Algunos aspectos dogmáticos de la delincuencia informática

DragonJAR 336x280 Algunos aspectos dogmáticos de la delincuencia informática

Autora: Sandra Jeannette Castro Ospina
Profesora Titular de Derecho Penal Universidad Externado de Colombia

La Comunidad Europea expidió la decisión marco 2005/222/JAI de 24 de febrero de 2005, que ya debe estar siendo objeto de implementación en varios de los países miembros, como quiera que el pasado 16 de marzo debieron enviar a la Secretaría General del Consejo y a la Comisión el texto de las disposiciones por las que incorporen a su Derecho nacional las obligaciones que les impone la Decisión Marco, lo cual será evaluado a más tardar el 16 de septiembre de 2007.  En ese texto fueron incluidas varias disposiciones que obligan reflexionar y replantear algunos temas que han sido polémicos tradicionalmente entre los doctrinantes del derecho penal.

seguridadinformaticadr6 Algunos aspectos dogmáticos de la delincuencia informática

Algunos de los aspectos dogmáticos que deben ser tratados son los que corresponden a la responsabilidad penal corporativa, de las empresas y de los empresarios por las acciones de sus subordinados; la instigación y la responsabilidad por conductas omisivas en el marco de la actividad de las  empresas que favorecen la o telemática.Pese a que algunos de los temas jurídicos que serán tratados en esta exposición no tienen aún un referente legal en la legislación penal colombiana, de lege ferenda podría ser útil empezar a tratarlos, como quiera que la informática se ha incrementado en una forma alarmante y silenciosa en nuestro país, de acuerdo con cifras de la DIJIN, hasta abril de 2007 se habían denunciado casi 180 casos de fraude electrónico, que en total han costado más de 349.000 millones de pesos a personas naturales y cerca de 6,6 billones de pesos a empresas.  Los casos registrados a esta altura del año ya superan el 71 por ciento de los registrados en todo el 2006. La Dirección de Investigación Criminal de la DIJIN procesó 433 casos por delitos informáticos en el 2006, mientras que en los primeros cuatro meses del 2007 se han registrado 310.  Los datos muestran que se han sustraído 311.000 millones de pesos de cuentas bancarias pertenecientes a personas naturales. 38.000 millones de esos dineros hurtados, se han usado para compras virtuales.

I. LA RESPONSABILIDAD SUPRAINDIVIDUAL POR LOS DELITOS INFORMÁTICOS

Más allá de las conductas cometidas por los hackers o crackers, resulta interesante examinar la responsabilidad penal que cabría a los directivos y a las empresas que tienen por actividad económica la obtención de beneficios por medio de los delitos realizados en sistemas de información o valiéndose de estos para lograr otros objetivos. Ejemplo de ello son las empresas o corporaciones que acceden ilegalmente a los sistemas de información para detectar por ejemplo los gustos o costumbres de los usuarios, o bien para obtener sus datos personales incluidos en medios informáticos a fin de venderlos a otras; las empresas que realizan estafas, subastas o ventas ilegales por internet; o aquellas que comercializan la pornografía infantil; ora aquellas que plagian o copian obras musicales, literarias o cinematográficas para vender las reproducciones.

La Decisión Marco de la Comunidad Europea ha  establecido, en el artículo 8°, que los países miembros deberán adoptar  las medidas necesarias para que
“a. las personas jurídicas se les puedan exigir responsabilidades por las infracciones mencionadas en los artículos 2, 3, 4 y 5, cuando dichas infracciones sean cometidas en su beneficio por cualquier persona, actuando a título particular o como parte de un órgano de la persona jurídica, que ostente un cargo directivo en el seno de dicha persona jurídica basado en:
a) un poder de representación de dicha persona jurídica, o
b) una autoridad para tomar decisiones en nombre de dicha persona jurídica, o
c) una autoridad para ejercer un control en el seno de dicha persona jurídica.

2. Sin perjuicio de los casos previstos en el apartado 1, los Estados miembros garantizarán que a las personas jurídicas se les puedan exigir responsabilidades cuando la falta de vigilancia o control por parte de alguna de las personas a que se refiere el apartado 1 haya hecho posible que una persona sometida a su autoridad cometa las infracciones mencionadas en los artículos 2, 3, 4 y 5 en beneficio de esa persona jurídica.
3. La responsabilidad de las personas jurídicas en virtud de los apartados 1 y 2 se entenderá sin perjuicio de la incoación de acciones penales contra las personas físicas que sean autores, incitadores o cómplices en la comisión de las infracciones mencionadas en los artículos 2, 3, 4 y 5.”
El artículo 9, por su parte, establece cuáles son las sanciones aplicables a las personas jurídicas, una de ellas son las multas de carácter penal o administrativo y podrán incluir otras sanciones, tales como:

“a) exclusión del disfrute de ventajas o ayudas públicas;
b) prohibición temporal o permanente del desempeño de actividades comerciales;
c) vigilancia judicial, o
d) medida judicial de liquidación.
2. Cada Estado miembro adoptará las medidas necesarias para que a la persona jurídica considerada responsable en virtud de lo dispuesto en el artículo 8, apartado 2, le sean impuestas sanciones o medidas efectivas, proporcionadas y disuasorias.”
Las conductas sancionables, de acuerdo con la citada Decisión Marco, son las siguientes:

1. El acceso ilegal a los sistemas de información[3], entendido como aquel realizado en forma intencionada, sin autorización al conjunto o a una parte de un sistema de información (art. 2).
2. La intromisión ilegal en los sistemas de información realizada en forma intencional para obstaculizar o interrumpir de manera significativa el funcionamiento de un sistema de información, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos (art. 3).
3. Intromisión ilegal en los datos con la intención de borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos informáticos contenidos en un sistema de información (art. 4)
Así mismo se establece que en tales conductas serán sancionadas la inducción, la complicidad y la tentativa (art. 5), salvo para el acceso ilegal a los sistemas de información, lo cual quedará a discreción de cada Estado.
La aplicación de estas normas en la comunidad europea y de lege ferenda su introducción en la legislación colombiana, exigiría que sean analizados los temas que se exponen a continuación:
1. La responsabilidad penal de las personas jurídicas.
El viejo postulado societas delinquire non potest ha sido examinado recientemente por juristas de todas las latitudes, al punto de haber motivado cambios legislativos para reconocer la posibilidad de la responsabilidad penal de las personas jurídicas en Gran Bretaña y Estados Unidos, e incluso en países de tradición de derecho continental como Holanda, Portugal, Francia y España.
Y es que como bien lo dice Paliero el desarrollo de la criminalidad ha impuesto una “modernización del derecho penal”[4].  La realización de los más sofisticados comportamientos ilícitos requiere de una organización, con una rigurosa división de tareas, que trascienden los individuos y se vinculan con agrupaciones o sujetos económicos como las empresas.  Las personas jurídicas en la realidad tienen voluntad, poseen intereses propios distintos a los de las personas físicas, desarrollan una actividad propia y por ello pueden cometer delitos, son responsables por el actuar de sus órganos y deben soportar las consecuencias penales[5].  “La realidad criminológica pone de manifiesto la necesidad de instrumentar intervenciones penales efectivas también en relación con las propias personas jurídicas”[6].
Existe tal conciencia sobre la posibilidad de responsabilidad penal de las personas jurídicas, que fue incluida en el artículo 26 de la Convención de las Naciones Unidas contra la Corrupción que se aprobó en Mérida (México) en diciembre de 2003[7].
Incluso la Corte Constitucional Colombiana dejó abierta esta posibilidad en la sentencia C-320 de junio 30 de 1998, cuando sostuvo lo siguiente:
“A la ley no se le prohíbe sancionar el abuso de la personalidad jurídica.  La utilización del esquema societario con móviles penales o de enriquecimiento ilícito, aparte de implicar para sus gestores sanciones privativas de la libertad, puede legítimamente dar lugar a variadas reacciones del ordenamiento jurídico en relación con los actos societarios, el objeto social, el patrimonio social o la persona jurídica misma (…)
Si la actividad la realiza la persona jurídica, si ella se beneficia materialmente de la acción censurada, no se ve por qué la persecución penal habrá de limitarse a sus gestores, dejando intocado al ente que se encuentra en el origen del reato y que no pocas veces se nutre financieramente del mismo. Se sabe que normalmente la persona jurídica trasciende a sus miembros,  socios o administradores, éstos suelen sucederse unos a otros, mientras la corporación como tal permanece.  La sanción penal limitada a los gestores, tan solo representa una parcial sanción punitiva, si el beneficiario real del ilícito cuando coincide con la persona jurídica se rodea de una suerte de inmunidad.   La mera indemnización de perjuicios, como compensación patrimonial, o la sanción de orden administrativo, no expresan de manera suficiente la estigmatización de las conductas antisociales que se tipifican como delitos”.
Las soluciones legales y dogmáticas expuestas hasta ahora para evadir la responsabilidad de las personas jurídicas no son satisfactorias.  Así, la aplicación de la figura dogmática de “actuar en nombre de otro”, para sancionar los representantes, gestores, socios o directivos, en eventos en los cuales no solo la formación de la voluntad es fragmentada, sino también la toma de decisiones, siendo beneficiaria la persona jurídica, desde una perspectiva de política criminal, resulta ineficaz e irrelevante para lograr los fines de la pena[8].
Las objeciones a la responsabilidad penal de las personas jurídicas se han enfocado a su incapacidad de acción y de culpabilidad.  No obstante ya han sido planteadas soluciones que han tenido resistencia en apoyo a los principios y conceptos del derecho penal que fueron elaborados cuando no era previsible tanta sofisticación en la actividad criminal.  Importantes tratadistas como TIEDEMANN han defendido la capacidad de acción de las personas jurídicas, construyendo para ellas un concepto de culpa basado en el “defecto de la organización”, es decir en la omisión por parte de la persona jurídica (órganos y representantes) de adoptar precauciones o medidas de control para impedir que las actividades propias de la empresa no se desvíen a actividades delictivas[9].

Continúa leyendo desde la fuente original del documento (Delitos Informáticos.com)


Si te ha gustado el post, compartelo y ayudanos a crecer.

Unete a nuestra Fanpage Siguenos en Twitter

Autor: DragoN

Ingeniero en Sistemas y Telecomunicaciones de la Universidad de Manizales. Information Security Researcher con más de 10 años de experiencias en Ethical Hacking, Pen Testing y Análisis Forense. Docente Universitario en Pre y Post-Grado, Speaker y Organizador de diferentes eventos de Seguridad Informática, Co-Fundador del ACK Security Conference y Fundador de DragonJAR SAS y de La Comunidad DragonJAR, una de las comunidades de seguridad informática mas grandes de habla hispana y referente en el sector.

Compartir este Artículo