Se encuentra usted aquí

Inicio » CIBERSEGURIDAD

Derecho

SUMARIO: 1. Protección penal de la seguridad de la información y las comunicaciones. 2. Los juristas ante la ciberseguridad. 3. Medidas de investigación tecnológica. 4. Nuevo Código Penal. 5. Modificación del Esquema Nacional de Seguridad.

                                                                                                    *

5. MODIFICACIÓN DEL ESQUEMA NACIONAL DE SEGURIDAD

José María Molina Mateos

Doctor en Derecho

Abogado, socio de ENATIC

         El Real Decreto 951/2015, de 23 de octubre, publicado en el B.O.E. el día 4 de noviembre pasado, en cumplimiento del mandato normativo[1] según el cual este cuerpo legal ha de mantenerse actualizado de manera permanente, viene a modificar la norma de mismo rango de 8 de enero de 2.010, por la que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

         Además de esta modificación, el artículo 13 de la Ley 39/2015, del Procedimiento Administrativo Común de las Administraciones Públicas recoge el derecho de los ciudadanos a comunicarse con las administraciones a través de medios electrónicos y a la protección de datos de carácter personal, y en particular a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas. De igual modo, el artículo 152 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público determina que el E.N.S. tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la misma[2]. Lo que viene a suponer una ampliación del objeto, que estaba circunscrito a lo dispuesto en la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, que ha sido derogada, el establecimiento como un derecho/deber a la seguridad y confidencialidad de los datos en los sistemas de las Administraciones, y la profundización, de este modo, en el cumplimiento de lo dispuesto en la Estrategia de Ciberseguridad Nacional.

         Las modificaciones se desarrollan a lo largo de diecisiete apartados que finalizan con una disposición transitoria única en la que se establece un plazo de veinticuatro meses para la adecuación a las mismas de los sistemas afectados, entre las que se pueden destacar los siguientes aspectos:

  1. Exigencia de que las organizaciones que presten servicios de seguridad a las Administraciones cuenten con profesionales cualificados (art. 15.3).
  2. Se eleva y concreta la exigencia de certificación funcional en la adquisición de productos de seguridad de las tecnologías de la información y comunicaciones que vayan a ser empleadas por las Administraciones (art. 18).
  3. Se amplía sustancialmente el contenido del artículo 24.2 al añadir a los procedimientos de gestión de incidentes de seguridad y las debilidades detectadas en los elementos del sistema de información.

Profundiza en los procedimientos de seguridad describiendo su cobertura al señalar que cubrirán los mecanismos de detección, criterios de clasificación, procedimientos de análisis y resolución, así como los cauces de comunicación a las partes interesadas y el registro de actuaciones. Señalando expresamente que, este registro, se empleará para la mejora continua de la seguridad del sistema.

  1. Se amplía el contenido del artículo 27 dedicado al cumplimiento de requerimientos mínimos, mediante el añadido de dos nuevos apartados, el 4 y el 5.

El primero de ellos, preceptúa que la relación de medidas seleccionadas del Anexo II, se formalizarán en una Declaración de Aplicabilidad, firmada por el responsable de seguridad.

Así como que las medidas del Anexo II podrán ser reemplazadas por otras siempre y cuando se justifique que protegen igual o mejor, el riesgo sobre los activos y se cumplen los principios básicos y requisitos mínimos del ENS.

Como garantía de la Declaración de Aplicabilidad exige que se detalle la correspondencia entre las medidas compensatorias implantadas y las medidas del Anexo II que compensar, requiriendo el conjunto objeto de aprobación formal por parte del responsable de seguridad.

  1. Se cambia el título del artículo 29 y se amplía sustancialmente su contenido mediante la introducción de dos nuevos párrafos, señalados con los números 2 y 3.

A partir de ahora el título del citado artículo será el de “Instrucciones técnicas de seguridad y guías de seguridad”, y pasa a describirlas y expresar su contenido.

Las instrucciones técnicas de seguridad se serán aprobadas por el Ministerio de Hacienda y Administraciones Públicas a propuesta del Comité Sectorial de Administración Electrónica y a iniciativa del CCN, serán publicadas mediante resolución de la Secretaría de Estado de Administraciones Públicas y serán de obligado cumplimiento.

  1. Se da una mayor precisión y profundidad al informe del estado de la seguridad previsto en el artículo 35 del ENS, añadiendo un segundo párrafo. De tal forma que, a partir de ahora, el Comité Sectorial de Administración Electrónica recogerá la información relacionada con el estado de las principales variables de la seguridad en las AA.PP. Y, el CCN articulará los procedimientos necesarios para la recogida y consolidación de la información, así como la metodología para su tratamiento y explotación.
  2. Se complementa la articulación de la respuesta a incidentes de seguridad del CCN-CERT añadiendo un segundo párrafo al artículo 36 mediante el que se establece que las Administraciones Públicas han de notificar al Centro Criptológico Nacional los incidentes que tengan un impacto significativo en la seguridad de la información y los servicios.
  3. Introduce mayores precisiones el párrafo tercero del artículo 37 en el sentido de que el CCN-CERT podrá recabar informes de auditoría de los sistemas afectados, registros de auditoría, configuraciones y cualquier otra información que se considere relevante, así como los soportes informáticos que se estimen necesarios, sin perjuicio de lo dispuesto en lo dispuesto en la Ley de Protección de Datos y la eventual confidencialidad  de datos institucionales u organizativos.
  4. En la disposición adicional cuarta, se establece un listado de ocho instrucciones técnicas de seguridad con el mandato de desarrollarlas.
  5. En el Anexo II se hace una serie de modificaciones técnicas tanto en la tabla inicial como en diversos apartados.
  6. Y se modifica el anexo II, referido a la auditoría de seguridad, anexo III, Glosario, y el modelo de cláusula administrativa particular recogida en el anexo V.
 

[1] Artículo 42 del E.N.S.

[2] Artículo 156. Esquema Nacional de Interoperabilidad y Esquema Nacional de Seguridad.-1. El Esquema Nacional de Interoperabilidad comprende el conjunto de criterios y recomendaciones en materia de seguridad, conservación y normalización de la información, de los formatos y de las aplicaciones que deberán ser tenidos en cuenta por las Administraciones Públicas para la toma de decisiones tecnológicas que garanticen la interoperabilidad.- 2. El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada.

 

4. NUEVO CÓDIGO PENAL

Ley Orgánica 1/2015 por la que se modifica el Código Penal.

Exposición de motivos... XIII
"Se modifican los delitos relativos a la intromisión en la intimidad de los ciudadanos, con el fin de solucionar los problemas de falta de tipicidad de algunas conductas. El vigente artículo 197 contempla como delito, por un lado, el apoderamiento de cartas, papeles, mensajes de correo electrónico o cualesquiera otros documentos de naturaleza personal de la víctima y, por otro lado, la interceptación de cualquier tipo de comunicación de la víctima, sea cual fuere la naturaleza y la vía de dicha comunicación interceptada. Ambas conductas exigen la falta de consentimiento de la víctima.
Los supuestos a los que ahora se ofrece respuesta son aquellos otros en los que las imágenes o grabaciones de otra persona se obtienen con su consentimiento, pero son luego divulgados contra su voluntad, cuando la imagen o grabación se haya producido en un ámbito personal y su difusión, sin el consentimiento de la persona afectada, lesione gravemente su intimidad.
La reforma lleva a cabo la transposición de la Directiva 2013/40/UE, de 12 de agosto, relativa a los ataques contra los sistemas de información y la interceptación de datos electrónicos cuando no se trata de una comunicación personal.
Las modificaciones propuestas pretenden superar las limitaciones de la regulación vigente para ofrecer respuesta a la delincuencia informática en el sentido de la normativa europea.
De acuerdo con el planteamiento recogido en la Directiva, se introduce una separación nítida entre los supuestos de revelación de datos que afectan directamente a la intimidad personal, y el acceso a otros datos o informaciones que pueden afectar a la privacidad pero que no están referidos directamente a la intimidad personal: no es lo mismo el acceso al listado personal de contactos, que recabar datos relativos a la versión de software empleado o a la situación de los puertos de entrada a un sistema. Por ello, se opta por una tipificación separada y diferenciada del mero acceso a los sistemas informáticos.
Con el mismo planteamiento, y de acuerdo con las exigencias de la Directiva, se incluye la tipificación de la interceptación de transmisiones entre sistemas, cuando no se trata de transmisiones personales: la interceptación de comunicaciones personales ya estaba tipificada en el Código Penal; ahora se trata de tipificar las transmisiones automáticas –no personales– entre equipos.
Se tipifica la facilitación o la producción de programas informáticos o equipos específicamente diseñados o adaptados para la comisión de estos delitos.
Se regulan separadamente, de un modo que permite ofrecer diferentes niveles de respuesta a la diferente gravedad de los hechos, los supuestos de daños informáticos y las interferencias en los sistemas de información.
Finalmente, en estos delitos se prevé la responsabilidad de las personas jurídicas."
 
Artículo único. Modificación de la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.
...Ciento seis. Se modifica el artículo 197, que queda redactado como sigue:
«1. El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales, intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.
2. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero.
3. Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren los números anteriores.
Será castigado con las penas de prisión de uno a tres años y multa de doce a veinticuatro meses, el que, con conocimiento de su origen ilícito y sin haber tomado parte en su descubrimiento, realizare la conducta descrita en el párrafo anterior.
4. Los hechos descritos en los apartados 1 y 2 de este artículo serán castigados con una pena de prisión de tres a cinco años cuando:
a) Se cometan por las personas encargadas o responsables de los ficheros, soportes informáticos, electrónicos o telemáticos, archivos o registros; o
b) se lleven a cabo mediante la utilización no autorizada de datos personales de la víctima.
Si los datos reservados se hubieran difundido, cedido o revelado a terceros, se impondrán las penas en su mitad superior.
5. Igualmente, cuando los hechos descritos en los apartados anteriores afecten a datos de carácter personal que revelen la ideología, religión, creencias, salud, origen racial o vida sexual, o la víctima fuere un menor de edad o una persona con discapacidad necesitada de especial protección, se impondrán las penas previstas en su mitad superior.
6. Si los hechos se realizan con fines lucrativos, se impondrán las penas respectivamente previstas en los apartados 1 al 4 de este artículo en su mitad superior. Si además afectan a datos de los mencionados en el apartado anterior, la pena a imponer será la de prisión de cuatro a siete años.
7. Será castigado con una pena de prisión de tres meses a un año o multa de seis a doce meses el que, sin autorización de la persona afectada, difunda, revele o ceda a terceros imágenes o grabaciones audiovisuales de aquélla que hubiera obtenido con su anuencia en un domicilio o en cualquier otro lugar fuera del alcance de la mirada de terceros, cuando la divulgación menoscabe gravemente la intimidad personal de esa persona.
La pena se impondrá en su mitad superior cuando los hechos hubieran sido cometidos por el cónyuge o por persona que esté o haya estado unida a él por análoga relación de afectividad, aun sin convivencia, la víctima fuera menor de edad o una persona con discapacidad necesitada de especial protección, o los hechos se hubieran cometido con una finalidad lucrativa.»
Ciento siete. Se añade un nuevo artículo 197 bis, con la siguiente redacción:
«1. El que por cualquier medio o procedimiento, vulnerando las medidas de seguridad establecidas para impedirlo, y sin estar debidamente autorizado, acceda o facilite a otro el acceso al conjunto o una parte de un sistema de información o se mantenga en él en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años.
2. El que mediante la utilización de artificios o instrumentos técnicos, y sin estar debidamente autorizado, intercepte transmisiones no públicas de datos informáticos que se produzcan desde, hacia o dentro de un sistema de información, incluidas las emisiones electromagnéticas de los mismos, será castigado con una pena de prisión de tres meses a dos años o multa de tres a doce meses.»
Ciento ocho. Se añade un nuevo artículo 197 ter, con la siguiente redacción:
«Será castigado con una pena de prisión de seis meses a dos años o multa de tres a dieciocho meses el que, sin estar debidamente autorizado, produzca, adquiera para su uso, importe o, de cualquier modo, facilite a terceros, con la intención de facilitar la comisión de alguno de los delitos a que se refieren los apartados 1 y 2 del artículo 197 o el artículo 197 bis:
a) un programa informático, concebido o adaptado principalmente para cometer dichos delitos; o
b) una contraseña de ordenador, un código de acceso o datos similares que permitan acceder a la totalidad o a una parte de un sistema de información.»
 
Ciento nueve. Se añade un nuevo artículo 197 quater, con la siguiente redacción:
«Si los hechos descritos en este Capítulo se hubieran cometido en el seno de una organización o grupo criminal, se aplicarán respectivamente las penas superiores en grado.»
 
Ciento diez. Se añade un nuevo artículo 197 quinquies, con la siguiente redacción:
«Cuando de acuerdo con lo establecido en el artículo 31 bis una persona jurídica sea responsable de los delitos comprendidos en los artículos 197, 197 bis y 197 ter, se le impondrá la pena de multa de seis meses a dos años. Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribunales podrán asimismo imponer las penas recogidas en las letras b) a g) del apartado 7 del artículo 33.»
 
Entrada en vigor
...Disposición final octava. Entrada en vigor.
La presente Ley Orgánica entrará en vigor el 1 de julio de 2015.

3. MEDIDAS DE INVESTIGACIÓN TECNOLÓGICA (Proyecto de Ley de Enjuiciamiento Criminal aprobado por Consejo de Ministros de 13 de marzo de 2015)

La Ley de Enjuiciamiento Criminal había quedado especialmente desfasada en lo relativo a las medidas de investigación. Los cambios que se han producido en las comunicaciones desde que se promulgó la norma en el siglo XIX se suplían hasta ahora con la jurisprudencia del Tribunal Supremo y del Tribunal Constitucional; pero su regulación legislativa ya resultaba inaplazable. De hecho, el Tribunal Constitucional ha apuntado en varias ocasiones la necesidad urgente de una regulación que aborde las intromisiones en la privacidad del investigado en el proceso penal.

Por ello, el artículo 579 de la Ley de Enjuiciamiento Criminal se complementará con una nueva redacción del Título VIII del Libro II de dicha norma en el que se incluyen las nuevas tecnologías. Se dividirá en cuatro apartados: interceptación de las comunicaciones telefónicas y telemáticas; captación y grabación de comunicaciones orales e imágenes mediante la utilización de dispositivos electrónicos; utilización de dispositivos técnicos de seguimiento, localización y captación de imágenes; y registro de dispositivos de almacenamiento masivo de información.

Autorización judicial

La regla general es que para acordar una medida de intervención o registro de las comunicaciones de cualquier clase que se realice, a través del teléfono o de cualquier otro medio o sistema de comunicación telemática, lógica o virtual, se requerirá autorización judicial. El juez accederá siguiendo los principios de especialidad, excepcionalidad, idoneidad, necesidad y proporcionalidad de la medida.

La autorización podrá ser concedida cuando la investigación tenga por objeto alguno de los delitos siguientes: los castigados con una pena máxima de, al menos, tres años de prisión, los cometidos en el seno de un grupo u organización criminal, los de terrorismo y los cometidos a través de instrumentos informáticos o de cualquier otra tecnología de la información o la telecomunicación.

Grabación de entrevistas

El Proyecto de Ley establece que, en ningún caso, la captación y grabación de las conversaciones privadas y de la imagen podrán incluir las entrevistas que mantenga la persona investigada, detenida o en prisión con quienes estén legalmente obligados a mantener el secreto profesional, salvo que estos estén también encausados por los hechos investigados.

EUROPA PROHIBE PINCHAR LOS TELÉFONOS DE LOS ABOGADOShttp://www.eleconomista.es/legislacion/noticias/6517903/03/15/Europa-pro...

 

2. LOS JURISTAS ANTE LA CIBERSEGURIDAD.

El reto de la seguridad de la información y las redes como desafíos del mundo del Derecho

José María Molina Mateos

Doctor en Derecho

Abogado

         El pasado día 5 de diciembre, el Consejo de Seguridad Nacional aprobó la Estrategia de Ciberseguridad Nacional (ECSN), adoptada al amparo y alineada con la Estrategia de Seguridad Nacional 2013.

         En sus cinco capítulos, siete objetivos y ocho líneas de acción, este documento estratégico configura el marco de referencia de un modelo integrado basado en la implicación, coordinación y armonización de todos los actores y recursos del Estado, en la colaboración público-privada, en la participación de los ciudadanos y en la cooperación internacional. La ECSN crea una estructura orgánica que sea integra en el marco del Sistema de Seguridad Nacional, y servirá para articular la acción única del Estado conforme a unos principios compartidos por los actores concernidos y en un marco institucional adecuado.

         Entre sus medidas concretas destina una (Capítulo 4, Línea de acción 4, último párrafo) para “Asegurar a los profesionales del Derecho el acceso a la información y a los recursos que les proporcionen el nivel necesario de conocimientos en el ámbito judicial para la mejor aplicación del marco legal y técnico asociado. En este sentido, es especialmente importante la cooperación con el Consejo General del Poder Judicial, la Abogacía del Estado, la Fiscalía General del Estado, la Fiscalía Coordinadora de la Criminalidad Informática y el Consejo General de la Abogacía Española”.

Todos los factores y dimensiones que integran el ciberespacio, entre ellas la dimensión jurídica,  están condicionados al grado de armonía que alcance la ordenación de las relaciones que se dan de las partes entre sí y de estas con el todo.

 El grado de excelencia del sistema ciberespacial y su eficacia vendrá determinado por el grado de cumplimiento de su ordenación.

Ante la necesidad de ordenación se podrán plantear los más diversos modos de llevarla a cabo, pero está fuera de la realidad ignorar el papel que históricamente han jugado el poder y el derecho como instrumentos de ordenación social y, por consiguiente, el protagonismo que ambos están llamados a ejercer –o están ya ejerciendo− en la ordenación del ciberespacio, en el que, en todo caso, se han de garantizar los derechos y libertades individuales.

*

El papel que juega el Derecho en cualquier sociedad ha sido puesto de manifiesto desde hace milenios y se encuentra certeramente sintetizado en el aforismo latino ubi societas ibi ius, cuya vigencia se constata en nuestros días, en los que la humanidad se encuentra inmersa en la articulación de la sociedad surgida con la llegada de la era digital.

La nueva era gira en torno al concepto de ciberespacio como un ámbito común de relaciones de todo tipo, realizadas a través de las tecnologías de la información y las comunicaciones, cuyas consecuencias se hacen sentir en todos los aspectos de la vida del ser humano y, por consiguiente, en su sociabilidad, intereses, derechos, libertades o seguridad, bien aisladamente considerado o como sujeto social y político, y en la de las organizaciones en las que se integra.

Las ventajas sin paliativos que supone el mundo digital para el progreso de la humanidad llevan implícito una serie de inconvenientes que, sometidos a la balanza de la Razón, esta se inclina decididamente a favor de las primeras, consolidadas como activos irrenunciables y, por ende, como bienes jurídicos dignos de protección, que perfilan, de este modo, en muchos casos a los inconvenientes provocados, como realidades acreedoras a la antijuridicidad por tener su base en conductas humanas dignas de reproche legal.

Esta confrontación inicialmente intelectual y posteriormente jurídica, alcanza una solución material a través de la seguridad de la información y de las redes, como medida para el logro de una protección real y efectiva de intereses, derechos y libertades, y única forma de armonizar Razón y Derecho que, per se, excluye medidas que para evitar los inconvenientes puedan poner en cuestión el mantenimiento operativo del sistema cibernético o sus infraestructuras y -a la vez- aquellas otras que puedan debilitar la garantía de los derechos y libertades fundamentales.

De todo ello se deriva que en un modelo civilizado de sociedad digital, el Derecho tiene un límite tecnológico y, la Tecnología tiene un límite jurídico, cuyo resultado es un punto crítico de equilibrio en el que se da la simbiosis de ambos mundos y al que nos atrevemos a calificar como bien superior de este nuevo ordenamiento combinado.

El punto crítico de equilibrio es el resultado del balanceo de los distintos intereses y derechos en juego, en los que interviene la dimensión racional, la jurídica, la tecnológica o la securitaria, y comienza a plasmarse en las iniciativas de ciberseguridad de incipiente florecimiento en los países más avanzados entre los que se encuentra España. De ellas se derivan acciones legislativas que trasladarán sus postulados estratégicos a los ordenamientos jurídicos como instrumentos de ordenación social, en cuya aplicación surgen las más variadas controversias. Se da la circunstancia que las inmensas posibilidades que brindan las tecnologías para hacer realidad este prodigio de la creación humana que es el ciberespacio, son las mismas que están al alcance de quienes con desprecio de la legalidad pretenden violentar intereses, derechos o libertades ajenos, en cuya defensa están profesionalmente comprometidos los hombres y mujeres de leyes.

Para que un ambiente de paz digital sea una realidad, ha de caminar al unísono tecnología, derecho y seguridad, y los más rezagados en esta carrera, hasta ahora, parecen ser los juristas que tienen ante sí la panoplia más completa de actuaciones de las diversas profesiones desde las que operan.

Lo cierto es que, los intereses, derechos y libertades de los ciudadanos y las organizaciones en las que se integran, son una parte muy vulnerable en la era digital que requiere de una acción especialmente decidida desde el Derecho para protegerlos, velando por la utilización de los medios que la tecnología ofrece, aplicados de acuerdo a su lex artis, para el logro de finalidades lícitas, y en caso contrario, mediante la exigencia de las correspondientes responsabilidades en todos los órdenes.

El conocimiento de la realidad digital se erige así en una exigencia ineludible para el jurista, derivada de que la nueva cibernética impregna intereses, derechos y libertades, de ciudadanos, justiciables y clientes.

La Estrategia de Ciberseguridad Nacional compromete decididamente a todo el mundo del Derecho, de forma que la seguridad cibernética es irrealizable sin su plena participación, similar a como no sería posible sin la participación de los tecnólogos. Pero a cada profesión jurídica le afecta de forma diferente y demanda de ella un compromiso distinto en la construcción de la sociedad digital.

Los “policy makers”, filósofos del Derecho e investigadores jurídicos tienen ante sí la magna tarea, tal vez la más importante, de comprender el fenómeno en su conjunto desde la altura intelectual en la que les sitúa su función, lo que les obliga a adentrarse en la tecnología y la ciencia, la sociología y la seguridad, así como en la filosofía que la sustentan, como forma de obtener un destilado válido subsumible en el Derecho, dentro del que ha de elaborar o adaptar en su caso, los principios jurídicos necesarios que acojan a la nueva realidad y propicie su entrada en el ordenamiento legal.

Los que ejerzan tareas como legisladores, o en apoyo a los mismos, tienen la especial responsabilidad de organizar la convivencia de dos mundos distantes, Tecnología y Derecho, que por mor de las circunstancias confluyen intensamente en la ciberseguridad y, además hacerlo sin renunciar al uso de  las categorías jurídicas, logradas en un riguroso proceso de depuración constante, ofrecerlas a la Tecnología, que como realidad más joven las necesita y, a la vez, ser capaz de ver en ella un magnífico instrumento para lograr la eficacia del Derecho.

Los intérpretes y aplicadores del Derecho han de ser conscientes de la innovación normativa que se avecina en todos los órdenes jurisdiccionales, lo que requerirá un esfuerzo adicional para la plena comprensión de la dimensión digital como requisito para entender la nueva realidad social, y todo ello, con independencia de la posición concreta en la que se encuentren, como promotores de la defensa de la legalidad y del interés público protegido por la Ley; de la asistencia jurídica del Estado, Administraciones públicas y órganos constitucionales; la de entidades privadas, o sujetos particulares; la alta tarea de impartir Justicia mediante el dictado de resoluciones y sentencias; el ejercicio de la fe pública como cualificado “tercero de confianza” tan necesario en las relaciones electrónicas; la representación y procura, o de sus imprescindibles aportaciones como jurisconsultos.

Sin olvidar la docencia, como pilar básico para la formación de generaciones futuras y, en este caso, también presentes, de forma que les impida ser excluidas por la propia dinámica de la evolución del cambio de paradigma que supone la llegada del mundo digital, contribuyendo al desarrollo de la sensibilidad necesaria para detectar los problemas en un nuevo ámbito, y a mantener la línea de finura y rigor de las que el jurista español ha hecho gala a lo largo de la historia.

Pero además de sus respectivas funciones como hombres y mujeres de leyes, estos son también ciudadanos, empleados públicos, asalariados o profesionales independientes y, por tanto, sujetos pasivos de toda una revolución que les afecta en su quehacer cotidiano, en su vida, en la de las organizaciones a las que pertenecen  y en su mundo de relación.

La llegada de la era digital es todo un reto lleno de posibilidades y oportunidades tanto para la Ciencia Jurídica como para los profesionales del Derecho.

De todos ellos, por su función, número y versatilidad de sus tareas, así como, por su contacto directo con el tejido social y productivo, habría que hacer una especial mención a los Abogados y sus organizaciones, que, en este nuevo escenario, están llamados a convertirse en paladines de un orden digital justo, equitativo y seguro, donde los derechos de sus patrocinados lejos de ser debilitados en un entorno tecnológico complejo, que para muchos se le antoja extraño, en el que abunda la controversia, salgan reforzados por la simbiosis de una inteligente y audaz utilización del Derecho, la Tecnología y el compromiso con la Sociedad.

 

1. Protección penal de la seguridad de la información y las comunicaciones.

"Ubi societas ibi ius"

I. La Ley Orgánica 5/2010, de 22 de junio, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, publicada en el B.O.E. el 23 de junio de 2010, que entró en vigor el día 23 de diciembre pasado, introduce modificaciones que afectan a la protección penal de la seguridad de la información y las comunicaciones.

A) Descubrimiento y revelación de secretos.

El artículo 197 del Código Penalintroduce un nuevo apartado 3, pasando los actuales apartados 3,4,5, y 6 a ser apartados 4,5,6 y 7, y se añade el apartado 8, de forma que queda redactado como sigue: “ 1. El que para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses. 2. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero.

            3. El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años.

            Cuando de acuerdo con lo establecido en el artículo 31 bis, una persona jurídica sea responsable de los delitos comprendidos en este artículo, se le impondrá la pena de multa de seis meses a dos años. Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribunales podrán asimismo imponer las penas recogidas en las letras b) a g) del apartado 7 del artículo 33.

            Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren los números anteriores.

            Será castigado con las penas de prisión de uno a tres años y multa de doce a veinticuatro meses, el que, con conocimiento de su origen ilícito y sin haber tomado parte en su descubrimiento, realizare la conducta descrita en el párrafo anterior.

            5. Si los hechos descritos en los apartados 1 y 2 de este artículo se realizan por las personas encargadas o responsables de los ficheros, soportes informáticos, electrónicos o telemáticos, archivos o registros, se impondrá la pena de prisión de tres a cinco años, y si se difunden, ceden o revelan los datos reservados, se impondrá la pena en su mitad superior.

            6. Igualmente, cuando los hechos descritos en los apartados anteriores afecten a datos de carácter personal que revelen la ideología, religión, creencias, salud, origen racial o vida sexual, o la víctima fuere un menor de edad o un incapaz, se impondrán las penas previstas en su mitad superior.

            7. Si los hechos se realizan con fines lucrativos, se impondrán las penas respectivamente previstas en los apartados 1 al 4 de este artículo en su mitad superior. Si además afectan a datos de los mencionados en el apartado 6, la pena a imponer será la de prisión de cuatro a siete años.

            8. Si los hechos descritos en los apartados anteriores se cometiesen en el seno de una organización o grupo criminales, se aplicarán respectivamente las penas superiores en grado.

Comentario:

Art. 197.3.

El hecho típico del injusto consiste en acceder sin autorización a datos o programas informáticos contenidos en un sistema, o parte del mismo, o mantenerse dentro del sistema contra la voluntad de quien tenga derecho a excluirlo, siempre que lo haga vulnerandolas medidas de seguridad establecidas para impedirlo.

Por consiguiente, para que se den los elementos del tipo, han de existir medidas de seguridad. Como quiera, que no se exige ningún nivel, entendemos que la mera existencia de cualquier medida de seguridad es suficiente. Solo no sería aplicable el tipo si no hubiese ninguna, lo que, en la práctica, no resulta fácil.

Art. 197.8

La modificación comentada, añade, además, un nuevo artículo, el 570 bis que, en su apartado 1, párrafo segundo, dice “A los efectos de este Código se entiende por organización criminal la agrupación formada por más de dos personas con carácter estable o por tiempo indefinido, que de manera concertada y coordinada se repartan diversas tareas o funciones con el fin de cometer delitos, así como de llevar a cabo la perpetración reiterada de faltas”.

Las características del mundo cibernético hacen que la organización criminal en este ámbito sea distinta, al menos, en lo que se refiere al carácter estable o tiempo indefinido, con lo que, lo dispuesto en este nuevo artículo será de una utilidad relativa en el ámbito del crimen organizado de naturaleza cibernética.

Consideramos más adecuada –y útil- para la lucha contra la delincuencia organizada cibernética, la redacción que da la Convención Contra la Delincuencia Organizada Transnacional de Naciones Unidas, para la que, por “grupo estructurado” se entenderá “un grupo que no está formado fortuitamente para la comisión inmediata de un delito, aunque no es necesario que haya asignado a sus miembros papeles determinados, tenga continuidad en su composición o una estructura desarrollada”.

Por cuanto se refiere a este artículo, tal vez convenga recordar lo dispuesto en el artículo 198 del mismo cuerpo legal –aunque no haya sido modificado- según el cual: “La autoridad o funcionario público que, fuera de los casos permitidos por la Ley, sin mediar causa legal por  delito, y prevaliéndose de su cargo, realizare cualquiera de las conductas descritas en el artículo anterior, será castigado con las penas respectivamente previstas en el mismo, en su mitad superior y, además, con la de inhabilitación absoluta por tiempo de seis a doce años”.

Hemos de señalar que, en los apartados descritos, la conducta punible consiste en acceder a datos o permanecer en un ordenador sin autorización, siempre que para ello, se hayan vulnerado medidas de seguridad.

A nuestro entender, la vulneración de las medidas de seguridad debería ser en si mismo punible, con independencia de que se acceda o no a datos y se permanezca o no dentro del ordenador.

La pena será de seis meses a dos años.

Cuando sea una persona jurídica, la pena será de multa de seis meses a dos años y, la cuota diaria de la cuantía de la multa puede ir de 30 a 5.000 euros.

            B) Llaves falsas.

            El artículo 239 del Código Penal se modifica y queda redactado como sigue: “Se considerarán llaves falsas:

1.      Las ganzúas u otros instrumentos análogos.

2.      Las llaves legítimas perdidas por el propietario u obtenidas por un medio que constituya infracción penal.

3.      Cualesquiera otras que no sean las destinadas por el propietario para abrir la cerradura violentada por el reo.

A los efectos del presente artículo, se considerarán llaves las tarjetas, magnéticas o perforadas, los mandos o instrumentos de apertura a distanciaycualquier otro instrumento tecnológico de eficacia similar”.

Comentario:

Aunque en un sistema de cifra electrónica, las claves tendrían cabida dentro del concepto de “instrumento” y así lo viene recogiendo la jurisprudencia, en los sistemas de cifra manual, esa interpretación sería más difícil, por lo que, consideramos que el precepto quedaría mucho más completo si expresamente atribuyera, de forma expresa, la condición de llave falsa a las “claves criptográficas y todos sus componentes, contraseñas, password, etc”, lo que tendría efecto, principalmente, en la función pedagógica del Derecho. De igual modo, tal vez habría que hacer referencia a la eliminación de la protección electromagnética o, en su caso, dar una redacción omnicomprensiva en la que tengan cabida todos los procedimientos de bloqueo y desbloqueo de los sistemas de protección.

C) Estafa informática.

El artículo 248 del Código Penal queda redactado como sigue: 1. Cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno.

2. También se consideran reo de estafa:

a) Los que con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro.

b) Los que fabricaren, introdujeren, poseyeren o facilitaren programas informáticos específicamente destinados a la comisión de las estafas previstas en este artículo.

c) Los que utilizando tarjetas de crédito, débito, o cheques de viaje, o los datos obrantes en cualquiera de ellos, realicen operaciones de cualquier clase en perjuicio de su titular o de un tercero”.

Comentario:

El elemento central de la estafa informática está constituido por algunas de las tres conductas siguientes: la utilización dealguna manipulación informática o artificio semejante; fabricar, introducir, poseer o facilitar programas informáticos destinados a conseguir una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro, y la utilización de tarjetas de crédito, débito, o cheques de viaje, o los datos obrantes en cualquiera de ellospara realizar operaciones en perjuicio de un tercero.

La estafa realizada a través de alguno de estos medios es lo que se conoce como estafa informática, y viene a ser una novedad en el ordenamiento penal.

D) Daños.

El artículo 264 del Código Penal queda redactado así: 1. El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese, o hiciese inaccesibles datos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a dos años.

2. El que por cualquier medio, sin estar autorizado y de manera grave obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, cuando el resultado producido fuera grave, será castigado, con la pena de prisión de seis meses a tres años.

3. Se impondrán las penas superiores en grado a las respectivamente señaladas en los dos apartados anteriores y, en todo caso, la pena de multa del tanto al décuplo del perjuicio ocasionado, cuando en las conductas descritas, concurra algunas de las siguientes circunstancias:

1º Se hubiese cometido en el marco de una organización criminal.

2º Haya ocasionado daños de especial gravedad o afectado a los intereses generales.

4. Cuando de acuerdo con lo establecido en el artículo 31 bis una persona jurídica sea responsable de los delitos comprendidos en este artículo, se le impondrán las siguientes penas:

a) Multa del doble al cuádruple del perjuicio causado, si el delito cometido por la persona física tiene prevista una pena de prisión de más de dos años.

b) Multa del doble al triple del perjuicio causado, en el resto de los casos.

Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribunales podrán asimismo imponer las penas recogidas en las letras b) a g) del apartado 7 del artículo 33”.

Comentario:

            La modificación del artículo 264 del CP es de gran importancia desde el punto de vista que nos ocupa, en lo que se refiere a la seguridad de las tecnologías de la información.

1.      La conducta típica del injusto del punto 1, consiste en borrar, dañar, deteriorar, o hacer inaccesibles datos, programas y documentos informáticos, utilizando cualquier medio y sin disponer de autorización.

Esta conducta está castigada con pena de prisión de seis meses a dos años.

2.    La conducta típica del injusto del punto 2, consiste en introducir, transmitir, dañar, borrar, deteriorar, alterar, suprimir o hacer inaccesible datos informáticos, utilizando cualquier medio, y careciendo de autorización, cuyo resultado sea obstaculizar o interrumpir, de manera grave, el funcionamiento de un sistema informático ajeno.

Esta conducta está castigada con la pena de prisión de seis meses a tres años.

3.      El punto 3, se refiere a un tipo cualificado, configurado por la realización de conductas a las que se refieren los apartados anteriores, cuando en ellas de ellas concurra alguna la circunstancia de que:

   i.      Se hubiera cometido en el marco de una organización criminal, entendida en el sentido del artículo 570, bis.

   ii.      Se hayan causado daños de especial gravedad o hayan afectado a los intereses generales.

La conducta típica, cualificada, a la que se refiere este punto está castigada con las penas superiores en grado a las señaladas, respectivamente, en los puntos 1 y 2 y, en todo caso, la de multa del tanto al décuplo del perjuicio ocasionado por las conductas típicas.

De acuerdo con lo previsto en el artículo 70 del CP, la pena superior en grado de la de seis meses a dos años del punto 1, es una pena de dos años y un día a tres años.

Y la pena superior en grado  de la de seis meses a tres años, del punto 2, es una pena de tres años y un día a cuatro años y medio.

4.      Cuando sea una persona jurídica la responsable de la comisión de los delitos indicados, se impondrán las siguiente penas:

a.      Multa del doble al cuádruplo del perjuicio causado, si el delito cometido tiene prevista una pena de prisión de más de dos años.

b.      Multa del doble al triple del perjuicio causado, en el resto de los casos.

II.Insuficiencia normativa.

Si bien es cierto que las modificaciones normativas introducidas en el Código Penal constituyen un importante avance por lo que se refiere a la protección penal de la seguridad de la información y las comunicaciones, que se viene a unir a otras modificaciones anteriores, no es menos cierto que la normativa penal española es insuficiente en este ámbito.

Hemos de resaltar la ausencia de proyección de las modificaciones experimentadas en ámbitos tan esenciales para la convivencia y, por consiguiente, tan necesitados de regulación penal como: 

-          Delitos contra la Administración pública (Título XIX, Libro II).

-          Delitos contra la Administración de Justicia (Título XX, Libro II).

-          Delitos contra la Constitución (Título XXI, Libro II).

-          Delitos contra el orden público (Título XXII, Libro II).

-          Delitos de traición y contra la paz o la independencia del Estado y relativos a la Defensa Nacional. (Libro XXIII, Libro II).

-          Delitos contra la Comunidad Internacional (Título XXIV, Libro II).

-          Faltas reguladas en el Libro III.

A tenor del uso generalizado de las tecnologías de la información y las comunicaciones en nuestra sociedad, en el Estado y en la Comunidad Internacional, y la necesidad que estas tecnologías tienen de seguridad, así como las amenazas y riesgos que comporta su utilización para la comisión de actos delictivos, consideramos necesario introducir su regulación penal en los ámbitos indicados, bien mediante tipos penales específicos, bien mediante la implantación de tipos penales cualificados, a través de una exhaustiva revisión de todos los delitos y faltas que integran los capítulos de los títulos indicados, y su adecuación a la nueva sociedad cibernética en la que estamos inmersos.

De igual modo, tal vez la regulación penal de tipos específicos no sea suficiente y, la nueva realidad, requiera introducir en el código penal, nuevos conceptos jurídicos –y su protección- (activo de información, seguridad cibernética, seguridad de la información y las comunicaciones, seguridad de la red, estructura nacional cibernética, estructura internacional cibernética,  infraestructuras críticas, conductas contrarias a la seguridad cibernética, dimensión global de este fenómeno, guerra cibernética, terrorismo cibernético, acto cibernético de guerra,  ataque cibernético, patrimonio tecnológico mundial, infraestructura mundial de tecnología, deber de información de ataques cibernéticos, paz digital, etc.)

III.La seguridad cibernética como bien jurídico protegido.

La necesidad de justificar y explicar ante la sociedad las razones de la intervención del Derecho penal, se articula en torno al concepto de “bien jurídico”, que se configura como legitimador del concepto de delito.

Siguiendo las teorías personalistas, el bien jurídico es un conjunto de intereses humanos dignos de protección.

La protección de las instituciones solo se justifica en tanto es condición de posibilidad de protección de la persona. El interés humano en el que consiste el bien jurídico, sería el valor que ha de tener protección preferente, de entre los concurrentes, en el caso de conflicto social.

Los bienes jurídicos individuales y los colectivos son distintas soluciones jurídicas a diferentes situaciones sociales, con unidad de fin de justificación y de criterios de aplicación.

El bien jurídico colectivo opera a modo de barrera de protección jurídica anticipada, a la lesión de bienes jurídicos individuales. Y no todos los bienes jurídicos colectivos sitúan su barrera de protección en el mismo momento, sino que existen unos que actúan más adelantados que otros.

La sectorización de la protección, supone la existencia de bienes jurídicos para determinados ámbitos de riesgo.

Además de los bienes jurídicos colectivos o supraindividuales, existen otras fórmulas de protección, mediante la construcción de tipos de peligro o delitos de peligro.

Como resultado de la coordinación de estos criterios surgen bienes jurídicos cada vez más alejados del bien jurídico básico, del que tendrán carácter subsidiario, pero con respecto al cual se comportarán de forma independiente y autónoma.[1]

El bien jurídico considerado como unidad funcional valía para la sociedad, regida constitucionalmente y, por tanto, valioso, también para los ciudadanos individualmente considerados, no es algo estático, sino que evoluciona según el desarrollo de la sociedad, proporcionando un “presupuesto para la vida en común próspera, de individuos libres en una sociedad estatal” (Roachim), requiere de una delimitación precisa, diferenciada de las ideas morales, que seleccione daños y amenazas que se pueden sufrir de forma real.

Las característica del Ciberespacio, hace que la seguridad cibernética juegue un papel central en su aplicación en el contexto de un Estado de Derecho, así como en el juego de relaciones internacionales, llegando a ser una constante, presente, de una u otra forma, en todos los intereses en juego del nuevo ámbito relacional cibernético.

Esta omnipresencia de las relaciones cibernéticas, en todos sus aspectos, técnicos, sociológicos, jurídicos, económicos y políticos, hace emerger al Ciberespacio –y las relaciones electrónicas que lo sustentan- como un nuevo valor, un nuevo bien jurídico digno de protección –barrera de protección jurídica anticipada- , de carácter universal, que deberá servir para configurar nuevos tipos penales, con independencia de los ya existentes y, entre los que destaca por su importancia para hacer viable el bien principal, la seguridad cibernética y el derecho al uso seguro de Internet.

La seguridad cibernética como garante de un estándar de seguridad colectiva en el ámbito relacional constituido por el Ciberespacio, es un área de confluencia de intereses de la más variada índole (públicos y privados, estatales, comerciales, industriales, individuales, sociales, militares, de inteligencia o policiales).

La seguridad cibernética es un bien jurídico que adquiere una dimensión institucional y supraindividual, cuyo objeto jurídico de protección inmediato es la seguridad colectiva, lo que no impide que determinados bienes jurídicos individuales constituyan un objeto inmediato de protección, en una situación valorativa en relación al bien supraindividual.

Los bienes jurídicos son unidades funcionales relativas, referidos al orden social del momento, y sus objetivos.

La seguridad cibernética es una entidad nueva de protección, referida a los procesos y funciones que ha de cumplir el sistema, para que estén aseguradas las bases y condiciones, esencialmente los bienes jurídicos individuales.

Frente a los medios de comisión cibernéticos, de gran potencia lesiva, la seguridad cibernética tiene entidad suficiente para recibir un tratamiento autónomo como bien jurídico penalmente relevante.

Como bien jurídico, junto a los intereses individuales protegidos, se puede percibir algo que transciende y que se podría definir como “el derecho que todos tienen para el desenvolvimiento normal de sus vidas en paz, sosiego, bienestar y tranquilidad” (STS de 9 de octubre de 1984) en el ámbito del Ciberespacio.[2]

Por todo ello, tal vez sería conveniente establecer en el Código Penal, un tipo específico, relativo a los delitos contra la seguridad cibernéticas, en el Título relativo a los delitos contra la seguridad colectiva, que conviviría con subtipos referidos a bienes jurídicos individualizados como la libertad de expresión, la privacidad, la intimidad, el secreto de las comunicaciones, la seguridad del Estado, la prevención y persecución del delito, o los datos de carácter personal, u otros.

IV. Derecho penal cibernético.

El alcance y profundidad de la regulación penal requerida a consecuencia de la impregnación cibernética en la vida de la Sociedad, del Estado y de los Individuos, permite vislumbrar que estamos ante el nacimiento del Derecho Penal Cibernético, como una gran especialidad dentro del Derecho Penal, a modo de cómo lo son: Extranjería, Medio Ambiente, Seguridad Vial, Menores, Vigilancia Penitenciaria,  Delitos Económicos, etc.

El fenómeno cibernético requiere enfoques “micro” y “macro” y, articular su dimensión penal. Con las regulaciones penales introducidas –tanto las derivadas de la última reforma del CP, como las anteriores- contempla solo algunos aspectos puntuales, de una y otra dimensión, pero no responde a un enfoque integral del fenómeno y su repercusión penal.

Por ello, entendemos, el fenómeno cibernético debe ser abordado en toda su amplitud y dimensión y proyectarlo en su aspecto penal, lo que requiere un profundo estudio desde esta óptica y plasmar sus consecuencias en el texto del Código Penal.

 

 

 

[1] Paz M. de la Cuesta Aguado, “Norma primaria y bien jurídico: su incidencia en la configuración del injusto”.

[2] “Comentarios a la Parte Especial del Derecho Penal”, Gonzalo Quintero Olivares y otros, Editorial Aranzadi, Pamplona 1996.

 

 

Ultimas Noticias

theeconomyjournal

articulo

theeconomyjournal

Dsecargate el articulo en PDF

pdf articulo

GTranslate

Ciberseguridad y Derecho / Copyright © 2013. All Rights Reserved. josemaria@molinamateos.com

Designed by Index Madrid.