La investigación del borrado de los archivos de los ordenadores del extesorero
del Partido Popular nos brinda la oportunidad de observar, en un mismo y
mediático asunto judicial, desde la dificultad para apreciar los elementos
configuradores de los delitos de daños informáticos, las medidas de compliance
adoptadas, hasta la novedosa atribución de responsabilidad penal a un partido
político.
Con anterioridad al vigente Código Penal de 1995, frente al mayor desarrollo
legislativo de otros países, las conductas ilícitas cometidas a través de medios
tecnológicos debían ser sancionadas recurriendo a otras figuras delictivas, como
la apropiación indebida y las falsedades, o simplemente quedaban impunes.
No fue hasta 1996 cuando el Grupo de Delitos Informáticos de la Policía Nacional
realizó las que se consideran primeras detenciones conocidas por intrusismo
informático -“Mave” del grupo “KHK”-, o acceso ilícito y daños -“caso Toco”-
aunque con absolución final de varios estudiantes por la imprecisión de la
tipicidad y tutela penal.
A
impulso de las normas como el Convenio de Budapest sobre Ciberdelincuencia de
2001 y las provenientes de la Unión Europea -Decisión 91/242, Directivas 2011/93
y 2013/40-, se ha ido imponiendo al legislador la mejora técnica en la
protección frente a los ataques informáticos, que ha culminado con el extenso
artículo 264, vigente desde el 1 de julio del año pasado, y aplicable tanto para
castigar el llamado ciberterrorismo como el daño a una tableta. Desde 2010, su
condena puede implicar también importantes sanciones para la entidad privada a
la que pertenezca el delincuente, ampliándose, a partir de 2012, a los partidos
políticos y sindicatos.
Como bien señala la Fiscalía -Memoria 2015- «la cifra negra de criminalidad
en este ámbito es incuestionablemente alta y especialmente en determinadas
manifestaciones criminales, como los daños informáticos, en los que las
denuncias –por desconocimiento, falta de confianza en el sistema o interés en
proteger la propia reputación– son todavía llamativamente escasas».
Retomando el titular, en esta ramificación de “los papeles de Bárcenas”, los
hechos denunciados son básicamente que Don Luis utilizaba dos ordenadores con
supuestos archivos que fueron requeridos por el Juzgado al Partido Popular. Al
intentar la clonación de sus discos se advirtió que solo había uno, y
formateado. El extesorero acusó de hurto a su empleador y de haber adquirido él
mismo este disco borrado, perteneciéndole por tanto su contenido. El Partido, al
contrario, alegó que los equipos eran de su propiedad y que, en todo caso, se
hallaban vacíos cuando fueron intervenidos.
En definitiva, discrepancia sobre el elemento de ajenidad exigido por el Código
Penal. Quizás el PP podría haber tomado la iniciativa denunciando la eliminación
de datos en sus ordenadores, en el sentido relatado en alguna jurisprudencia
reciente -SAP Madrid, Sec. 5º, nº 87/2015, si bien en esta ocasión el trabajador
despedido fue absuelto al no haber probado su empresa la gravedad de los daños
que le causaron la pérdida de los ficheros de trabajo, otro de los requisitos
del artículo 264 susceptible de ambigua valoración-.
Recomendaciones para prevenir delitos y proteger la información corporativa
Con independencia del sentido del resultado judicial de este asunto, como
conclusiones prácticas, para evitar situaciones semejantes en cualquier
actividad empresarial, se debería adoptar un modelo preventivo de organización y
gestión eficaz -compliance penal- cuyos elementos más destacados al hilo de este
caso, podrían ser los siguientes:
-
Código de conducta y políticas, o decidido compromiso
ético de la alta dirección frente a la comisión de delitos relativos al uso
de las TIC. El tan comentado fallo del Tribunal Supremo del pasado 29 de
febrero (STS nº 154/2016), se pronuncia en este sentido, condenando a tres
sociedades mercantiles por falta de control sobre las actividades ilícitas
de sus administradores, evidenciando la ausencia de «una cultura de
respeto al derecho como fuente de inspiración de la actuación de su
estructura organizativa».
Aludían las noticias a que la
nueva gerencia del PP velará por erradicar conductas como las publicadas, lo
que, según la reciente Circular 1/2016 de la Fiscalía General del Estado,
debería comenzar desde la selección del personal a contratar.
-
Normas y protocolos de seguridad internos, para
regular la entrada y salida de datos en utilización de las TIC -correo,
programas en ordenadores, móviles...-, la respuesta a clientes o
desconocidos -ataques de ingeniería social-, con implicación de proveedores,
subcontratas, etc.
-
Compliance officer: en el caso comentado, el
informático responsable del borrado declaró en sede judicial que cumplía
órdenes del asesor jurídico y no de su superior jerárquica, la gerente
Carmen Navarro. A vueltas con la ubicación y funciones del oficial de
cumplimiento en el reformado Código Penal, el “abogado multitask” debe aunar
competencias jurídicas y tecnológicas, ya que tiene que sopesar los riesgos
penales corporativos y la seguridad del hardware y software.
Todos estos programas de compliance deben ser implantados de forma eficaz,
con formación y sensibilización, creando un canal de comunicación
de incidencias confidencial y un régimen disciplinario propio. Además han
de posibilitar la conservación de evidencias suficientemente acreditables
en un proceso judicial.
Junto a esto, es imprescindible la mejora continua y actualización de
contenidos, con auditorías periódicas. Parece que el formateado del
ordenador de Bárcenas se hizo 35 veces de acuerdo con el método Guttman, ideado
en 1996, aunque, según su propio creador, “absurdo para el hardware actual”.
Por último, es recomendable prever una respuesta urgente ante graves
incumplimientos -según estadísticas, mayoritariamente atribuibles a directivos,
por exceso de confianza propia y de quienes deberían ejercer el control sobre
ellos-. Así, en la campaña electoral de Hilary Clinton sigue cuestionándose cómo
fue posible el envío de información altamente confidencial a través de su cuenta
de correo personal y el papel de los agentes de seguridad que no lo advirtieron.
Aunque, como se sabe, la reacción fue la del mal menor: recurrir a la publicidad
antes que al método Guttman. |