El Pleno del Congreso de los Diputados, en su sesión del pasado día 21 de enero de 2015, ha aprobado el Proyecto de Ley Orgánica por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal[1].
La reforma del Código Penal es fruto de una completa revisión y actualización de los tipos penales a la actual demanda social a fin de que la Administración de Justicia pueda ofrecer una respuesta adecuada y justa a las nuevas formas de delincuencia, entre ellas, la ciberdelincuencia.
Si bien las modificaciones que han tenido más eco en los medios hacen referencia, entre otras materias, a la introducción de la pena de prisión permanente revisable para aquellos delitos de extrema gravedad, la eliminación de las faltas del articulado y el endurecimiento de las penas de hurto y robo, esta reforma introduce nuevas figuras delictivas y modificaciones innovadoras de tipos delictivos ya existentes con incidencia directa en temáticas relacionadas con la Seguridad de la Información y el Compliance.
En concreto, entre los cambios relevantes en este ámbito, cabe mencionar:
- Se procura una delimitación adecuada del contenido del “debido control” cuyo quebrantamiento permite fundamentar la responsabilidad penal de las personas jurídicas introducida en nuestro ordenamiento jurídico por la Ley Orgánica 5/2010, de 22 de junio,
En este sentido, conviene señalar que el artículo 31 bis del actual Código Penal establece que podrá imputarse responsabilidad penal a las personas jurídicas desde una doble vertiente:
- Por los delitos cometidos por representantes legales y administradores de hecho o de derecho, en nombre o por cuenta de la misma y en su beneficio.
- Por los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en beneficio de la misma, por quienes, estando sometidos a la autoridad de las personas físicas mencionadas en el párrafo anterior, han podido realizar los hechos por no haberse ejercido sobre ellos el debido control atendidas las concretas circunstancias del caso.
En este contexto el debido control sería la adopción de aquellas medidas que de manera sui generis consigan el objetivo pretendido y que, cuando se pruebe su funcionamiento, bien por simulación bien por el acontecimiento de una incidencia consigan evitar la materialización del riesgo o la comisión del hecho delictivo.
En cualquier caso, se trata de un concepto jurídico indeterminado y libre de interpretaciones debido a su falta de regulación expresa. Por lo que, con carácter adicional a la pregunta clave sobre qué es, se hace necesario reflexionar sobre otras cuestiones esenciales en relación al mismo, por ejemplo, sobre cómo se establece ese debido control de forma efectiva, cuál es el alcance de esos controles, hasta dónde debe llegar la persona jurídica para garantizar una debida diligencia, etc.
Con base en lo anterior, la reforma pretende una mejora técnica en la regulación de la responsabilidad penal de las personas jurídicas tratando de poner fin a las dudas interpretativas que sobre este concepto se habían planteado en la regulación anterior y condicionando, en todo caso, su alcance a las dimensiones de la propia persona jurídica.
- Se introducen nuevas figuras delictivas, se adecuan tipos penales ya existentes para acoger otras conductas que no se encontraban tipificadas hasta la fecha y se suprimen aquellas otras infracciones que, por su escasa gravedad, no merecen condena penal.
Las modificaciones propuestas pretenden superar las limitaciones de la regulación vigente para ofrecer respuesta a la ciberdelincuencia, y se traducen en el cambio de los tipos contenidos en los apartados 2 y 3 del artículo 197 y el artículo 264 .A este respecto, indicar que Resulta especialmente destacable el hecho de que se prevea un régimen de responsabilidad para las personas jurídicas por la comisión de este tipo de delitos.
Entre las modificaciones destacables en relación con el ámbito de análisis que nos ocupa, mencionar aquellas que pretenden dar respuesta a la delincuencia informática en el sentido de la normativa europea :
- La modificación los delitos relativos a la intromisión de la intimidad de la persona con el fin de acoger conductas que nos se encontraban tipificadas. El vigente Código Penal contempla como delito el apoderamiento de mensajes de correo electrónico y la interceptación de las comunicaciones personales sin consentimiento de su titular pero no ofrece una respuesta a las situaciones en las que se obtienen imágenes o grabaciones de una persona en su ámbito privado con su consentimiento que se divulgan contra su voluntad y cuya difusión suponga una lesión su intimidad.
- Igualmente, se alteran ciertos tipos delictivos exigida con motivo de la Directiva 2013/40/UE relativa a los ataques contra los sistemas de información, la interceptación de datos electrónicos cuando no se trata de una comunicación personal, aprobada en agosto del pasado 2013, cuyo periodo de transposición vence en septiembre de 2015.
- Se divide y separa la tipificación relativa a la revelación de datos que afectan directamente a la intimidad personal, y el acceso a otros datos o informaciones que pueden afectar a la privacidad pero que no están referidos directamente a la intimidad personal (un ejemplo práctico de esta distinción no es lo mismo el acceso al listado personal de contactos, que recabar datos sobre el mero acceso a los sistemas informáticos como los relativos a la versión de software empleado o a la situación de los puertos de entrada).
- Se añade un nuevo tipo penal referido a la interceptación de transmisiones entre sistemas, cuando no se trata de transmisiones personales, por cuanto que la interceptación de comunicaciones personales ya se encuentra tipificado sino de transmisiones automáticas entre equipos.
- Se tipifica la facilitación o la producción de programas informáticos o equipos específicamente diseñados o adaptados para la comisión de los delitos informáticos tipificados.
- Se amplía y endurece el tipo penal actual relacionado con las actividades de pornografía infantil. Así, se amplía el precepto que pena las actividades de pornografía infantil mediante la ampliación del tipo penal (numeración “ter”) para introducir la conducta consistente en contactar con menores de 16 años para obtener material pornográfico mediante el uso de medios tecnológicos.
- Se procura la corrección de las deficiencias existentes en relación con los delitos contra la propiedad intelectual.
En este sentido se modulan las penas en función de la gravedad de la conducta y de la infracción cometida. En todo caso, se prevé la imposición de una pena menor en los supuestos de distribución ambulante o meramente ocasional y se tipifican conductas de las que deriven graves perjuicios, por ejemplo, se pena a quien fabrique, importe, ponga en circulación o tenga cualquier medio principalmente concebido, producido, adaptado o realizado para facilitar la supresión no autorizada o la neutralización de cualquier dispositivo técnico que se haya utilizado para proteger programas de ordenador o cualquiera de las otras obras, interpretaciones o ejecuciones protegidos por derechos de propiedad intelectual.
- Se regulan separadamente los supuestos de daños informáticos y las interferencias en los sistemas de información, de un modo que permite ofrecer diferentes niveles de respuesta a la diferente gravedad de los hechos,
- Se tipifica así mismo la producción o facilitación de programas o claves para cometer los delitos anteriores.
A pesar de está aún pendiente la revisión de la propuesta por parte del Senado, no se prevén cambios significativos de cara a su aprobación final y, una vez recibido el visto bueno de la Cámara Alta, su entrada en vigor será especificada una vez se publique en el Boletín Oficial del Estado.
Este hecho, sin duda, derivará en la necesidad de que las empresas revisen y modulen sus programas de compliance en función del análisis de los nuevos tipos delictivos al objeto de verificar la viabilidad de los controles internos existentes para mitigar los elementos del tipo, así como, en su caso, poder adoptar los medios, recursos y controles precisos para la prevención de aquellos que pudieran derivar en un beneficio directo o indirecto para la empresa, por cuanto que la exención de su responsabilidad penal pasa por la existencia de un modelo de prevención realmente implantado.
[1] Enlace al texto del Proyecto: http://www.congreso.es/public_oficiales/L10/CONG/BOCG/A/BOCG-10-A-66-5.PDF
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación