Los nuevos delitos informáticos introducidos en el Código Penal español con la Ley Orgánica 5/2010. Perspectiva de derecho comparado

• Autor: Ivan Salvadori
• Cargo: Doctor europeo en Derecho Penal Económico y Derecho Penal Informático, becario de investigación de la Universidad de Verona-Universitat de Barcelona
• Páginas: 221-252

Page 222

1. Introducción

El 27 de noviembre de 2009 el gobierno español presentó un amplio proyecto de reforma de la Ley Orgánica 10/1995, de 23 de noviembre, esto es, al Código Penal vigente ¹. El objetivo principal de la reforma, que en parte retomó el Anteproyecto de Ley Orgánica de 2008 ², fue dar ejecución a las obligaciones internacionales y colmar las lagunas de punibilidad surgidas en la práctica, que por lo

Page 223

demás habían sido subrayadas hace tiempo por parte de la mejor doctrina. Además de la introducción de la responsabilidad penal de las personas jurídicas, el proyecto de reforma de 2009 previó la modificación de más de cientos de delitos del Código Penal, entre ellos los relativos a la explotación de menores, de combate al terrorismo, a la criminalidad organizada y al cibercrimen.

En referencia a la criminalidad informática, se previó la introducción en el Código Penal de un nuevo delito para castigar el fraude informático cometido mediante tarjetas de crédito y, en línea con las disposiciones de la Decisión Marco 2005/222/JAI, relativa a los ataques contra los sistemas de información, nuevas normas para castigar el acceso ilícito a un sistema informático (hacking) y los daños informáticos ³.

Después de una rápida tramitación legislativa, el proyecto gubernamental fue sometido al juicio de la Comisión de Justicia, siendo reenviado al Parlamento para su aprobación definitiva el día 29 de abril de 2010. Finalmente, dicho proyecto fue aprobado por el Senado el 22 de junio de 2010, convirtiéndose en la Ley Orgánica 5/2010 ⁴.

No obstante, conforme a la disposición séptima transitoria de dicha Ley Orgánica 5/2010, de 22 de junio, la cual apareció publicada en el Boletín Oficial del Estado al día siguiente, las modificaciones introducidas en el Código Penal entrarían en vigor tras una vacatio legis de seis meses, es decir, el 23 de diciembre de 2010.

Dada la extensión que posibilita el objeto del presente trabajo, limitaré mi atención a comentar los nuevos delitos informáticos en «sentido propio» (o cyber crimes) ⁵ introducidos por la mencionada Ley Orgánica 5/2010, sin tomar en consideración aquellos que pueden ser cometidos también a través de las redes informáticas

Page 224

(como por ejemplo el delito de child grooming o «ciber-acoso», del art. 183-bis CP ⁶, el de utilización ilícita de tarjetas de crédito del art. 248.2, let. c), CP, etc.) ⁷. Antes de proceder al análisis de las nuevas normas que protegen la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos, se formularán algunas consideraciones sobre la peculiar ubicación sistemática que se les dio a los nuevos delitos informáticos en el Código Penal (párrafo 3). A continuación se revisarán las disposiciones del Código Penal de 1995 que, a falta de normas específicas, podían ser aplicadas por parte de los jueces para castigar la conducta no auto-rizada de acceso ilícito a un sistema informático y los denominados daños «funcionales» de sistemas informáticos (párrafos 3 y 5). El análisis de la normativa penal vigente permitirá evaluar si con la reforma legislativa de 2010 se han superado definitivamente aquellas lagunas que limitaban la posibilidad de castigar los más frecuentes ataques a los sistemas informáticos (Hacking, Cracking, Denial of Service, ecc.). Posteriormente se efectuará una referencia a la estructura de los nuevos tipos delictivos en materia de criminalidad informática. A este respecto se otorgará una especial atención a los delitos de acceso ilícito a datos y programas informáticos (párrafo 4) y a los delitos de daños de datos (párrafo 6) y de sistemas informáticos (párrafo 7). Asimismo, se formularán algunas breves consideraciones sobre las disposiciones que prevén la responsabilidad penal de las personas jurídicas (párrafo 8). Final-mente, para concluir, se desarrollarán algunas consideraciones críticas sobre la formulación de los nuevos delitos informáticos introducidos en el Código Penal español por la Ley Orgánica 5/2010, del 22 de junio (párrafo 9).

Page 225

2. La ubicación sistemática de los delitos informáticos en el código penal español

El legislador español introdujo en el Código Penal de 1995 algunos delitos específicos contra la criminalidad informática ⁸. En particular tipificó una serie de hechos ilícitos cometidos a través de o contra nuevos «objetos» informáticos y algunos actos preparatorios a la comisión de delitos más graves (en especial en referencia al fraude informático y a la violación de derechos de propiedad intelectual) ⁹.

La técnica de formulación normativa utilizada en el Código Penal de 1995 puede calificarse de muy peculiar, considerando que en lugar de crear tipos delictivos autónomos, como sucedió por ejemplo en Alemania (por la Ley 2. WiKG) ¹⁰ y en Italia (por la Ley 23 de diciembre de 1993, núm. 547), el legislador español prefirió modificar y extender el ámbito de aplicación de los delitos tradicionales (estafa, daños, etc.) que presentaban analogías con los nuevos actos ilícitos cometidos a través de las nuevas tecnologías.

Page 226

La extensión de los tipos delictivos clásicos fue realizada de dos maneras. Por una parte, se introdujo dentro de los delitos tradicionales subtipos autónomos para castigar las nuevas modalidades ilícitas. Y por la otra, se amplió el ámbito de los objetos materiales de aquellos delitos que presentaban analogías con los nuevos hechos delictivos. De esta manera se tutelaron también los nuevos «objetos» informáticos (datos, programas y documentos informáticos) ¹¹.

Un ejemplo paradigmático de la adopción de la primera técnica de formulación normativa es el delito de fraude informático (art. 248.2 CP) ¹². Con respecto al delito tradicional de estafa (art. 248.1 CP) el «fraude informático», se realiza por parte del que obtiene un acto de disposición patrimonial mediante una conducta de tipo «lógico», es decir, a través de una manipulación informática u otro artificio semejante, que ocupa el lugar del engaño que induce a un tercero a error ¹³.

Un ejemplo de extensión del ámbito aplicativo de los delitos tradicionales mediante la introducción de nuevos objetos materiales es el delito de daños de datos, programas y documentos electrónicos contenidos en redes, soportes y sistemas informáticos (art. 264.2 CP), el cual se castiga como hipótesis agravada del delito de daños de cosas materiales (art. 263 CP) ¹⁴.

Page 227

El esfuerzo del legislador de 1995 de integrar y adaptar lo máximo posible los nuevos delitos informáticos a los tipos delictivos tradicionales (estafa, daños, violación de secretos, etc.), pareció responder a la idea de que la llegada de las nuevas tecnologías hubiese comportado un cambio de las modalidades de agresión a los bienes jurídicos clásicos, recurriendo a la creación de artificiosas y poco apropiadas formulaciones legislativas y a una discutible ubicación sistemática de los nuevos delitos informáticos dentro del Código Penal.

Con la reforma de 2010 el legislador español, esencialmente en línea con la técnica adoptada en 1995, ha colocado los nuevos delitos informáticos que se refieren a la tutela de la confidencialidad, de la integridad y de la disponibilidad de los datos y sistemas informáticos al lado de aquellos tipos delictivos tradicionales que presentan respecto a ellos algunas (supuestas) analogías.

Paradigmática es en este sentido la (discutible) ubicación del nuevo delito de acceso ilícito a datos y programas informáticos (art. 197.3 CP) en el título X del Código Penal, que incluye los delitos contra la intimidad, el derecho a la propia imagen y la inviolabilidad del domicilio.

A diferencia de lo que hizo el legislador en 1995, el de 2010 ha introducido los nuevos delitos de daños informáticos dentro de un tipo penal autónomo (art. 264 CP), en lugar de ponerlos al lado de las hipótesis agravadas del delito tradicional de daños de cosas materiales (art. 263 CP). Sin embargo, idéntica ha quedado la ubicación de la norma en el capítulo IX del título XIII, entre los delitos contra el patrimonio y el orden socioeconómico.

En los siguientes párrafos se subrayará como los nuevos delitos de acceso no autorizado a datos y programas informáticos y de daños informáticos, pese a su ubicación sistemática, tienen poco o nada que ver con los bienes jurídicos de la inviolabilidad del domicilio y del patrimonio.

Page 228

3. La irrelevancia penal de las conductas de hacking en el código penal de 1995

A diferencia de lo que se había previsto en la mayoría de los ordenamientos jurídicos europeos, el legislador español de 1995, no consideró necesario castigar el acceso no autorizado a un sistema informático (hacking) ¹⁵.

A falta de una específica disposición penal sobre el hacking, según doctrina muy destacada, la intrusión ilícita en un sistema informático ajeno hubiera podido ser castigada en cuanto conducta instrumental a la comisión de determinados delitos informáticos, en particular los delitos de forma libre ¹⁶. Paradigmático era el artículo 197 CP, que no tipificando la modalidad de apropiación ilícita de mensajes de correo electrónico (art. 197.1 CP) o de datos de carácter personal o familiar contenidos en soportes informáticos o telemáticos (art. 197.2 CP), permite castigar aquellas violaciones de la intimidad que se realizan...