Responsabilidad penal de las empresas ante delitos informáticos


Como perito informático colegiado hoy les voy a hablar de la responsabilidad penal de las empresas ante delitos informáticos, cometidos por empleados o directivos.

Responsabilidad penal de las empresas ante delitos informáticos

Responsabilidad penal de las empresas ante delitos informáticos

La Ley Orgánica 1/2015 introdujo una reforma en el código penal a fin de tipificar la responsabilidad penal de las empresas (personas jurídicas). La reforma introdujo los siguientes aspectos:

  • Se limita la responsabilidad penal de las personas jurídicas, en el caso de delitos cometidos por su personal, cuando existe una infracción del deber de supervisión sobre los mismos sólo a los supuestos en los que el incumplimiento del deber de vigilancia haya tenido carácter grave. La existencia de un programa de prevención, que conlleve una reducción significativa del riesgo de comisión de delitos, es una causa de exención de la responsabilidad penal de la persona jurídica.
  • Se prevé la existencia de un órgano de supervisión y control del modelo de prevención implantado.

Requisitos legales

Para que exista responsabilidad penal por parte de una empresa deben darse los siguientes requisitos:

  • Debe tratarse de un delito tipificado en el Código Penal.
  • Las personas físicas del hecho delictivo deben ser sus representantes legales o aquellos que actuando individualmente o como integrantes de un órgano de la persona jurídica están autorizados para tomar decisiones en nombre de ella u ostentan facultades de organización y control dentro de la misma o bien quienes estén sometidos a la autoridad de las personas físicas antes mencionadas, cualquiera que fuera el origen de ese sometimiento, por no haberse ejercido sobre ellos la debida supervisión, vigilancia y control, atendidas las concretas circunstancias del caso, y que el incumplimiento del deber de vigilancia haya tenido carácter grave.
  • La responsabilidad penal de las personas jurídicas será exigible aun cuando la concreta persona física responsable no haya sido individualizada o no haya sido posible dirigir el procedimiento contra ella.
  • La transformación, fusión, absorción o escisión de una persona jurídica no extingue su responsabilidad penal.

Ahora bien, visto lo anterior, hay tres ámbitos claros en los que una empresa puede ser penalmente responsable dentro del ámbito de la informática:

Responsabilidad penal en la protección de datos de carácter personal

El uso indebido de datos de carácter personal de clientes, proveedores o empleados, en beneficio de la empresa, ocasionando un daño grave a la persona cuyos datos han sido incorrectamente tratados, generará responsabilidad penal por parte de la empresa en caso de no existir el correspondiente documento de seguridad y/o de que éste no haya sido correctamente implantado.

Como se ha visto anteriormente debe existir un documento de seguridad (programa de prevención) correctamente implementado y supervisado por el responsable de seguridad, limitando así la responsabilidad penal de la compañía.

Responsabilidad penal en la seguridad informática

El robo o alteración de datos producidos en los sistemas de información de la compañía por empleados o personal directivo también puede suponer la exigencia de responsabilidad penal en el caso de que no exista un plan de seguridad de la información correctamente implementado y un responsable de seguridad que vele por el cumplimiento de dicho plan.

Responsabilidad penal por daños informáticos

La destrucción de información y/o el sabotaje de los sistemas de información y dispositivos propiedad de la compañía por empleados o personal directivo, causando un daño grave a la propia compañía o a terceros puede igualmente suponer responsabilidad penal por la inexistencia de las preceptivas medidas de control y supervisión que, al menos, dificulten la comisión de dichos daños.

No conviene dejar de lado los sistemas de información empresariales

Así pues, no conviene dejar de lado los sistemas de información empresarial. A fin de minimizar al máximo la responsabilidad penal de la empresa ante algún tipo de contingencia le recomiendo controlar y supervisar siempre:

  • Qué información se recoge y gestiona, y para qué.
  • Qué personas físicas o jurídicas tienen acceso a esa información, cómo y cuándo y para qué.
  • Que se hace cuando la información deja de ser útil para los fines por los que se recabó.
  • Cómo y dónde se almacena la información.
  • Cómo, hacia dónde y para qué se transporta la información.

Note que en la mayoría de casos la inexistencia o atenuación de la responsabilidad penal de las empresas se debe a la existencia de medidas de control y supervisión adecuadas al caso concreto, y debe poder acreditarlas.

Teniendo en cuenta todo lo anterior se puede ahorrar muchos disgustos. ¡Cuente siempre con profesionales!

¿Qué te ha parecido la información?
Comparte esto:

mm

Acerca de Pedro De La Torre

Soy perito informático judicial colegiado, legalmente habilitado para actuar ante los tribunales de Justicia, conferenciante y ponente habitual en jornadas sobre peritaje informático, ciberseguridad y tecnologías de la información. Consultor especializado en estrategia digital y seguridad de la información.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

6 + 5 =