciones y la cuestión de cómo resolver los conflictos de jurisdicción positiva y la forma de evitar conflictos de jurisdicción negativa; »vi. cuestiones relativas a la cooperación internacional en la investigación de los delitos en el ciberespacio, en estrecha cooperación con el Comité de Expertos sobre el Funcionamiento de los Convenios Europeos en el Campo Penal (PC-OC)» (Consejo de Europa, 2023). Programa Profesional en Ciberseguridad 78 Tema 3. Legislación para el cumplimiento de la responsabilidad penal © Universidad Internacional de La Rioja (UNIR) Tema 3. Legislación para el cumplimiento de la responsabilidad penal Así pues, el Convenio tiene como finalidad primordial: "1) armonizar los elementos de los delitos conforme al derecho sustantivo penal de cada país y las disposiciones conexas en materia de delitos informáticos; 2) establecer conforme al derecho procesal penal de cada país los poderes necesarios para la investigación y el procesamiento de dichos delitos, así como también de otros delitos cometidos mediante el uso de un sistema informático o las pruebas conexas que se encuentren en formato electrónico, 3) establecer un régimen rápido y eficaz de cooperación internacional. »17. El Convenio tiene cuatro capítulos: 1) Terminología, 11) Medidas que deberán adoptarse a nivel nacional - el derecho penal sustantivo y el derecho procesal, (111) Cooperación internacional y (IV) Cláusulas finales. » 18. La Sección 1 del Capítulo 11 ( Derecho penal sustantivo) abarca las disposiciones relativas a los delitos y otras disposiciones conexas referentes al ámbito de los delitos informáticos o los delitos relacionados con el empleo de ordenadores. En primer lugar, define 9 delitos agrupados en 4 categorías diferentes y más tarde versa sobre las responsabilidades y sanciones conexas. El Convenio define los siguientes delitos: acceso ilícito, interceptación ilícita, ataques a la integridad de los datos, ataques a la integridad del sistema, abuso de los dispositivos, falsificación informática, fraude informático, delitos relacionados con la pornografía infantil y delitos relacionados con infracciones de la propiedad intelectual y de los derechos afines. »19. La sección 2 (Derecho procesal) del capítulo 11 -- cuyo alcance va más allá de los delitos definidos en la Sección 1, ya que se aplica a cualquier delito cometido por medio de un sistema informático o a las pruebas que se encuentren en formato electrónico -- determina en primer lugar las condiciones y salvaguardias comunes aplicables a todas las facultades procesales contenidas en ese Capítulo. A continuación, establece los siguientes poderes procesales: conservación rápida de datos informáticos almacenados; conservación y revelación parcial rápidas de los datos relativos al tráfico; la orden de presentación; el registro y la confiscación de datos informáticos almacenados; la obtención en tiempo real de datos relativos al tráfico, y la interceptación de datos relativos al contenido. La última sección del Capítulo II incluye disposiciones en materia de jurisdicción. »20. El capítulo 111 contiene las disposiciones relativas a la asistencia mutua en relación con los delitos tradicionales y con los delitos relacionados con la informática, así como también las referentes a la extradición. Da cuenta de la asistencia mutua tradicional en Programa Profesional en Ciberseguridad 79 Tema 3. Legislación para el cumplimiento de la responsabilidad penal © Universidad Internacional de La Rioja (UNIR) Tema 3. Legislación para el cumplimiento de la responsabilidad penal dos situaciones: cuando entre las partes no existen fundamentos jurídicos (tratados, leyes de reciprocidad, etc.) - en cuyo caso corresponde aplicar sus disposiciones -- y cuando existe dicha base -- en cuyo caso los acuerdos existentes también se aplican a la asistencia que se concede en virtud del presente Convenio. La asistencia específica en materia de delitos informáticos o de delitos relacionados con la informática se aplica a ambas situaciones y abarca, sujeto a condiciones adicionales, la misma serie de facultades procesales definidas en el Capítulo 11. Por otra parte, el Capítulo 111 contiene una disposición acerca de un tipo específico de acceso transfronterizo a datos informáticos almacenados, que no requiere la asistencia mutua (cuando media un consentimiento o cuando están disponibles públicamente) y prevé el establecimiento de una red que funcione las 24 horas del día los 7 días de la semana con el fin de asegurar una asistencia rápida entre las Partes. »21. Por último, el Capítulo IV contiene las disposiciones finales, las cuales -- con ciertas excepciones - recogen las disposiciones habituales de los tratados del Consejo de Europa» (Consejo de Europa, 2023). Programa Profesional en Ciberseguridad 80 Tema 3. Legislación para el cumplimiento de la responsabilidad penal © Universidad Internacional de La Rioja (UNIR) Tema 3. Legislación para el cumplimiento de la responsabilidad penal 3.3. El ciberdelito Definición de ciberdelito No existe un concepto dogmático de delito informático, cibercrimen o ciberdelito. Lo más adecuado es acudir en ayuda al Convenio Europeo sobre la Ciberdelincuencia que analizamos el epígrafe anterior. La definición doctrinal que nos parece más adecuada es la siguiente: « Toda conducta sancionada por el Código Penal que tenga vinculación con la informática, bien como medio comisivo (instrumento para el delito), bien en el objeto sobre el que recae la conducta (objeto del delito)». Clasificación de los ciberdelitos Podemos clasificar los ciberdelitos en los siguientes tres grandes grupos. ► Ciberdelincuencia económica: delitos económicos-patrimoniales vinculados a la informática. ► Ciberdelincuencia intrusiva: delitos contra la intimidad y la privacidad. ► Ciberdelincuencia y ciberterrorismo: ataques por medios informáticos contra intereses supraindividuales. Programa Profesional en Ciberseguridad 81 Tema 3. Legislación para el cumplimiento de la responsabilidad penal © Universidad Internacional de La Rioja (UNIR) Tema 3. Legislación para el cumplimiento de la responsabilidad penal 3.4. Los ciberdelitos del Código Penal de 1995 Contra la LIBERTAD Se trata de las amenazas y coacciones informáticas (arts. 169, 172, 172 ter) «Artículo 169. »El que amenazare a otro con causarle a él, a su familia o a otras personas con las que esté íntimamente vinculado un mal que constituya delitos de homicidio, lesiones, aborto, contra la libertad, torturas y contra la integridad moral, la libertad sexual, la intimidad, el honor, el patrimonio y el orden socioeconómico, será castigado: [... ] «Artículo 172. »1. El que, sin estar legítimamente autorizado, impidiere a otro con violencia hacer lo que la ley no prohíbe, o le compeliere a efectuar lo que no quiere, sea justo o injusto, será castigado con la pena de prisión de seis meses a tres años o con multa de 12 a 24 meses, según la gravedad de la coacción o de los medios empleados. »Cuando la coacción ejercida tuviera como objeto impedir el ejercicio de un derecho fundamental se le impondrán las penas en su mitad superior, salvo que el hecho tuviera señalada mayor pena en otro precepto de este Código. [...] «Artículo 172 ter. »1. Será castigado con la pena de prisión de tres meses a dos años o multa de seis a veinticuatro meses el que acose a una persona llevando a cabo de forma insistente y reiterada, y sin estar legítimamente autorizado, alguna de las conductas siguientes y, de esta forma, altere el normal desarrollo de su vida cotidiana: »1.ª La vigile, la persiga o busque su cercanía física. »2.ª Establezca o intente establecer contacto con ella a través de cualquier medio de comunicación, o por medio de terceras personas. »3.ª Mediante el uso indebido de sus datos personales, adquiera productos o mercancías, o contrate servicios, o haga que terceras personas se pongan en contacto con ella. Programa Profesional en Ciberseguridad 82 Tema 3. Legislación para el cumplimiento de la responsabilidad penal © Universidad Internacional de La Rioja (UNIR) Tema 3. Legislación para el cumplimiento de la responsabilidad penal »4.ª Atente contra su libertad o contra su patrimonio, o contra la libertad o patrimonio de otra persona próxima a ella. Cuando la víctima se halle en una situación de especial vulnerabilidad por razón de su edad, enfermedad, discapacidad o por cualquier otra circunstancia, se impondrá la pena de prisión de seis meses a dos años» (Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal). Contra la LIBERTAD E INDEMNIDAD SEXUAL Se trata de los delitos de: ► Grooming o captación de menores con fines sexuales (art. 183 ter). ► Producción, distribución o posesión de pornografía infantil por medio de sistemas informáticos (art. 189). «Artículo 183. ,,1. El que a través de internet, del teléfono o de cualquier otra tecnología de la información y la comunicación contacte con un menor de dieciséis años y proponga concertar un encuentro con el mismo a fin de cometer cualquiera de los delitos descritos en los artículos 181 y 189, siempre que tal propuesta se acompañe de actos materiales encaminados al acercamiento, será castigado con la pena de uno a tres años de prisión o multa de doce a veinticuatro meses, sin perjuicio de las penas correspondientes a los delitos en su caso cometidos. Las penas se impondrán en su mitad superior cuando el acercamiento se obtenga mediante coacción, intimidación o engaño. »2. El que, a través de interne!, del teléfono o de cualquier otra tecnología de la información y la comunicación contacte con un menor de dieciséis años y realice actos dirigidos a embaucarle para que le facilite material pornográfico o le muestre imágenes pornográficas en las que se represente o aparezca un menor, será castigado con una pena de prisión de seis meses a dos años» [...] «Artículo 189. ,,1. Será castigado con la pena de prisión de uno a cinco años: »a) El que captare o utilizare a menores de edad o a personas con discapacidad necesitadas de especial protección con fines o en espectáculos exhibicionistas o pornográficos, tanto públicos como privados, o para elaborar cualquier clase de material Programa Profesional en Ciberseguridad 83 Tema 3. Legislación para el cumplimiento de la responsabilidad penal © Universidad Internacional de La Rioja (UNIR) Tema 3. Legislación para el cumplimiento de la responsabilidad penal pornográfico, cualquiera que sea su soporte, o financiare cualquiera de estas actividades o se lucrare con ellas. »b) El que produjere, vendiere, distribuyere, exhibiere, ofreciere o facilitare la producción, venta, difusión o exhibición por cualquier medio de pornografía infantil o en cuya elaboración hayan sido utilizadas personas con discapacidad necesitadas de especial protección, o lo poseyere para estos fines, aunque el material tuviere su origen en el extranjero o fuere desconocido. »A los efectos de este Título se considera pornografía infantil o en cuya elaboración hayan sido utilizadas personas con discapacidad necesitadas de especial protección: »a) Todo material que represente de manera visual a un menor o una persona con discapacidad necesitada de especial protección participando en una conducta sexualmente explícita, real o simulada. »b) Toda representación de los órganos sexuales de un menor o persona con discapacidad necesitada de especial protección con fines principalmente sexuales. »c) Todo material que represente de forma visual a una persona que parezca ser un menor participando en una conducta sexualmente explícita, real o simulada, o cualquier representación de los órganos sexuales de una persona que parezca ser un menor, con fines principalmente sexuales, salvo que la persona que parezca ser un menor resulte tener en realidad dieciocho años o más en el momento de obtenerse las imágenes. »d) Imágenes realistas de un menor participando en una conducta sexualmente explícita o imágenes realistas de los órganos sexuales de un menor, con fines principalmente sexuales. »2. Serán castigados con la pena de prisión de cinco a nueve años los que realicen los actos previstos en el apartado 1 de este artículo cuando concurra alguna de las circunstancias siguientes: »a) Cuando se utilice a menores de dieciséis años. »b) Cuando los hechos revistan un carácter particularmente degradante o vejatorio, se emplee violencia física o sexual para la obtención del material pornográfico o se representen escenas de violencia física o sexual. »c) Cuando se utilice a personas menores de edad que se hallen en una situación de especial vulnerabilidad por razón de enfermedad, discapacidad o por cualquier otra circunstancia. Programa Profesional en Ciberseguridad 84 Tema 3. Legislación para el cumplimiento de la responsabilidad penal © Universidad Internacional de La Rioja (UNIR) Tema 3. Legislación para el cumplimiento de la responsabilidad penal »d) Cuando el culpable hubiere puesto en peligro, de forma dolosa o por imprudencia grave, la vida o salud de la víctima. »e) Cuando el material pornográfico fuera de notoria importancia. »f) Cuando el culpable perteneciere a una organización o asociación, incluso de carácter transitorio, que se dedicare a la realización de tales actividades. »g) Cuando el responsable sea ascendiente, tutor, curador, guardador, maestro o cualquier otra persona encargada, de hecho, aunque fuera provisionalmente, o de derecho, de la persona menor de edad o persona con discapacidad necesitada de especial protección, o se trate de cualquier persona que conviva con él o de otra persona que haya actuado abusando de su posición reconocida de confianza o autoridad. »h) Cuando concurra la agravante de reincidencia. »3. Si los hechos a que se refiere la letra a) del párrafo primero del apartado 1 se hubieran cometido con violencia o intimidación se impondrá la pena superior en grado a las previstas en los apartados anteriores. ,,4_ El que asistiere a sabiendas a espectáculos exhibicionistas o pornográficos en los que participen menores de edad o personas con discapacidad necesitadas de especial protección, será castigado con la pena de seis meses a dos años de prisión. »5. El que para su propio uso adquiera o posea pornografía infantil o en cuya elaboración se hubieran utilizado personas con discapacidad necesitadas de especial protección, será castigado con la pena de tres meses a un año de prisión o con multa de seis meses a dos años. »La misma pena se impondrá a quien acceda a sabiendas a pornografía infantil o en cuya elaboración se hubieran utilizado personas con discapacidad necesitadas de especial protección, por medio de las tecnologías de la información y la comunicación. »6. El que tuviere bajo su potestad, tutela, guarda o acogimiento a un menor de edad o una persona con discapacidad necesitada de especial protección y que, con conocimiento de su estado de prostitución o corrupción, no haga lo posible para impedir su continuación en tal estado, o no acuda a la autoridad competente para el mismo fin si carece de medios para la custodia del menor o persona con discapacidad necesitada de especial protección, será castigado con la pena de prisión de tres a seis meses o multa de seis a doce meses. Programa Profesional en Ciberseguridad 85 Tema 3. Legislación para el cumplimiento de la responsabilidad penal © Universidad Internacional de La Rioja (UNIR) Tema 3. Legislación para el cumplimiento de la responsabilidad penal ,,7. El Ministerio Fiscal promoverá las acciones pertinentes con objeto de privar de la patria potestad, tutela, guarda o acogimiento familiar, en su caso, a la persona que incurra en alguna de las conductas descritas en el apartado anterior. »8. Los jueces y tribunales ordenarán la adopción de las medidas necesarias para la retirada de las páginas web o aplicaciones de interne! que contengan o difundan pornografía infantil o en cuya elaboración se hubieran utilizado personas con discapacidad necesitadas de especial protección o, en su caso, para bloquear el acceso a las mismas a los usuarios de Internet que se encuentren en territorio español. »Estas medidas podrán ser acordadas con carácter cautelar a petición del Ministerio Fiscal» (Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal). Contra la INTIMIDAD Se trata de los delitos de: ► Descubrimiento y revelación de secretos (art. 197.1), intimidad y privacidad. ► Con la utilización de datos personales de la víctima (art. 197.4.b) ► Sexting (197.7), divulgación inconsentida. «Artículo 197. ,,1. El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales, intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses. (...] »4. Los hechos descritos en los apartados 1 y 2 de este artículo serán castigados con una pena de prisión de tres a cinco años cuando: »a) Se cometan por las personas encargadas o responsables de los ficheros, soportes informáticos, electrónicos o telemáticos, archivos o registros; o Programa Profesional en Ciberseguridad 86 Tema 3. Legislación para el cumplimiento de la responsabilidad penal © Universidad Internacional de La Rioja (UNIR) Tema 3. Legislación para el cumplimiento de la responsabilidad penal »b) se lleven a cabo mediante la utilización no autorizada de datos personales de la víctima. »Si los datos reservados se hubieran difundido, cedido o revelado a terceros, se impondrán las penas en su mitad superior. [... ] »7. Será castigado con una pena de prisión de tres meses a un año o multa de seis a doce meses el que, sin autorización de la persona afectada, difunda, revele o ceda a terceros imágenes o grabaciones audiovisuales de aquélla que hubiera obtenido con su anuencia en un domicilio o en cualquier otro lugar fuera del alcance de la mirada de terceros, cuando la divulgación menoscabe gravemente la intimidad personal de esa persona. »Se impondrá la pena de multa de uno a tres meses a quien habiendo recibido las imágenes o grabaciones audiovisuales a las que se refiere el párrafo anterior las difunda, revele o ceda a terceros sin el consentimiento de la persona afectada. »En los supuestos de los párrafos anteriores, la pena se impondrá en su mitad superior cuando los hechos hubieran sido cometidos por el cónyuge o por persona que esté o haya estado unida a él por análoga relación de afectividad, aun sin convivencia, la víctima fuera menor de edad o una persona con discapacidad necesitada de especial protección, o los hechos se hubieran cometido con una finalidad lucrativa» (Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal). Contra el HONOR Se trata de los delitos de injurias y calumnias informáticas (arts. 205 a 216). «Artículo 205. »Es calumnia la imputación de un delito hecha con conocimiento de su falsedad o temerario desprecio hacia la verdad. [...] «Artículo 208. »Es injuria la acción o expresión que lesionan la dignidad de otra persona, menoscabando su fama o atentando contra su propia estimación. Programa Profesional en Ciberseguridad 87 Tema 3. Legislación para el cumplimiento de la responsabilidad penal © Universidad Internacional de La Rioja (UNIR) Tema 3. Legislación para el cumplimiento de la responsabilidad penal »Solamente serán constitutivas de delito las injurias que, por su naturaleza, efectos y circunstancias, sean tenidas en el concepto público por graves [... ]» (Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal). Contra la PROPIEDAD Y EL ORDEN SOCIOECONÓMICO Se trata de los siguientes delitos: ► Robo, inutilizando sistemas de guardia criptográfica (art. 238.5) ► Utilización de "llaves" (art. 239). ► Estafa informática, fraude o falsificación (art. 248.2). ► Defraudación de telecomunicaciones informáticas (art. 255). ► Hurto de tiempo informático o uso no autorizado de terminales (art. 256). ► Interferencia ilegal en los datos (art. 264), usurpación de identidad. ► Interferencia ilegal en los sistemas de información (art. 264 bis). ► Instrumentos utilizados para cometer las infracciones (art. 264 ter). ► Contra la propiedad intelectual (art. 270.2). ► Contra la propiedad industrial (arts. 273 a 275). ► Espionaje informático de secretos de empresa (arts. 278 a 280). ► Publicidad engañosa (art. 282). ► Manipulaciones de los aparatos en perjuicio del consumidor (art. 283). ► Contra el mercado informático (art. 286). ► Blanqueo informático de capitales (art. 301) Programa Profesional en Ciberseguridad 88 Tema 3. Legislación para el cumplimiento de la responsabilidad penal © Universidad Internacional de La Rioja (UNIR) Tema 3. Legislación para el cumplimiento de la responsabilidad penal «Artículo 238. »Son reos del delito de robo con fuerza en las cosas los que ejecuten el hecho cuando concurra alguna de las circunstancias siguientes: ,,1.º Escalamiento. »2.º Rompimiento de pared, techo o suelo, o fractura de puerta o ventana. »3.º Fractura de armarios, arcas u otra clase de muebles u objetos cerrados o sellados, o forzamiento de sus cerraduras o descubrimiento de sus claves para sustraer su contenido, sea en el lugar del robo o fuera del mismo. »4.º Uso de llaves falsas. »5.º Inutilización de sistemas específicos de alarma o guarda. »Artículo 239. »Se considerarán llaves falsas: »1. Las ganzúas u otros instrumentos análogos. »2. Las llaves legítimas perdidas por el propietario u obtenidas por un medio que constituya infracción penal. »3. Cualesquiera otras que no sean las destinadas por el propietario para abrir la cerradura violentada por el reo. »A los efectos del presente artículo, se consideran llaves las tarjetas, magnéticas o perforadas, los mandos o instrumentos de apertura a distancia y cualquier otro instrumento tecnológico de eficacia similar. (...] »Artículo 248. »1. Cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno. »2. También se consideran reos de estafa: »a) Los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro. »b) Los que fabricaren, introdujeren, poseyeren o facilitaren programas informáticos Programa Profesional en Ciberseguridad 89 Tema 3. Legislación para el cumplimiento de la responsabilidad penal © Universidad Internacional de La Rioja (UNIR) Tema 3. Legislación para el cumplimiento de la responsabilidad penal »c) Los que utilizando tarjetas de crédito o débito, o cheques de viaje, o los datos obrantes en cualquiera de ellos, realicen operaciones de cualquier clase en perjuicio de su titular o de un tercero. [...] »Artículo 255. »1. Será castigado con la pena de multa de tres a doce meses el que cometiere defraudación utilizando energía eléctrica, gas, agua, telecomunicaciones u otro elemento, energía o fluido ajenos, por alguno de los medios siguientes: ,,1.º Valiéndose de mecanismos instalados para realizar la defraudación. »2.º Alterando maliciosamente las indicaciones o aparatos contadores. »3.º Empleando cualesquiera otros medios clandestinos. »2. Si la cuantía de lo defraudado no excediere de 400 euros, se impondrá una pena de multa de uno a tres meses. »Artículo 256. ,,1. El que hiciere uso de cualquier equipo terminal de telecomunicación, sin consentimiento de su titular, y causando a éste un perjuicio económico, será castigado con la pena de multa de tres a doce meses. »2. Si la cuantía del perjuicio causado no excediere de 400 euros, se impondrá una pena de multa de uno a tres meses. [...] »Artículo 264. ,,1. El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a tres años. Programa Profesional en Ciberseguridad 90 Tema 3. Legislación para el cumplimiento de la responsabilidad penal © Universidad Internacional de La Rioja (UNIR) Tema 3. Legislación para el cumplimiento de la responsabilidad penal »2. Se impondrá una pena de prisión de dos a cinco años y multa del tanto al décuplo del perjuicio ocasionado, cuando en las conductas descritas concurra alguna de las siguientes circunstancias: »1.ª Se hubiese cometido en el marco de una organización criminal. »2.ª Haya ocasionado daños de especial gravedad o afectado a un número elevado de sistemas informáticos. »3.ª El hecho hubiera perjudicado gravemente el funcionamiento de servicios públicos esenciales o la provisión de bienes de primera necesidad. »4.ª Los hechos hayan afectado al sistema informático de una infraestructura crítica o se hubiera creado una situación de peligro grave para la seguridad del Estado, de la Unión Europea o de un Estado Miembro de la Unión Europea. A estos efectos se considerará infraestructura crítica un elemento, sistema o parte de este que sea esencial para el mantenimiento de funciones vitales de la sociedad, la salud, la seguridad, la protección y el bienestar económico y social de la población cuya perturbación o destrucción tendría un impacto significativo al no poder mantener sus funciones. »5.ª El delito se haya cometido utilizando alguno de los medios a que se refiere el artículo 264 ter. »Si los hechos hubieran resultado de extrema gravedad, podrá imponerse la pena superior en grado. »3. Las penas previstas en los apartados anteriores se impondrán, en sus respectivos casos, en su mitad superior, cuando los hechos se hubieran cometido mediante la utilización ilícita de datos personales de otra persona para facilitarse el acceso al sistema informático o para ganarse la confianza de un tercero. »Artículo 264 bis. »1. Será castigado con la pena de prisión de seis meses a tres años el que, sin estar autorizado y de manera grave, obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno: »a) realizando alguna de las conductas a que se refiere el artículo anterior; »b) introduciendo o transmitiendo datos; o Programa Profesional en Ciberseguridad 91 Tema 3. Legislación para el cumplimiento de la responsabilidad penal © Universidad Internacional de La Rioja (UNIR) Tema 3. Legislación para el cumplimiento de la responsabilidad penal »c) destruyendo, dañando, inutilizando, eliminando o sustituyendo un sistema informático, telemático o de almacenamiento de información electrónica. »Si los hechos hubieran perjudicado de forma relevante la actividad normal de una empresa, negocio o de una Administración pública, se impondrá la pena en su mitad superior, pudiéndose alcanzar la pena superior en grado [... ]. »Artículo 264 ter. »Será castigado con una pena de prisión de seis meses a dos años o multa de tres a dieciocho meses el que, sin estar debidamente autorizado, produzca, adquiera para su uso, importe o, de cualquier modo, facilite a terceros, con la intención de facilitar la comisión de alguno de los delitos a que se refieren los dos artículos anteriores: »a) un programa informático, concebido o adaptado principalmente para cometer alguno de los delitos a que se refieren los dos artículos anteriores; o »b) una contraseña de ordenador, un código de acceso o datos similares que permitan acceder a la totalidad o a una parte de un sistema de información. [...] »Artículo 270. »1. Será castigado con la pena de prisión de seis meses a cuatro años y multa de doce a veinticuatro meses el que, con ánimo de obtener un beneficio económico directo o indirecto y en perjuicio de tercero, reproduzca, plagie, distribuya, comunique públicamente o de cualquier otro modo explote económicamente, en todo o en parte, una obra o prestación literaria, artística o científica, o su transformación, interpretación o ejecución artística fijada en cualquier tipo de soporte o comunicada a través de cualquier medio, sin la autorización de los titulares de los correspondientes derechos de propiedad intelectual o de sus cesionarios. »2. La misma pena se impondrá a quien, en la prestación de servicios de la sociedad de la información, con ánimo de obtener un beneficio económico directo o indirecto, y en perjuicio de tercero, facilite de modo activo y no neutral y sin limitarse a un tratamiento meramente técnico, el acceso o la localización en interne! de obras o prestaciones objeto de propiedad intelectual sin la autorización de los titulares de los correspondientes derechos o de sus cesionarios, en particular ofreciendo listados ordenados y clasificados de enlaces a las obras y contenidos referidos anteriormente, aunque dichos enlaces hubieran sido facilitados inicialmente por los destinatarios de sus servicios. Programa Profesional en Ciberseguridad 92 Tema 3. Legislación para el cumplimiento de la responsabilidad penal © Universidad Internacional de La Rioja (UNIR) Tema 3. Legislación para el cumplimiento de la responsabilidad penal »Artículo 273. »1. Será castigado con la pena de prisión de seis meses a dos años y multa de 12 a 24 meses el que, con fines industriales o comerciales, sin consentimiento del titular de una patente o modelo de utilidad y con conocimiento de su registro, fabrique, importe, posea, utilice, ofrezca o introduzca en el comercio objetos amparados por tales derechos. [... ] »Artículo 278. »1. El que, para descubrir un secreto de empresa se apoderare por cualquier medio de datos, documentos escritos o electrónicos, soportes informáticos u otros objetos que se refieran al mismo, o empleare alguno de los medios o instrumentos señalados en el apartado 1 del artículo 197, será castigado con la pena de prisión de dos a cuatro años y multa de doce a veinticuatro meses. »2. Se impondrá la pena de prisión de tres a cinco años y multa de doce a veinticuatro meses si se difundieren, revelaren o cedieren a terceros los secretos descubiertos. »3. Lo dispuesto en el presente artículo se entenderá sin perjuicio de las penas que pudieran corresponder por el apoderamiento o destrucción de los soportes informáticos. [...] »Artículo 282. »Serán castigados con la pena de prisión de seis meses a un año o multa de 12 a 24 meses los fabricantes o comerciantes que, en sus ofertas o publicidad de productos o servicios, hagan alegaciones falsas o manifiesten características inciertas sobre los mismos, de modo que puedan causar un perjuicio grave y manifiesto a los consumidores, sin perjuicio de la pena que corresponda aplicar por la comisión de otros delitos. [...] »Artículo 283. »Se impondrán las penas de prisión de seis meses a un año y multa de seis a dieciocho meses a los que, en perjuicio del consumidor, facturen cantidades superiores por productos o servicios cuyo costo o precio se mida por aparatos automáticos, mediante la alteración o manipulación de éstos. [...] Programa Profesional en Ciberseguridad 93 Tema 3. Legislación para el cumplimiento de la responsabilidad penal © Universidad Internacional de La Rioja (UNIR) Tema 3. Legislación para el cumplimiento de la responsabilidad penal »Artículo 286. »1. Será castigado con las penas de prisión de seis meses a dos años y multa de seis a 24 meses el que, sin consentimiento del prestador de servicios y con fines comerciales, facilite el acceso inteligible a un servicio de radiodifusión sonora o televisiva, a servicios interactivos prestados a distancia por vía electrónica, o suministre el acceso condicional a los mismos, considerado como servicio independiente, mediante: »1.º La fabricación, importación, distribución, puesta a disposición por vía electrónica, venta, alquiler, o posesión de cualquier equipo o programa informático, no autorizado en otro Estado miembro de la Unión Europea, diseñado o adaptado para hacer posible dicho acceso. »2.º La instalación, mantenimiento o sustitución de los equipos o programas informáticos mencionados en el párrafo 1.º [...] »Artículo 301. »1. El que adquiera, posea, utilice, convierta, o transmita bienes, sabiendo que éstos tienen su origen en una actividad delictiva, cometida por él o por cualquiera tercera persona, o realice cualquier otro acto para ocultar o encubrir su origen ilícito, o para ayudar a la persona que haya participado en la infracción o infracciones a eludir las consecuencias legales de sus actos, será castigado con la pena de prisión de seis meses a seis años y multa del tanto al !ripio del valor de los bienes. En estos casos, los jueces o tribunales, atendiendo a la gravedad del hecho y a las circunstancias personales del delincuente, podrán imponer también a éste la pena de inhabilitación especial para el ejercicio de su profesión o industria por tiempo de uno a tres años, y acordar la medida de clausura temporal o definitiva del establecimiento o local. Si la clausura fuese temporal, su duración no podrá exceder de cinco años» (Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal). Programa Profesional en Ciberseguridad 94 Tema 3. Legislación para el cumplimiento de la responsabilidad penal © Universidad Internacional de La Rioja (UNIR) Tema 3. Legislación para el cumplimiento de la responsabilidad penal FALSEDADES Se trata de los delitos de: ► Falsedad documental cuando el soporte sea de naturaleza informática (art. 26 en 360). ► Usurpación de funciones públicas mediante correo electrónico (art. 402). «Artículo 26. »A los efectos de este Código se considera documento todo soporte material que exprese o incorpore datos, hechos o narraciones con eficacia probatoria o cualquier otro tipo de relevancia jurídica. [...] »Artículo 360. »El que, hallándose autorizado para el tráfico de las sustancias o productos a que se refiere el artículo anterior, los despache o suministre sin cumplir con las formalidades previstas en las Leyes y Reglamentos respectivos, será castigado con la pena de multa de seis a doce meses e inhabilitación para la profesión u oficio de seis meses a dos años. [...] »Artículo 402. »El que ilegítimamente ejerciere actos propios de una autoridad o funcionario público atribuyéndose carácter oficial, será castigado con la pena de prisión de uno a tres años» (Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal). Programa Profesional en Ciberseguridad 95 Tema 3. Legislación para el cumplimiento de la responsabilidad penal © Universidad Internacional de La Rioja (UNIR) Tema 3. Legislación para el cumplimiento de la responsabilidad penal Contra la ADMINISTRACION PUBLICA Se trata del delito de cesión inconsentida de datos ajenos (infidelidad) (arts. 417, 418 y 423). «Artículo 417. »1. La autoridad o funcionario público que revelare secretos o informaciones de los que tenga conocimiento por razón de su oficio o cargo y que no deban ser divulgados , incurrirá en la pena de multa de doce a dieciocho meses e inhabilitación especial para empleo o cargo público por tiempo de uno a tres años. [... ] «Artículo 418. »El particular que aprovechare para sí o para un tercero el secreto o la información privilegiada que obtuviere de un funcionario público o autoridad, será castigado con multa del tanto al triplo del beneficio obtenido o facilitado y la pérdida de la posibilidad de obtener subvenciones o ayudas públicas y del derecho a gozar de los beneficios o incentivos fiscales o de la Seguridad Social durante el período de uno a tres años» (Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal). Contra la CONSTITUCIÓN Se trata del delito de odio a través de medios de comunicación o Internet (art. 51O). «Artículo 51O. »1. Serán castigados con una pena de prisión de uno a cuatro años y multa de seis a doce meses: »a) Quienes públicamente fomenten, promuevan o inciten directa o indirectamente al odio, hostilidad, discriminación o violencia contra un grupo, una parte del mismo o contra una persona determinada por razón de su pertenencia a aquel, por motivos racistas, antisemitas, antigitanos u otros referentes a la ideología, religión o creencias, situación familiar, la pertenencia de sus miembros a una etnia, raza o nación, su origen nacional, su sexo, orientación o identidad sexual, por razones de género, aporofobia, enfermedad o discapacidad. »b) Quienes produzcan, elaboren, posean con la finalidad de distribuir, faciliten a terceras personas el acceso, distribuyan, difundan o vendan escritos o cualquier otra clase de Programa Profesional en Ciberseguridad 96 Tema 3. Legislación para el cumplimiento de la responsabilidad penal © Universidad Internacional de La Rioja (UNIR) Tema 3. Legislación para el cumplimiento de la responsabilidad penal material o soportes que por su contenido sean idóneos para fomentar, promover, o incitar directa o indirectamente al odio, hostilidad, discriminación o violencia contra un grupo, una parte del mismo, o contra una persona determinada por razón de su pertenencia a aquel, por motivos racistas, antisemitas, antigitanos u otros referentes a la ideología, religión o creencias, situación familiar, la pertenencia de sus miembros a una etnia, raza o nación, su origen nacional, su sexo, orientación o identidad sexual, [... ]» (Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal). TERRORISMO Se trata de los delitos de: ► Subvertir el orden constitucional, o suprimir o desestabilizar gravemente el funcionamiento de las instituciones políticas o de las estructuras económicas... (art. 573 bis.3) ► Adiestramiento o adoctrinamiento (art. 575) ► Enaltecimiento del terrorismo o de los participantes o humillación de las víctimas (art. 578.1º y 2º) ► Retirada de contenidos ilícitos de la red (art. 578.4). ► Incitación, provocación, conspiración y proposición públicas (art. 579). «Artículo 573. ,,1. Se considerará delito de terrorismo la comisión de cualquier delito grave contra la vida o la integridad física, la libertad, la integridad moral, la libertad e indemnidad sexuales, el patrimonio, los recursos naturales o el medio ambiente, la salud pública, de riesgo catastrófico, incendio, de falsedad documental, contra la Corona, de atentado y tenencia, tráfico y depósito de armas, municiones o explosivos, previstos en el presente Código, y el apoderamiento de aeronaves, buques u otros medios de transporte colectivo o de mercancías, cuando se llevaran a cabo con cualquiera de las siguientes finalidades: » 1.ª Subvertir el orden constitucional, o suprimir o desestabilizar gravemente el funcionamiento de las instituciones políticas o de las estructuras económicas o sociales del Estado, u obligar a los poderes públicos a realizar un acto o a abstenerse de hacerlo. »2.ª Alterar gravemente la paz pública. Programa Profesional en Ciberseguridad 97 Tema 3. Legislación para el cumplimiento de la responsabilidad penal © Universidad Internacional de La Rioja (UNIR) Tema 3. Legislación para el cumplimiento de la responsabilidad penal »3.ª Desestabilizar gravemente el funcionamiento de una organización internacional. »4.ª Provocar un estado de terror en la población o en una parte de ella. »2. Se considerarán igualmente delitos de terrorismo los delitos informáticos tipificados en los artículos 197 bis y 197 ter y 264 a 264 quater cuando los hechos se cometan con alguna de las finalidades a las que se refiere el apartado anterior. [...] »Artículo 575. »1. Será castigado con la pena de prisión de dos a cinco años quien, con la finalidad de capacitarse para llevar a cabo cualquiera de los delitos tipificados en este Capítulo, reciba adoctrinamiento o adiestramiento militar o de combate, o en técnicas de desarrollo de armas químicas o biológicas, de elaboración o preparación de sustancias o aparatos explosivos, inflamables, incendiarios o asfixiantes, o específicamente destinados a facilitar la comisión de alguna de tales infracciones. [...] »Se entenderá que comete este delito quien, con tal finalidad, acceda de manera habitual a uno o varios servicios de comunicación accesibles al público en línea o contenidos accesibles a través de interne! o de un servicio de comunicaciones electrónicas cuyos contenidos estén dirigidos o resulten idóneos para incitar a la incorporación a una organización o grupo terrorista, o a colaborar con cualquiera de ellos o en sus fines. Los hechos se entenderán cometidos en España cuando se acceda a los contenidos desde el territorio español. »Asimismo se entenderá que comete este delito quien, con la misma finalidad, adquiera o tenga en su poder documentos que estén dirigidos o, por su contenido, resulten idóneos[... ] [...] Programa Profesional en Ciberseguridad 98 Tema 3. Legislación para el cumplimiento de la responsabilidad penal © Universidad Internacional de La Rioja (UNIR) Tema 3. Legislación para el cumplimiento de la responsabilidad penal »Artículo 578. »1. El enaltecimiento o la justificación públicos de los delitos comprendidos en los artículos 572 a 577 o de quienes hayan participado en su ejecución, o la realización de actos que entrañen descrédito, menosprecio o humillación de las víctimas de los delitos terroristas o de sus familiares, se castigará con la pena de prisión de uno a tres años y multa de doce a dieciocho meses. El juez también podrá acordar en la sentencia, durante el período de tiempo que él mismo señale, alguna o algunas de las prohibiciones previstas en el artículo 57. »2. Las penas previstas en el apartado anterior se impondrán en su mitad superior cuando los hechos se hubieran llevado a cabo mediante la difusión de servicios o contenidos accesibles al público a través de medios de comunicación, internet, o por medio de servicios de comunicaciones electrónicas o mediante el uso de tecnologías de la información. [...] »4. El juez o tribunal acordará la destrucción, borrado o inutilización de los libros, archivos, documentos, artículos o cualquier otro soporte por medio del que se hubiera cometido el delito. Cuando el delito se hubiera cometido a través de tecnologías de la información y la comunicación se acordará la retirada de los contenidos. [...] »Artículo 579. »1. Será castigado con la pena inferior en uno o dos grados a la prevista para el delito de que se trate el que, por cualquier medio, difunda públicamente mensajes o consignas que tengan como finalidad o que, por su contenido, sean idóneos para incitar a otros a la comisión de alguno de los delitos de este Capítulo. »2. La misma pena se impondrá al que, públicamente o ante una concurrencia de personas, incite a otros a la comisión de alguno de los delitos de este Capítulo, así como a quien solicite a otra persona que los cometa. »3. Los demás actos de provocación, conspiración y proposición para cometer alguno de los delitos regulados en este Capítulo se castigarán también con la pena inferior en uno o dos grados a la que corresponda respectivamente a los hechos previstos en este Capítulo» (Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal). Programa Profesional en Ciberseguridad 99 Tema 3. Legislación para el cumplimiento de la responsabilidad penal © Universidad Internacional de La Rioja (UNIR) Tema 3. Legislación para el cumplimiento de la responsabilidad penal TRAICION y contra la PAZ O LA INDEPENDENCIA DEL ESTADO Y RELATIVOS A LA DEFENSA NACIONAL Se trata del delito de descubrimiento y revelación de secretos relativos a la Defensa Nacional (art. 598 y 603). «Artículo 598. »El que, sin propósito de favorecer a una potencia extranjera, se procurare, revelare, falseare o inutilizare información legalmente calificada como reservada o secreta, relacionada con la seguridad nacional o la defensa nacional o relativa a los medios técnicos o sistemas empleados por las Fuerzas Armadas o las industrias de interés militar, será castigado con la pena de prisión de uno a cuatro años. [...] »Artículo 603. »El que destruyere, inutilizare, falseare o abriere sin autorización la correspondencia o documentación legalmente calificada como reservada o secreta, relacionadas con la defensa nacional y que tenga en su poder por razones de su cargo o destino, será castigado con la pena de prisión de dos a cinco años e inhabilitación especial de empleo o cargo público por tiempo de tres a seis años» (Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal). Programa Profesional en Ciberseguridad 10 Tema 3. Legislación para el cumplimiento de la responsabilidad penal o © Universidad Internacional de La Rioja (UNIR) Tema 3. Legislación para el cumplimiento de la responsabilidad penal 3.5. La responsabilidad penal de las organizaciones La responsabilidad penal de las organizaciones La entrada en vigor de la ley Orgánica 5/201O, de 22 de junio, de modificación de la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, introdujo una novedad sin precedentes en nuestro ordenamiento penal: la posible imputación a las personas jurídicas por determinados comportamientos que, a partir de ese momento, revestirían el carácter de delito. Constituyendo, como decimos, una novedad desde el punto de vista de la imputabilidad, el desarrollo de comportamientos indeseables en beneficio último de la organización (no sólo de sus administradores o, en general, de cualquier persona física vinculada con la entidad) no ha sido nunca algo ajeno al devenir de las organizaciones, muy especialmente de las sociedades mercantiles con ánimo de lucro; comportamientos que no sólo han podido generar ventajas anticompetitivas en relación con aquellos operadores respetuosos con el cumplimiento de la legalidad, sino que, al tiempo, han venido erosionando los fundamentos del buen gobierno corporativo y poniendo en riesgo bienes jurídicos especialmente protegidos. Frente a ello, la nueva regulación de nuestro Código Penal mantiene una postura intolerante con aquellas conductas punibles en el seno de las organizaciones, determinando que tales comportamientos, cuando entran en el ilícito penal correspondiente, constituyen delitos del mayor calado, que afectan sin duda alguna a la actividad económica nacional y, por ende, a la sociedad. Esta inmersión del Derecho Penal en la responsabilidad directa de las organizaciones ha sido fruto tanto del incesante proceso de armonización internacional de esta rama jurídica como de -en palabras de la Fiscalía General del Estado- "la sentida necesidad de dar una respuesta más eficaz al avance de la criminalidad se empresarial, muy especialmente en el marco de la delincuencia Programa Profesional en Ciberseguridad 10 Tema 3. Legislación para el cumplimiento de la responsabilidad penal 1 © Universidad Internacional de La Rioja (UNIR) Tema 3. Legislación para el cumplimiento de la responsabilidad penal económica" (Circular 1/2016, sobre la responsabilidad penal de las personas jurídicas conforme a la reforma del Código Penal efectuada por ley orgánica 1/2015). Esta nueva regulación quedaba establecida, particularmente, en el nuevo art. 31 bis del Código Penal, completándose con lo señalado en los artículos 33.7 (en lo relativo a las penas imponibles a las personas jurídicas), 50.3 y 4 (sobre extensión y cuota diaria de la pena de multa), 53.5 (sobre la posibilidad de pago fraccionado), 52.4 (en relación con las multas sustitutivas de la multa proporcional, cuando no sea posible el cálculo de ésta), 66 bis (sobre la determinación de la pena aplicable), 116.3 (en relación con la responsabilidad civil) y 130 (en relación con los supuestos de transformación y fusión de sociedades). Al tiempo que tipificaba estas conductas, el Código Penal recogía, como contrapeso, la posibilidad de establecer medidas de vigilancia y control para la prevención y detección de comportamientos delictivos, entendiendo que la existencia de tales medidas, cuando hubieren sido adecuadamente adoptadas, podría constituir fundamentos para la exoneración de una eventual responsabilidad penal. Pese a todo, y como quiera que este nuevo marco de atribución de responsabilidades adolecía de significativos defectos que convenía corregir (baste significar, como muestra, el escaso número de procedimientos penales incoados a personas jurídicas en los primeros cinco años de vigencia de la antedicha modificación legislativa), se publicó y entró en vigor la Ley Orgánica 1/2015, que actualizaba significativamente el todavía reciente régimen jurídico, modificando de nuevo el Código Penal, concretando en mayor medida el régimen de responsabilidad penal de las personas jurídicas en España (haciéndolo extensivo a las sociedades mercantiles públicas ) y detallando los requisitos precisos de que debían estar compuestos los sistemas de gestión y control de las organizaciones que, en su caso, pudieran permitir a tales personas jurídicas acreditar una inequívoca diligencia en el ámbito de la prevención y detección de comportamientos delictivos, lo que Programa Profesional en Ciberseguridad 10 Tema 3. Legislación para el cumplimiento de la responsabilidad penal 2 © Universidad Internacional de La Rioja (UNIR) Tema 3. Legislación para el cumplimiento de la responsabilidad penal podría conducir a una atenuación importante de la responsabilidad penal derivada o, incluso, a su completa exoneración. Los sistemas de gestión como herramientas de soporte al compliance penal Como señalamos en el epígrafe anterior, el nuevo Código Penal, al mismo tiempo que tipificaba determinadas conductas empresariales como constitutivas de delito, recogía la posibilidad de establecer medidas de vigilancia y control para la prevención y detección de comportamientos delictivos, entendiendo que la existencia de tales medidas, a las que denominó sistemas de gestión, podría constituir fundamentos para la exoneración de una eventual responsabilidad penal. Efectivamente, parece claro que el aspecto más novedoso de la reforma penal de 2015 lo constituye la regulación recogida en el artículo 31 bis del Código Penal, respecto de los programas de cumplimiento normativo (también denominados Compliance Guides), entendidos como modelos de organización y gestión. Por su importancia, reproducimos el artículo citado. El subrayado -que es nuestro- enfatiza los fragmentos más significativos a nuestros propósitos, especialmente en lo relativo al uso de modelos de gestión y sus beneficios. «Artículo 31 bis. »1. En los supuestos previstos en este Código, las personas jurídicas serán penalmente responsables: »a) De los delitos cometidos en nombre o por cuenta de las mismas, y en su beneficio directo o indirecto, por sus representantes legales o por aquellos que actuando individualmente o como integrantes de un órgano de la persona jurídica, están autorizados para tomar decisiones en nombre de la persona jurídica u ostentan facultades de organización y control dentro de la misma. »b) De los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en beneficio directo o indirecto de las mismas, por quienes, estando sometidos a la autoridad de las personas físicas mencionadas en el párrafo anterior, han podido realizar los hechos por haberse incumplido gravemente por aquéllos los deberes de supervisión, vigilancia y control de su actividad atendidas las concretas circunstancias del caso. Programa Profesional en Ciberseguridad 10 Tema 3. Legislación para el cumplimiento de la responsabilidad penal 3 © Universidad Internacional de La Rioja (UNIR) Tema 3. Legislación para el cumplimiento de la responsabilidad penal »2. Si el delito fuere cometido por las personas indicadas en la letra a) del apartado anterior, la persona jurídica quedará exenta de responsabilidad si se cumplen las siguientes condiciones: »1.ª el órgano de administración ha adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión; »2.ª la supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado ha sido confiada a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica; »3.ª los autores individuales han cometido el delito eludiendo fraudulentamente los modelos de organización y de prevención y »4.ª no se ha producido una omisión o un ejercicio insuficiente de sus funciones de supervisión, vigilancia y control por parte del órgano al que se refiere la condición 2.ª »En los casos en los que las anteriores circunstancias solamente puedan ser objeto de acreditación parcial, esta circunstancia será valorada a los efectos de atenuación de la pena. »3. En las personas jurídicas de pequeñas dimensiones, las funciones de supervisión a que se refiere la condición 2.ª del apartado 2 podrán ser asumidas directamente por el órgano de administración. A estos efectos, son personas jurídicas de pequeñas dimensiones aquéllas que, según la legislación aplicable, estén autorizadas a presentar cuenta de pérdidas y ganancias abreviada. »4. Si el delito fuera cometido por las personas indicadas en la letra b) del apartado 1, la persona jurídica quedará exenta de responsabilidad si, antes de la comisión del delito, ha adoptado y ejecutado eficazmente un modelo de organización y gestión que resulte adecuado para prevenir delitos de la naturaleza del que fue cometido o para reducir de forma significativa el riesgo de su comisión. »En este caso resultará igualmente aplicable la atenuación prevista en el párrafo segundo del apartado 2 de este artículo. Programa Profesional en Ciberseguridad 10 Tema 3. Legislación para el cumplimiento de la responsabilidad penal 4 © Universidad Internacional de La Rioja (UNIR) Tema 3. Legislación para el cumplimiento de la responsabilidad penal »5. Los modelos de organización y gestión a que se refieren la condición 1.ª del apartado 2 y el apartado anterior deberán cumplir los siguientes requisitos: »1.º Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos. »2.º Establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos. »3.º Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos. «4.º Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención. »5.º Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo. »6.º Realizarán una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios» (Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal). La norma UNE 19601 El 18 de mayo de 2017, la Asociación Española de Normalización (UNE) publicó la norma española UNE 19601 Sistemas de gestión de compliance penal. Esta norma establece los requisitos para implantar, mantener y mejorar de forma continua un sistema de gestión de compliance penal en las organizaciones afectadas (públicas o privadas) con la mirada puesta en la prevención de la comisión de delitos, reduciendo, en su consecuencia, el riesgo penal a través de una cultura ética y de cumplimiento normativo de carácter corporativo. Programa Profesional en Ciberseguridad 10 Tema 3. Legislación para el cumplimiento de la responsabilidad penal 5 © Universidad Internacional de La Rioja (UNIR) Tema 3. Legislación para el cumplimiento de la responsabilidad penal Así, la norma UNE 19601 señala, entre otros requisitos, que las organizaciones deben: ► Identificar, analizar y evaluar los riesgos penales. ► Disponer de recursos financieros, adecuados y suficientes para conseguir los objetivos del modelo de gestión. ► Usar procedimientos para la puesta en conocimiento de las conductas potencialmente delictivas. ► Supervisar el sistema por parte del órgano de compliance penal. ► Adoptar acciones disciplinarias si se producen incumplimientos de los elementos del sistema de gestión. ► Crear una cultura en la que se integren la política y el sistema de gestión de compliance. Trayendo casusa de lo dispuesto en nuestro ordenamiento jurídico penal, UNE 19601 se dirige a todo tipo de organizaciones, con independencia del sector al que pertenecen (público o privado) o del carácter lucrativo o no de sus actividades, su tamaño, volumen de facturación o actividad. Así pues, como se señala en la propia norma, UNE 19601 viene a establecer un marco de referencia completo que no sólo permite disponer de sistemas de gestión de compliance penal alineados con las exigencias del Código Penal español, sino también a completar los estándares internacionales en materia de compliance, incrementando su eficacia. Programa Profesional en Ciberseguridad 10 Tema 3. Legislación para el cumplimiento de la responsabilidad penal 6 © Universidad Internacional de La Rioja (UNIR) Tema 3. Legislación para el cumplimiento de la responsabilidad penal Naturalmen
