Blog de Hacking ®

It's te Hack Generation!

  • Mensaje de Bienvenida

    Estimado Visitante. Le damos la más cordial bienvenida a nuestra Blog de Hacking. Esperamos que encuentre con nosotros la información que usted busca, y que como resultado de ello, nos veamos favorecidos con su elección y preferencia hacia nosotros. En este blog usted podra encontrar muchas cosas de su utilidad, desde herramientas, manuales, tutoriales hazta consejos los cuales ayudaran a seguir ampliando su conocimiento & siga aumentando su pasiòn por la informàtica. Le deceamos mucha suerte & que se divierta en nuestro Blog, esperemos este lugar sea de su agrado, un cordial saludo & bienvenido. Atte: SiriusBl@ck

En el derecho comparado se llevaba observando una clara tendencia, tanto doctrinal como normativa, hacia la consagración de la responsabilidad de las personas jurídicas, derivada de la comisión de determinados delitos.

Los países desarrollados han llegado al convencimiento de la necesidad de responsabilizar, a nivel legal, a las personas jurídicas por hechos que producen daños significativos a los bienes jurídicos más relevantes para la sociedad.

La OCDE solicita a los Estados parte, que establezcan la responsabilidad de las personas jurídicas como medida más eficaz y uniforme para combatir el delito.

Con la nueva reforma del Código Penal, se ha configurando la vía que permite responsabilizar a las personas jurídicas, con el fin de que éstas, adopten medidas de autorregulación, intentando de esta manera, armonizar los principios de libertad de empresa y económica, con el de responsabilidad y orden público.

Concretamente con la reforma del Código Penal se establece, que las personas jurídicas pueden ser penalmente responsables de los delitos cometidos por sus empleados, en aquellos posibles casos, que no se hubiesen adoptado sobre ellos, el debido control atendiendo a las circunstancias concretas del caso.

Esta reforma, nada baladí, a mi entender, colisiona con nuestra jurisprudencia, que ha tendido a aplicar la máxima “societas delinquere non potest” sustentado en que no hay pena sin dolo o imprudencia. Elementos que sólo se dan en la conducta humana de la persona individual. Por lo que habrá que estar especialmente atento a como los Tribunales de Justicia, interpretan la figura del dolo o la imprudencia, como elemento esencial del código penal, sobre las personas jurídicas.

Con este nuevo régimen de responsabilidad penal, se persigue:
  1. Obligar a los órganos directivos empresariales, a adoptar una ordenada gestión y preocuparse por la prevención de hechos delictivos. (Teoría de la organización: El medio más efectivo para controlar una organización es hacer responsable de lo que en ella ocurra al decisor más poderoso.)  Principio de corresponsabilidad y participación.
  2. Un control más eficiente, dado que la responsabilidad colectiva hace más eficaz la individual.

En el ámbito de la UE, con el objeto de combatir los delitos cibernéticos, promulgó la Decisión Marco 2005/222/JAI del Consejo de Europa de 24 de Febrero de 2.005, relativa a ataques contra los Sistemas de Información, donde en sus Considerandos exponía, que los Estados miembros prevean sanciones contra ataques a los sistemas de información, sanciones que fuese efectivas, proporcionadas y disuasorias.

La citada Decisión Marco, ya establecía que se les pudiese exigir responsabilidad a las personas jurídicas, cuando la falta de vigilancia y control sobre el empleado, pudiese permitir la comisión de un ilícito por su parte.

Un informe de PWC, analizó los principales casos en los que los sistemas de información y la infraestructura de comunicación de la empresa, habían sido utilizados por sus empleados para cometer actos desleales o delitos (Actos desleales de trabajadores usando sistemas informáticos e Internet. Landwell. Abogados y Asesores Tributarios):



Nuestro código penal, recoge parte de estas conductas a través de su artículo 197 y siguientes, sancionando con penas de prisión de hasta cinco años y penas multa a quienes:

  • Vulneren secretos.
  • Accedan ilegítimamente a correos electrónicos.
  • Intercepten telecomunicaciones.
  • Accedan de manera indebida a activos de información.
  • Violen las políticas de seguridad.

En línea con la citada Decisión Marco, el nuevo Código Penal establece que la empresa puede llegar a ser penalmente responsable, si no adopta medidas de control en su organización, que eviten que sus empleados puedan cometer este tipo de delitos en provecho de las mismas.

Las consecuencias para la sociedad, por la dejación de funciones de supervisión y la comisión de delitos por parte de los empleados pueden llegar a ser:

  • Pena multa de 6 a 12 meses.
  • Disolución de la sociedad.
  • Suspensión de sus actividades por un plazo nunca superior a cinco años.
  • Clausura de sus locales o establecimientos por un plazo nunca superior a cinco años.
  • Inhabilitación para obtener subvenciones o ayudas públicas, para contratar con el sector público y para gozar de beneficios e incentivos fiscales o de la seguridad social, por un plazo que no podrá exceder de quince años.
  • Intervención judicial para salvaguardar los derechos de los trabajadores o de los acreedores, por el tiempo que se estime necesario, que no podrá exceder de cinco años.

La empresa, por tanto, deberá adoptar medidas de control, técnicas, jurídicas y organizativas, sobre la base de su responsabilidad -in vigilando sobre los trabajadores, encaminadas a impedir, obstaculizar o en su caso reportar al órgano de control correspondiente, aquellas posibles conductas constitutivas de delito llevadas a cabo por un empleado.

Las citadas medidas de control, deberán realizarse al amparo de nuestro ordenamiento jurídico. Por lo tanto, a la hora de adoptar cualquier tipo de medida de vigilancia, supervisión o control, se debe respetar el derecho a la intimidad de los trabajadores, evitando así cualquier tipo de colisión o conflicto entre dicho derecho y la facultad de Dirección y Control de la Actividad Laboral del empresario. Entendiendo la jurisprudencia, que las citadas medidas se han adoptado con las debidas garantías, cuando cumplen los requisitos del principio de proporcionalidad, descritos en la Sentencia del Tribunal Constitucional 186/2000 de 10 de julio (RTC 2000/186):

  • Juicio de idoneidad: si tal medida es susceptible de conseguir el objetivo propuesto.
  • Juicio de necesidad: si la medida es necesaria, en el sentido de que no exista otra más moderada para la consecución de tal propósito con igual eficacia.
  • Juicio de proporcionalidad en sentido estricto: si la medida es ponderada o equilibrada por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto.

Es importante sacar a colación en toda esta materia, la Sentencia del Tribunal Supremo de 26 de Septiembre de 2.007, de unificación de doctrina, donde se ha manifestado que los medios de propiedad de la empresa, entre ellos los equipos informáticos, cuentas de correo, redes de comunicaciones, que se facilitan al trabajador, quedan dentro del ámbito de vigilancia del empresario, pudiendo éste adoptar las medidas que estime más oportunas para verificar el cumplimiento por parte del trabajador de sus deberes y obligaciones, aunque este control debe respetar la consideración debida a la dignidad del trabajador.

Entre las múltiples medidas organizativas, algunas compañías optar por la opción de abrir los canales de denuncia o canales éticos (whistleblowing), que muchas corporaciones han definido en sus estructuras, bajo la estela del mandato de la Sarbanes Oxley, o en su caso por las Recomendaciones del Código Unificado de Buen Gobierno de las Sociedades Cotizadas de la Comisión Nacional del Mercado de Valores, para que los empleados, puedan denunciar posibles conductas ilícitas mediante el uso de las tecnologías de la información.

Las grandes corporaciones donde se dan figuras del tipo Data Protection Officer y Compliance Officer, van a tener que configurar sus atribuciones, dado que puede darse el caso de dualidad de competencias.

Al mismo tiempo por la connotación e implicaciones jurídicas que puede llevar aparejado para la sociedad, verse inmersa dentro de un proceso penal de esta naturaleza, los órganos competentes de la sociedad, llámese Comité de Auditoría, llámese Comité de Seguridad, motu proprio tendrán que definir e implantar la política de control y gestión del uso y acceso a los sistemas de información, a través del cual:

  • Se identifiquen todos los riesgos (operativos, tecnológicos, legales y reputacionales),
  • La fijación del nivel de riesgo que la sociedad considera aceptable,
  • Las medidas previstas para mitigar el impacto de los riesgos identificados, en caso de que llegarán a materializarse,
  • Los sistemas de información y control interno que se utilizarán para controlar y gestionar los riesgos,
  • Políticas, procedimientos, y códigos de conducta.
La citada política, como muchas otras en materia de seguridad de la información, debe ser correctamente definida e implantada, yendo a unos objetivos de resultado. Haciendo una comparación Mutatis Mutandis con los documentos de seguridad, la Audiencia Nacional ha determinado en innumerables de sus Sentencias, por ejemplo la de 9 de Octubre de 2.006, Rec. 271/2005, Sala de lo Contencioso Administrativo: “no basta con adoptar cualquier medida, sino aquellas que sean necesarias para garantizar los objetivos que marcan los preceptos trascritos y que por supuesto no basta con la aprobación formal de las medidas de seguridad, pues resulta exigible que aquellas se instauren y pongan en práctica de manera efectiva, para impedir en un caso como el enjuiciado accesos indebidos aunque sean los propios empleados de la empresa”.

Ardua es la tarea frente a la que se van a encontrar las organizaciones, donde la labor de supervisión de los empleados en lo que respecta al uso de los sistemas de información, se verá ahora agravado, por un nuevo régimen de responsabilidad penal. Mi recomendación jurídica siempre desde una perspectiva de defensa, preconstituir prueba, dejar debida constancia documental sobre la supervisión realizada. Los modelos de gestión de la seguridad sustentados sobre la serie de normas ISO/IEC 27000 son una buena herramienta.

Pero recordemos el proverbio chino: No siempre el mejor camino es el más corto.

----------------------------
Contribución por:
Gonzalo Salas Claver
Senior Manager
Grupo SIA

Categories:

0 Response for the "La Responsabilidad Penal de las Personas Jurídicas en los Delitos de Descubrimiento y Revelación de Secretos"

Publicar un comentario