La reforma lleva a cabo la transposición de la Directiva Europea 2013/40/UE del Parlamento Europeo y del Consejo de 12 de agosto de 2013, relativa a los ataques contra los sistemas de información y por la que se sustituye la Decisión Marco 2005/222/JAI del Consejo.
Se trata de adecuar la normativa penal para dotar de la necesaria protección a los sistemas de información, y que sean consideradas delictivas aquellas conductas que consistan en el acceso e interferencia ilegales de los mismos, así como de los datos informáticos que contengan.
En este sentido, se incorpora como conducta delictiva el llevar a cabo sin autorización y mediante la utilización de artificios u instrumentos técnicos, la interceptación de transmisiones no públicas de datos informáticos que se produzcan desde, hacia o dentro de un sistema de información, incluidas las emisiones electromagnéticas de los mismos (art. 197 bis, apartado 2). Es decir, van a ser objeto de persecución penal no solo la interceptación de comunicaciones personales, que ya están recogidas en el Código, sino también aquellas interceptaciones que se produzcan entre sistemas o equipos.
Otra novedad de la reforma es considerar delictiva tanto la producción como la adquisición para su uso, importe o facilitación a terceros, de programas informáticos concedidos o adaptados para cometer delitos informáticos, y también proporcionar contraseñas de ordenador o códigos de acceso que permitan acceder a todo o parte de un sistemas de información (art. 197 ter).
En estos delitos que están dentro del capítulo relativo al descubrimiento y revelación de secretos, y que en el marco concreto de los sistemas de información podríamos encuadrar dentro de lo que se denomina «espionaje informático», está prevista la agravación de la pena cuando aquéllos se cometan en el seno de una organización o grupo criminal (art. 197 quater), así como la previsión de eventual responsabilidad de la persona jurídica (art. 197 quinquies).
En el ámbito de los delitos de daños (sabotaje informático) consistentes en borrar, deteriorar, alterar, suprimir o hacer inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos (art. 264), se produce una importante elevación de penas y, en cumplimiento de la Directiva precitada, se castigan con mayor gravedad, entre otros supuestos, cuando el hecho hubiera perjudicado gravemente el funcionamiento de servicios públicos esenciales y cuando haya afectado al sistema informático de una infraestructura crítica o se hubiera creado una situación de peligro grave para la seguridad del Estado, de la Unión Europea o de un Estado Miembro de la Unión Europea.
En relación a los daños que afecten a una infraestructura crítica, y al objeto de solventar los problemas de tipicidad que pudieran plantearse, toda vez que el catálogo de las mismas, según el art. 4.3 del Reglamento para su protección, aprobado por Real Decreto 704/2011, de 20 de mayo, es secreto, se optó por incorporar en el texto del precepto un concepto de infraestructura critica, tomándose como referencia la contenida en la propia Directiva.
La definición que se ha acogido para permitir la aplicación del tipo penal es la de considerar infraestructura crítica “un elemento, sistema o parte de este que sea esencial para el mantenimiento de funciones vitales de la sociedad, la salud, la seguridad, la protección y el bienestar económico y social de la población cuya perturbación o destrucción tendría un impacto significativo al no poder mantener sus funciones” (art. 264.2.4ª).
No hay comentarios:
Publicar un comentario