Todas las organizaciones, sean o no de carácter empresarial, pueden ser sancionadas penalmente si alguno de sus miembros, actuando en su nombre y en su beneficio directo o indirecto, comete ciertas conductas delictivas, siempre que la entidad en cuestión no cuente con un Sistema de Compliance adecuado.
En este contexto, uno de los posibles delitos por los que se puede imputar a una persona jurídica es el de daños informáticos, regulado en los artículos 264 y siguientes del Código Penal. A efectos de los Sistemas de Compliance, una organización sólo puede responder por ciertas conductas, aunque no todas. Éstas son las siguientes:
- borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave (siempre que se hubiera hecho sin autorización y de manera igualmente grave);
- obstaculizar o interrumpir el funcionamiento de un sistema informático ajeno mediante alguna de esas conductas, introduciendo o transmitiendo datos o destruyendo, dañando, inutilizando, eliminando o sustituyendo un sistema informático, telemático o de almacenamiento de información electrónica;
- producir, adquirir para su uso, importar o, de cualquier modo, facilitar a terceros (con la intención de facilitar la comisión de alguno de los delitos a que se refieren los dos puntos anteriores) un programa informático, concebido o adaptado principalmente para cometer alguno de los delitos a que se refieren los dos artículos anteriores; o bien una contraseña de ordenador, un código de acceso o datos similares que permitan acceder a la totalidad o a una parte de un sistema de información.
Es habitual valorar este riesgo penal en las empresas intensivas en tecnologías de la información y las comunicaciones, si bien hay que tener en cuenta, a estos efectos, que únicamente estas tres conductas son susceptibles de hacer que una persona jurídica incurra en responsabilidad penal. Se excluye, pues, el hecho de destruir, dañar de modo grave, o inutilizar para el servicio, obras, establecimientos o instalaciones de las Fuerzas Armadas o de las Fuerzas y Cuerpos de Seguridad, así como el de borrar o inutilizar los datos informáticos mediante incendio o explosión.
Un ejemplo práctico de este delito lo encontramos en el Auto de la Audiencia Nacional 909/2017, de 03 de noviembre. En este caso, una determinada entidad fue acusada, entre otros, por este delito por haber destruido los discos duros de su sede ante la perspectiva de una investigación judicial. La Audiencia Nacional estimó la acusación, apoyando su fallo, fundamentalmente, en estos puntos:
- se consideró constatada la comisión de un delito informático, puesto que se había destruido información y documentación electrónica que pudiera ser relevante para el proceso por el que se venía juzgando a la organización. Además, la información había sido borrada por parte de un miembro de la misma;
- la persona jurídica recibió un beneficio indirecto por ello, dada la importancia que tenían los datos borrados en relación con la instrucción de un procedimiento judicial penal que sí afectaba a la entidad;
- la organización carecía de un Sistema de Compliance suficiente; de hecho, se aportó un protocolo de actuación para el borrado de archivos informáticos, pero la Audiencia no lo consideró suficiente a los efectos del artículo 31 bis.5 CP.
En conclusión, una persona jurídica puede responder por un delito de daños informáticos, aunque sólo en algunas modalidades, y con la particularidad de que responderá aunque los sistemas informáticos fuesen ajenos a la persona física que resultase autor material de los hechos (por ser titularidad de la organización) per actuase en beneficio de ésta.