Norberto J. de la Mata Barranco

Un texto, en lo penal, irrelevante

Un dudoso éxito

Tras la aprobación, ratificaciones necesarias y puesta en marcha del Convenio de Budapest de 23 de noviembre de 2001, en el ámbito europeo la Decisión Marco 2005/222/AI primero, y la Directiva 2013/40/UE, después, consolidaban en cierta medida la atención normativa internacional a un fenómeno criminal, el de la delincuencia informática (o en expresión, más acuñada, pero menos correcta, el de la ciberdelincuencia) cada vez más en auge. Todos estos distintos Instrumentos fueron atendidos por el legislador español en las importantes Reformas operadas en el Código Penal por las LLOO 5/2010, de 22 de junio, y 1/2015, de 30 de marzo. Es lo que teníamos hasta ahora y lo que vamos a seguir teniendo, aun con Convención.

Tras años de trabajo, finalmente la Organización de Naciones Unidas aprueba su Convención contra la ciberdelincuencia (A/79/460) el 24 de diciembre de 2024 (con apertura a firmas en octubre de 2025). A la espera de su entrada en vigor (90 días después de su ratificación por 40 países) parece que las expectativas que había generado no se están traduciendo en grandes aplausos. De hecho, a pesar de contar con la firma de 76 signatarios (no, y esto es importante, de Estados Unidos) solo la han ratificado Azerbaiyán, Qatar y Vietnam. El panorama no es alentador.

¿Por qué?

Seguramente por las dudas de muchos Estados que cuestionan la posible vulneración de derechos humanos vinculados con la tutela de la intimidad que puede conllevar su aplicación. Llama la atención que los países que más han apostado por su aprobación hayan sido Bielorrusia, China, Corea del Norte, Cuba o Irán y no ya el resultado del Texto final, sino su propia exigencia, puede reflejar, parcialmente, una visión de la gobernanza de Internet favorable a la vigilancia estatal.

El Diario Oficial de la UE acaba de publicar la Decisión (UE) del Consejo 2026/1347, de 4 de junio de 2026, este pasado 19 de junio, aprobando la Convención (con autorización a firma el 13 de octubre de 2025) y de ahí la posible oportunidad de este breve comentario.

¿Qué aporta la Convención?

Básicamente instrumentos de cooperación procesal en sus arts. 22 a 34. De hecho, el título completo será el de Convención de las Naciones Unidas contra la ciberdelincuencia, fortalecimiento de la cooperación internacional para la lucha contra determinados delitos cometidos mediante sistemas de tecnología de la información y las comunicaciones y para la transmisión de pruebas en forma electrónica de delitos graves. Pero estos son, precisamente, los que critican sus detractores. Así, se alega que no es que se persiga el ciberdelito en sí (lo que dependerá de la transposición de cada regulación estatal), sino que lo que se hace es arbitrar medidas para que quien desee perseguir los delitos considerados pueda hacerlo sin excesivas trabas internacionales ni procesales. Pero también, y peor, sin quizás demasiada tutela de derechos fundamentales, que se remite a la previsión de cada Derecho interno.

Así, más allá de exigir la sanción de los clásicos ciberdelitos (los de 2013), la Convención tiene un alcance más amplio que permite la cooperación para investigar muchos otros delitos cometidos mediante tecnologías digitales o relacionados con pruebas electrónicas, con lo que, se dirá, al final se convierte en una Convención general sobre obtención y compartición de evidencias digitales.

También se hace patente el riesgo de vigilancia internacional mediante intercambio de datos electrónicos, que podrán ser utilizados por gobiernos con débiles estándares democráticos para obtener información sobre disidentes o críticos. Organizaciones como Human Rights Watch o Electronic Frontier Foundation ya han manifestado que las garantías sobre privacidad, libertad de expresión, proporcionalidad y supervisión judicial son demasiado débiles o ambiguas, a pesar de las previsiones de los arts. 4 y 5 de la Convención. Máxime cuando se corre el riesgo de tipificación de conductas que en legislaciones garantistas están protegidas por la libertad de expresión.

Se ha criticado igualmente la indefinición de muchos términos que pueden generar inseguridad para investigadores y denunciantes (no se ven amparados por la Convención whistleblowers, periodistas o agentes de seguridad informática), cuyas actividades podrían ser consideradas ilícitas en algunas legislaciones.

¿Representa entonces la Convención un avance con relación al Convenio de Budapest?

Lo cierto es que, desde un punto de vista del Derecho sustantivo, se incorporan nuevas modalidades delictivas al concepto internacional de ciberdelincuencia y que no puede negarse que hasta ahora los mecanismos de cooperación internacional están siendo garantistas, pero lentos y poco eficaces.

La Convención tiene vocación de universalidad e incluye la participación de importantes países no firmantes del Convenio, como China, India o Rusia. Utiliza conceptos más modernos y habla de sistemas vinculados a las tecnologías de información, no ya solo de sistemas informáticos. Pero, como se decía, remite el respeto a los derechos humanos (vinculado en el Convenio a un sistema europeo convencional muy asentado) a la normativa interna de cada país y con una posibilidad de jurisdicción extraterritorial bastante amplia. Se ha señalado que, de alguna manera, si en el Convenio de Budapest prima la privacidad, lo que en la Convención adquiere prevalencia es la vigilancia. Y que esta no se limita a exigir la persecución de los delitos informáticos más clásicos, sino que amplía la posibilidad de cooperación para obtener pruebas electrónicas, insiste en la preservación de datos informáticos, en el intercambio de información y en la asistencia judicial mutua.

¿Qué delitos se insta a contemplar penalmente por los Estados?

Los delitos, que ya contempla la Directiva de 2013, de acceso ilícito a sistemas de información (art. 7), interceptación ilícita de datos (art. 8), daños de datos (art. 9) y daños de sistemas (art. 10), así como conductas vinculadas con el uso indebido, tenencia, etc., de instrumentos para cometer las infracciones anteriores (art. 11). También se contemplan conductas a las que no se ha referido la normativa de la Unión Europea, pero sí el Convenio del Consejo de Europa, vinculadas a la falsificación (art. 12), los robos y fraudes, en realidad manipulaciones informáticas vinculadas a las estafas (art. 13) y los abusos sexuales o la explotación de niños (art. 14), clásicos delitos de contenido, esto es, delitos en los que las TICs representan el medio y no el objeto del ataque. A todos ellos se añaden los delitos de captación de menores para actos sexuales (art. 15), la difusión no consentida de imágenes íntimas (art. 16) y el blanqueo de bienes (art. 17). Esta es la principal aportación de la Convención. Y se prescinde de los clásicos delitos contra la propiedad industrial e intelectual. Por supuesto se mantiene como es habitual la responsabilidad de las personas jurídicas (art. 18), la sanción de la participación y la tentativa (art. 19) y la normativa sobre prescripción (art. 20).

¿Es una regulación completa y avanzada?

No. En absoluto.

En primer lugar, porque se invierte la tendencia que adoptó la Unión Europea. Prescindiendo de los llamados delitos de contenido (pornografía infantil) y de los mal llamados delitos informáticos (falsificaciones y fraudes) del Convenio del Consejo de Europa, su Decisión y su Directiva, se centra en los auténticos delitos que refieren conductas lesivas para el sostenimiento de infraestructuras críticas, en los delitos realmente vinculados a la protección de la seguridad informática y no en delitos clásicos cometidos por medios informáticos. Y así tipifica exclusivamente accesos y daños a datos y a sistemas. La Convención pierde esta acertada perspectiva y de nuevo atiende al medio comisivo del delito más que a la esencia del mismo. Pero una estafa es una estafa, con o sin medios informáticos, lo mismo que el blanqueo o que la pornografía.

Y, en segundo lugar, porque en todo el articulado se van arbitrando cláusulas restrictivas que permiten a los Estados limitar la punición de las conductas que exige considerar delictivas. Así cuando se permite que la punición “interna” exija cometer el delito “infringiendo medidas de seguridad” o con algún tipo de intención concreta o que el acto comporte grave daño o cuando se acepta el derecho de no aplicar todas las sanciones previstas para el artículo 11 o cuando se exige intención fraudulenta en la falsificación, el robo o el fraude o cuando se permite no sancionar conductas vinculadas a material de niños generado por ellos mismos o conductas vinculadas a pornografía infantil de uso privado, etc. Esto es, a cada una de las exigencias de tipificación penal de las conductas recogidas en los arts. 7 a 17 de la Convención se añaden cláusulas restrictivas que permiten a cada Estado ser menos punitivista y exigir para la sanción requisitos adicionales.

Habrá que ver cómo es la legislación de cada Estado y cómo evoluciona cuando la Convención entre en vigor (si entra). Pero, para España, la punición que se propone es claramente mucho menos exigente que la que ya tenemos, con lo que a efectos internos puede afirmarse que va a ser una Convención de nulo impacto en nuestra legislación penal. Otra cosa es que la implicación de Estados ajenos al Convenio de Budapest que puedan verse concernidos por ella permita una mayor facilidad en la persecución de delitos realmente informáticos o cometidos “a través de” medios informáticos.

foto: Pedro Fraile