REGULACIÓN DE LOS DELITOS INFORMÁTICOS EN ESPAÑA
Autor: Daniel Juanes Fernández
Resumen:
Regulacion de los ciberdelitos en España. Es importante en el mundo de la ciberseguridad tener dos tipos de defensa: la técnica y la legal. Es necesario tener la seguridad jurídica de que los ciberdelincuentes no quedarán impunes a los actos que causen daños, por eso es necesario conocer qué se puede y qué no se puede hacer.
Palabras clave: derecho informático, legislación, delitos informáticos, ciberseguridad
Lo primero para poder abordar este tema es dar una definición muy breve de delito informático. Usaremos la que da la Unión Europea, que los define como “aquellas actividades delictivas realizadas con ayuda de redes de comunicaciones y sistemas de información electrónicos o contra tales redes y sistemas” (Europea, 2007). De todas formas, hay un artículo que explica muy bien a nivel técnico los delitos informáticos más comunes que desde Sec2Crime te recomendamos leer.
Para entender la regulación de los ciberdelitos, hay que saber cómo se tipifica cualquier delito. De manera muy sencilla, podemos hacer una analogía con una fórmula matemática donde el Delito es igual al Supuesto de Hecho (la acción penada) más la Consecuencia Jurídica (la pena impuesta). Por lo tanto, el legislador debe saber qué tipos de ciberataques se dan, independientemente del nivel técnico, para poder prevenir y penar estas acciones.
Por último, debemos conocer el concepto de Bien Jurídico, que és lo que el delito busca proteger con la pena impuesta. Por ejemplo, con el art. 264 CP que pena el cracking o sabotaje informático, se busca proteger los datos contenidos en un sistema informático (software) pero no el sistema en sí (hardware), que sería un delito de daños.
Sabiendo lo anterior, ¿dónde y cómo se regulan los ciberdelitos? En España todos los delitos se regulan en el Código Penal, siendo la característica más peculiar de esta regulación la agrupación de los delitos según el Bien Jurídico protegido, lo cual ha llevado a que se den tres grupos para los delitos informáticos, lo que supone su dispersión por todo el Código. Así, el legislador entiende que hay tres tipos de ciberdelitos:
- Aquellas conductas delictivas tradicionales que se desarrollan a través de las TICs (por ejemplo, la estafa a través de las TICs del art. 248.2 CP),
- La publicación de contenidos ilegales en la red (como el enaltecimiento del terrorismo del art. 158.2 CP) y
- Delitos específicos de las TICs que surgen a raíz de la aparición de estás (tal como el sabotaje informático del art. 264 CP o el hacking).
A nivel técnico, es cierto que hay muchos tipos de ciberataques, pero se han de encajar en estos tres bloques y en sus delitos correspondientes como el phishing, todo tipo de spyware, etc. que más adelante se detalla.
El legislador no puede regular todos los tipos de ataques a nivel técnico, en parte porque estos sufren una elevada evolución, así que necesita hacer tipos genéricos e ir encajando cada ataque informático en cada delito. Es verdad que los delitos informáticos están desperdigados por la Ley, lo cual a veces supone un dolor de cabeza y puede resultar en una especie de juego de Buscar a Wally, bailando entre Títulos del Código.
Para que sea más visual, os facilito un listado de los delitos informáticos tipificados a día de hoy, desde la reforma del 2015 del CP a consecuencia de un mandato europeo:
- Contacto a través de las TIC con un menor con fin de concertar un encuentro para cometer abuso sexual o la producción de pornografía. Art. 183 ter CP
- Uso de menores o incapaces con especial protección para fines pornográficos. Art. 189 CP.
- Descubrimiento de secretos o vulneración de la intimidad por particular, acceso o facilitación a otro para acceder a un sistema de información sin estar debidamente autorizado; facilitar a terceros la comisión de delitos; delitos cometidos en el seno de una organización criminal; responsabilidad penal de las personas jurídicas en los delitos de descubrimiento de y revelación de secretos. arts. 197, 197 bis y ter CP. Además, revelación y divulgación de secretos ajenos; y descubrimiento, revelación o cesión de datos. Arts. 197 ter, quater, quinquies, 199 y 200 CP.
- Calumnias e injurias cometidas a través de la tecnología. Arts. 211 CP
- Estafas informáticas. Arts. 248 y 249 CP
- Uso de cualquier equipo terminal de telecomunicación sin consentimiento de su titular. Art. 256 CP
- Daños informáticos o cracking. Arts. 264 y 264 bis CP.
- Delitos informáticos contra la propiedad industrial. Arts. 273 y 274 CP.
- Delitos informáticos contra la propiedad intelectual. Art. 270 CP.
- Falsedades informáticas y espionaje empresarial. Arts. 278 y 279 CP.
- Falsedades documentales informáticas. Arts. 390.1, 2 y 3; 392; 395 y 400 CP
- Delitos de ciberterrorismo. Arts. 573.2; 197 bis y ter y del 264 al 264 quater CP
- Otros delitos cometidos a través de los sistemas informáticos cuando su utilización fuera determinante.
En esta clasificación (Bermejo & Atienza, 2018) podemos observar que hay dispersión por todo el CP y resulta ser demasiado genérico, lo que ha llevado a que sean los Tribunales los que vayan interpretando cada acción para después colocarla en el cajón correspondiente.
Hay un proyecto muy curioso y necesario desarrollado conjuntamente por el Instituto Nacional de Ciberseguridad (INCIBE) y el Boletín Oficial del Estado (BOE), que publicaron en el año 2016 (y siguen actualizando a día de hoy), dando como resultado el primer Código de Derecho de la Ciberseguridad, donde han compilado todos aquellos artículos, disposiciones y leyes relacionadas con la ciberseguridad que hagan referencia o tengan que ver con las nuevas tecnologías. Esto no se limita solo a ciberdelitos, incluyendo desde la Constitución Española, la LO 3/2018 sobre Protección de Datos, Seguridad Nacional hasta las menos conocidas, como el Reglamento que establece condiciones de protección del dominio público radioeléctrico.
Esta compilación, para todos aquellos inmersos y con plena dedicación al mundo de la Ciberseguridad, os ahorrará miles de pestañas abiertas en vuestro navegador.
Respecto a la forma que tiene la Ley de prever los delitos que a veces no tiene tan en cuenta la parte técnica del fenómeno. Veamos un ejemplo, con el delito de sabotaje informático o cracking del art. 264.1 se tipifica: El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a tres años. Aquí os podrían surgir una serie de cuestiones como ¿cualquier medio incluye ataques físicos o sólo informáticos? ¿qué es de manera grave? si los hace inaccesibles, pero tengo una copia de seguridad y ya son accesibles ¿hay delito? ¿resultado grave otra vez? Este tipo de cuestiones que nos pueden surgir son respondidas por los Tribunales en su labor de aclaración de las Leyes o jurisprudencia.
Por todo ello, aquellos que provienen del ámbito lo legal o el Derecho y aquellos que desarrollan su trabajo en la parte técnica tecnológica estamos conviviendo en el mundo de la ciberseguridad y, por tanto, debemos entendernos para desarrollar mejor nuestro trabajo y prestar el mejor servicio.
Daniel Juanes Fernández
Graduado en Derecho y Analista de Inteligencia.