Por Norberto J. de la Mata

La incorporación de la Directiva 2013/40 en el Código Penal

La Directiva 2013/40/UE del Parlamente Europeo y del Consejo de 12 de agosto de 2013 relativa a los ataques contra los sistemas de información obliga a los legisladores de los estados de la Unión Europea a considerar delito los ataques a la integridad y disponibilidad de datos y sistemas. El legislador español atendía desde 2010 las exigencias de la previa Decisión marco 2005/222/JAI del Consejo de 24 de febrero, similar a la Directiva en muchos aspectos. Con la reciente reforma de 30 de marzo del Código Penal traslada todo el contenido de la normativa europea a los nuevos artículos 264, 264 bis y 264 quater del Código Penal, ubicados en el Capítulo dedicado a los delitos de daños.

Las conductas descritas en los artículos 4 y 5 de la Directiva están transcritas casi de forma literal en los nuevos artículos del Código 264 bis 1, en relación con la actuación o interferencia en los sistemas, y 264.1, en relación con la actuación o interferencia en los datos.

El artículo 7 de la Directiva, referido a las sanciones por tenencia de instrumentos que facilitan la comisión de estas actuaciones, se incorpora al artículo 264 ter, precepto que, sin embargo, no incluye el llamado principio de irrelevancia que sí contempla el texto europeo (posibilidad de no sancionar determinadas conductas de escaso desvalor: “al menos en los casos que no sean de menor gravedad”).

Se respeta además el marco penal exigido con carácter general por el artículo 9 y el exigido para los supuestos agravados del artículo 9.3 de la Directiva que obligan a llegar a los tres años de prisión en determinados supuestos de daños (art. 264.2 – que permite llegar hasta los siete años y seis meses de prisión – y 264 bis. 2 – que permite llegar hasta los ocho años de prisión -).

La previsión del artículo 9.5 sobre penalización de la utilización de datos de carácter personal se traslada a los artículos 264.3 y 264 bis. 3.

Y en cuanto a la responsabilidad de las personas jurídicas, el artículo 264 quater la contempla en los términos exigidos por el legislador europeo en sus artículos 10 y 11.

Análisis

Qué duda cabe que tras la reforma operada por la Ley Orgánica 5/2010 el Código Penal español avanzó en la tutela de los sistemas de información tratando de acomodarse a lo que le exige la Unión Europea. La reforma de 2015 ha culminado la adaptación de nuestra legislación (a la vanguardia, en cuanto a nivel punitivo se entiende) a la de la Unión.

Ahora bien, quizás no se ha acertado a captar el sentido tanto de la Decisión derogada como de la Directiva hoy vigente. Es cierto que las transposiciones europeas se vienen haciendo en nuestro Código Penal desde el respeto a la sistemática tradicional del mismo, en su caso con el habitual recurso a los títulos, capítulos o artículos bis, ter, quater, etc., integrando cada nueva figura delictiva entre los delitos tradicionales que protegen bienes jurídicos consolidados (intimidad, libertad sexual, patrimonio, etc.). Esto era factible hasta ahora por las temáticas abordadas.

La tutela de los sistemas de información no es o no es sólo la de un patrimonio individual por mucho que las conductas que puedan afectar intereses de este carácter se asemejen a las que hagan peligrar las infraestructuras críticas que tiene en cuenta la Directiva (destruir, dañar, alterar, etc.). Y de una u otra forma el legislador español debiera ser consciente de ello. No sólo tratando de acomodar redacciones legales, sino entendiendo el objetivo de la regulación europea, abordándolo desde ese entendimiento y buscando una ubicación más correcta acorde con el bien jurídico protegido. Así, los delitos contra la integridad y disponibilidad de datos y sistemas no son delitos de daños. O no son sólo delito de daños.

En efecto, podría haber sido preferible tutelar la integridad y disponibilidad de la información contenida en redes o soportes informáticos como bien jurídico autónomo. La razón se encuentra en que el mismo tiene o que puede tener que ver con un concepto funcional de propiedad y patrimonio, pero va más allá de éste ya que afecta al buen funcionamiento de estructuras críticas, públicas, empresariales, socio-personales. Lo que, en mi opinión obliga a concebirlo como un bien jurídico no exclusivamente patrimonial y, por tanto, a concebir y ubicar estos delitos de una forma autónoma.

Por ejemplo, ¿cómo debe valorarse el perjuicio que causa una recepción masiva de correo spam que me impide trabajar durante una hora hasta que logro desbloquear el ordenador? ¿Cuál es el daño en los supuestos de denegación de servicio? ¿Cuál es el perjuicio patrimonial causado a una central de policía que tarda quince minutos en reparar una intrusión informática, sin coste material, pero que ha impedido a la central atender cinco, diez o veinte llamadas de emergencia durante ese período de tiempo?

Lo que late en la normativa internacional no es la tutela del patrimonio individual, sino la seguridad de los sistemas de información en sí mismos considerados y, en su caso su integridad y disponibilidad frente a conductas que menoscaban su funcionalidad. Se trata de garantizar su correcto funcionamiento porque éste es cada vez más importante para el funcionamiento de una Sociedad cada vez más dependiente de dichos sistemas. De ahí que, en otras legislaciones (véase, por ejemplo, Francia, arts. 323-1 y ss. CP y, sobre todo Sudamérica y Centroamérica), se está optando por tipificaciones específicas, al margen de que pueda también reconocerse el hecho informático en la redacción de otros delitos en los que el mismo pueda tener alguna relevancia. 

No podemos limitarnos a copiar lo que nos llega desde Europa. Tenemos que saber por qué lo copiamos y para qué lo hacemos. Si no, la nueva regulación que se propone en la legislación estatal no será eficaz. El seguidismo europeo es obligatorio (somos un estado de la Unión). Pero tenemos que saber qué implica el mismo.