15 marzo 2011

En el derecho comparado se llevaba observando una clara tendencia, tanto doctrinal como normativa, hacia la consagración de la responsabilidad de las personas jurídicas, derivada de la comisión de determinados delitos.

Los países desarrollados han llegado al convencimiento de la necesidad de responsabilizar, a nivel legal, a las personas jurídicas por hechos que producen daños significativos a los bienes jurídicos más relevantes para la sociedad.

La OCDE solicita a los Estados parte, que establezcan la responsabilidad de las personas jurídicas como medida más eficaz y uniforme para combatir el delito.

Con la nueva reforma del Código Penal, se ha configurando la vía que permite responsabilizar a las personas jurídicas, con el fin de que éstas, adopten medidas de autorregulación, intentando de esta manera, armonizar los principios de libertad de empresa y económica, con el de responsabilidad y orden público.

Concretamente con la reforma del Código Penal se establece, que las personas jurídicas pueden ser penalmente responsables de los delitos cometidos por sus empleados, en aquellos posibles casos, que no se hubiesen adoptado sobre ellos, el debido control atendiendo a las circunstancias concretas del caso.

Esta reforma, nada baladí, a mi entender, colisiona con nuestra jurisprudencia, que ha tendido a aplicar la máxima “societas delinquere non potest” sustentado en que no hay pena sin dolo o imprudencia. Elementos que sólo se dan en la conducta humana de la persona individual. Por lo que habrá que estar especialmente atento a como los Tribunales de Justicia, interpretan la figura del dolo o la imprudencia, como elemento esencial del código penal, sobre las personas jurídicas.

Con este nuevo régimen de responsabilidad penal, se persigue:
  1. Obligar a los órganos directivos empresariales, a adoptar una ordenada gestión y preocuparse por la prevención de hechos delictivos. (Teoría de la organización: El medio más efectivo para controlar una organización es hacer responsable de lo que en ella ocurra al decisor más poderoso.)  Principio de corresponsabilidad y participación.
  2. Un control más eficiente, dado que la responsabilidad colectiva hace más eficaz la individual.

En el ámbito de la UE, con el objeto de combatir los delitos cibernéticos, promulgó la Decisión Marco 2005/222/JAI del Consejo de Europa de 24 de Febrero de 2.005, relativa a ataques contra los Sistemas de Información, donde en sus Considerandos exponía, que los Estados miembros prevean sanciones contra ataques a los sistemas de información, sanciones que fuese efectivas, proporcionadas y disuasorias.

La citada Decisión Marco, ya establecía que se les pudiese exigir responsabilidad a las personas jurídicas, cuando la falta de vigilancia y control sobre el empleado, pudiese permitir la comisión de un ilícito por su parte.

Un informe de PWC, analizó los principales casos en los que los sistemas de información y la infraestructura de comunicación de la empresa, habían sido utilizados por sus empleados para cometer actos desleales o delitos (Actos desleales de trabajadores usando sistemas informáticos e Internet. Landwell. Abogados y Asesores Tributarios):



Nuestro código penal, recoge parte de estas conductas a través de su artículo 197 y siguientes, sancionando con penas de prisión de hasta cinco años y penas multa a quienes:

  • Vulneren secretos.
  • Accedan ilegítimamente a correos electrónicos.
  • Intercepten telecomunicaciones.
  • Accedan de manera indebida a activos de información.
  • Violen las políticas de seguridad.

En línea con la citada Decisión Marco, el nuevo Código Penal establece que la empresa puede llegar a ser penalmente responsable, si no adopta medidas de control en su organización, que eviten que sus empleados puedan cometer este tipo de delitos en provecho de las mismas.

Las consecuencias para la sociedad, por la dejación de funciones de supervisión y la comisión de delitos por parte de los empleados pueden llegar a ser:

  • Pena multa de 6 a 12 meses.
  • Disolución de la sociedad.
  • Suspensión de sus actividades por un plazo nunca superior a cinco años.
  • Clausura de sus locales o establecimientos por un plazo nunca superior a cinco años.
  • Inhabilitación para obtener subvenciones o ayudas públicas, para contratar con el sector público y para gozar de beneficios e incentivos fiscales o de la seguridad social, por un plazo que no podrá exceder de quince años.
  • Intervención judicial para salvaguardar los derechos de los trabajadores o de los acreedores, por el tiempo que se estime necesario, que no podrá exceder de cinco años.

La empresa, por tanto, deberá adoptar medidas de control, técnicas, jurídicas y organizativas, sobre la base de su responsabilidad -in vigilando sobre los trabajadores, encaminadas a impedir, obstaculizar o en su caso reportar al órgano de control correspondiente, aquellas posibles conductas constitutivas de delito llevadas a cabo por un empleado.

Las citadas medidas de control, deberán realizarse al amparo de nuestro ordenamiento jurídico. Por lo tanto, a la hora de adoptar cualquier tipo de medida de vigilancia, supervisión o control, se debe respetar el derecho a la intimidad de los trabajadores, evitando así cualquier tipo de colisión o conflicto entre dicho derecho y la facultad de Dirección y Control de la Actividad Laboral del empresario. Entendiendo la jurisprudencia, que las citadas medidas se han adoptado con las debidas garantías, cuando cumplen los requisitos del principio de proporcionalidad, descritos en la Sentencia del Tribunal Constitucional 186/2000 de 10 de julio (RTC 2000/186):

  • Juicio de idoneidad: si tal medida es susceptible de conseguir el objetivo propuesto.
  • Juicio de necesidad: si la medida es necesaria, en el sentido de que no exista otra más moderada para la consecución de tal propósito con igual eficacia.
  • Juicio de proporcionalidad en sentido estricto: si la medida es ponderada o equilibrada por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto.

Es importante sacar a colación en toda esta materia, la Sentencia del Tribunal Supremo de 26 de Septiembre de 2.007, de unificación de doctrina, donde se ha manifestado que los medios de propiedad de la empresa, entre ellos los equipos informáticos, cuentas de correo, redes de comunicaciones, que se facilitan al trabajador, quedan dentro del ámbito de vigilancia del empresario, pudiendo éste adoptar las medidas que estime más oportunas para verificar el cumplimiento por parte del trabajador de sus deberes y obligaciones, aunque este control debe respetar la consideración debida a la dignidad del trabajador.

Entre las múltiples medidas organizativas, algunas compañías optar por la opción de abrir los canales de denuncia o canales éticos (whistleblowing), que muchas corporaciones han definido en sus estructuras, bajo la estela del mandato de la Sarbanes Oxley, o en su caso por las Recomendaciones del Código Unificado de Buen Gobierno de las Sociedades Cotizadas de la Comisión Nacional del Mercado de Valores, para que los empleados, puedan denunciar posibles conductas ilícitas mediante el uso de las tecnologías de la información.

Las grandes corporaciones donde se dan figuras del tipo Data Protection Officer y Compliance Officer, van a tener que configurar sus atribuciones, dado que puede darse el caso de dualidad de competencias.

Al mismo tiempo por la connotación e implicaciones jurídicas que puede llevar aparejado para la sociedad, verse inmersa dentro de un proceso penal de esta naturaleza, los órganos competentes de la sociedad, llámese Comité de Auditoría, llámese Comité de Seguridad, motu proprio tendrán que definir e implantar la política de control y gestión del uso y acceso a los sistemas de información, a través del cual:

  • Se identifiquen todos los riesgos (operativos, tecnológicos, legales y reputacionales),
  • La fijación del nivel de riesgo que la sociedad considera aceptable,
  • Las medidas previstas para mitigar el impacto de los riesgos identificados, en caso de que llegarán a materializarse,
  • Los sistemas de información y control interno que se utilizarán para controlar y gestionar los riesgos,
  • Políticas, procedimientos, y códigos de conducta.
La citada política, como muchas otras en materia de seguridad de la información, debe ser correctamente definida e implantada, yendo a unos objetivos de resultado. Haciendo una comparación Mutatis Mutandis con los documentos de seguridad, la Audiencia Nacional ha determinado en innumerables de sus Sentencias, por ejemplo la de 9 de Octubre de 2.006, Rec. 271/2005, Sala de lo Contencioso Administrativo: “no basta con adoptar cualquier medida, sino aquellas que sean necesarias para garantizar los objetivos que marcan los preceptos trascritos y que por supuesto no basta con la aprobación formal de las medidas de seguridad, pues resulta exigible que aquellas se instauren y pongan en práctica de manera efectiva, para impedir en un caso como el enjuiciado accesos indebidos aunque sean los propios empleados de la empresa”.

Ardua es la tarea frente a la que se van a encontrar las organizaciones, donde la labor de supervisión de los empleados en lo que respecta al uso de los sistemas de información, se verá ahora agravado, por un nuevo régimen de responsabilidad penal. Mi recomendación jurídica siempre desde una perspectiva de defensa, preconstituir prueba, dejar debida constancia documental sobre la supervisión realizada. Los modelos de gestión de la seguridad sustentados sobre la serie de normas ISO/IEC 27000 son una buena herramienta.

Pero recordemos el proverbio chino: No siempre el mejor camino es el más corto.

----------------------------
Contribución por:
Gonzalo Salas Claver
Senior Manager
Grupo SIA

5 comments :

Abogado Marbella dijo...

Perfecto y muy cmpleto, el artículo tiene de todo y juega muy bien con los términos jurídicos, lo guardaré, un saludo

Amedeo Maturo dijo...

Francamente interesante. Sólo me quedan dudas sobre el papel de la Fiscalía frente al art. 197CP, pero la práctica lo dirá.
Gracias por el post.

Gonzalo dijo...

El tipo penal del 197 es una Figura delictiva (iter criminis) que se integra en la categoría de los delitos de intención y en la modalidad de delito mutilado de dos actos, uno de apoderamiento, interceptación o utilización de artificios técnicos, unido a un elemento subjetivo adicional al dolo, consistente en el ánimo de realizar un acto posterior, para descubrir el secreto o vulnerar la intimidad de otro.
Sobre la aplicabilidad de este tipo penal, nuestra Jurisprudencia se ha manifestado en Sentencias como:
Sentencia del Tribunal Supremo de 11 de Julio de 2.001, indica: “La conducta se consuma, sin necesidad de que un ulterior perjuicio se produzca (…) El delito se consuma tan pronto el sujeto activo accede a los datos, esto es, tan pronto los conoce y tiene a su disposición, pues solo con eso se ha quebrantado la reserva que los cubre”
Sentencia del Tribunal Supremo de 18 de Febrero de 1.999; “Esta Sala en la Sentencia de 18 de Febrero de 1.999, a propósito de este tema, ya llego a la conclusión de que no debía conceptuarse la expresión “en perjuicio de tercero”, como un ánimo especifico de perjudicar, cuya ausencia convertiría en impunes, conductas que hubiesen puesto al descubierto la intimidad de otro, atacando abiertamente el habeas data. De no entenderlo así quedaría desprotegido el bien jurídico que se trata de tutelar, haciendo ilusoria la previsión punitiva”
Sentencia del Tribunal Supremo de 9 de Diciembre de 2.010: “Y basta con que la acción se realice con la finalidad dicha, sin que resulte necesario para la consumación la producción del resultado lesivo. Se trata por tanto de un delito de peligro que no requiere la ulterior producción de un resultado lesivo.”

Gonzalo Salas

Álvaro Del Hoyo dijo...

Buenas, Gonzalo

Enhorabuena por el post.

Por ponerle un pero, por no haberse precisado algo más con respecto al tipo objetivo del artículo 31 bis, creo que no acaba de distinguirse bien del todo:

a) la monitorización para prevenir y detectar delitos por nombre, en cuenta y provecho de la empresa, siendo autores administradores de derecho o hecho y personas subordinadas a ellos (art. 31 bis CP), ya sean éstas últimas empleados de la entidad o de proveedores que estén a su cargo; y

b) la monitorización de usuarios de sus sistemas para gestionar la seguridad en términos de confidencialidad, integridad y disponibilidad, así como también para la detección de delitos cometidos contra la propia organización o terceros, que en ningún caso se cometan en nombre, por cuenta o provecho de la entidad. A ello se suma en su caso la obligación legal de control de accesos a ficheros de datos de salud del art. 103 RLOPD.

En cualquier caso, como bien dices, no basta con documentar, y hacerlo bien, sino que también se ha de implantar y usar efectivamente los controles de monitorización y, en caso de detectar incidencias, gestionarlas como procedan como por ejemplo aplicando el régimen sancionador y si acaso la denuncia o querella de lo que pudieran parecer delitos. Si así no se hiciera, si existiera tolerancia entonces la norma no será lo escrito, sino lo practicado.

Para conseguir esto no es necesario implantar la ISO 27001, certificándola o no, pero desde luego que ello ayuda a cubrir el objetivo de monitorización y otros muchos que vienen a entenderse incluidos en la debida diligencia de las organizaciones.

Esta es una prueba más del panoptismo en el que ya estamos, y que se acrecienta casi cada día.

Un saludo

Gonzalo Salas dijo...

Recomiendo la lectura de la Circular 1/2011 de 1 de Junio de la Fiscalia General del Estado sobre esta materia y donde interpreta la nueva teoria general del delito de las corporaciones.