La ciberseguridad no solo es un tema tech que atañe exclusivamente a informáticos e ingenieros, sino también una cuestión netamente jurídica. Y es que se une al Derecho a través de dos caras de la misma moneda: la prevención del riesgo y la responsabilidad.
Todas las empresas, grandes y pequeñas, son esenciales para el funcionamiento de la economía y la sociedad europea en general. En virtud de la Directiva 2022/2555 de 14 de diciembre de 2022 (llamada NIS 2), deben diseñar un plan de compliance relativo al Derecho de las Tecnologías de la Información y de la Comunicación. Ese plan supone diseñar un mapa de los posibles riesgos y, por ende, adelantarse a las posibles responsabilidades en las que puede incurrir dicha compañía en caso de un ciberataque.
Además, la Directiva NIS2 obliga a nombrar un responsable en materia de ciberseguridad (CISO, Chief Information Security Officer), que puede ser responsable por la comisión de delitos bien por imprudencia grave o incluso por delito doloso; delito que se imputará también a la compañía para la cual trabaja.
Además, aunque no estén obligadas, todas las empresas, si quieren estar a salvo de posibles responsabilidades penales, deben tener un plan de riesgos en este ámbito. No olvidemos que, tras la reforma del Código Penal en el año 2010, las personas jurídicas pueden ser penalmente responsables por los delitos cometidos, por ejemplo, por sus administradores o por los responsables de compliance o de ciberseguridad. También pueden ser penalmente responsables cuando quienes están sometidos a su autoridad cometen un delito por un incumplimiento grave del deber de vigilancia que pesa sobre ellos.
Delitos
Y ¿qué delitos puede cometer una empresa en el caso de la ciberseguridad? Desde un delito informático, hasta un delito de revelación de secretos, sin olvidar que las empresas también pueden ser condenadas como responsables civiles subsidiarias por los daños y perjuicios derivados de los hechos delictivos.
Téngase en cuenta, además, que en virtud de la Ley Orgánica 3/2018 de 5 de diciembre de Protección de Datos Personales y garantía de los derechos digitales, las empresas son responsables de la obligación de garantizar la seguridad de los datos de carácter personal que haya recabado, aplicando en cada momento las medidas necesarias para evitar cualquier daño.
Si bien el Código Penal ha previsto que las personas jurídicas puedan ser responsables penalmente, permite también que las mismas puedan ser exoneradas de dicha responsabilidad si tienen diseñado unas compliance guides. Sin embargo, para que esto suceda, estas directrices deben ser idóneas y completas para intentar evitar los delitos en los que pudiera incurrir.
En relación con la responsabilidad penal derivada de la ciberdelincuencia, debemos tener presente que los cibercrímenes son delitos transnacionales, cometidos normalmente en el seno de una organización criminal.
La ciberseguridad es una necesidad para el sector legal, pero los riesgos y las amenazas a los que se enfrenta son aún muchos y diversos
Inconvenientes
Estas características implican graves inconvenientes para su investigación y persecución, pues la extraterritorialidad ya no permite aplicar los viejos cánones del Derecho Penal basados en la soberanía de los Estados. No solo se producen dificultades para fijar la jurisdicción para conocer de dichos delitos, sino también en la averiguación y comprobación del mismo delito en sí. Y es que las organizaciones dedicadas al ciberdelito se amparan en el difícil acceso a los servidores que están situados en países distintos de aquellos en los que se comete un delito. Eso implica que el juez debe requerir a través de sistemas muy complejos, sobre todo cuando se trata de Estados de fuera de la Unión Europea, que las empresas alojadas en Estados distintos colaboren y entreguen datos que permitan probar los crímenes. Dichas compañías, amparándose en la protección de los derechos fundamentales, intentan no colaborar.
Alguna norma en el seno del Consejo de Europa, como es el caso del Convenio sobre Ciberdelincuencia firmado en Budapest el 23 de noviembre de 2001, ha permitido minimizar las dificultades de jurisdicción en este tipo de delitos al fijarla según determinados criterios que eviten su impunidad.
En el ámbito de la Unión Europea resulta imprescindible la cooperación basada en la confianza mutua entre países. Numerosos instrumentos, tales como el Convenio relativo a la Asistencia Judicial Mutua en materia penal, la Orden de Detención Europea o la Directiva por la que se crea la Orden Europea de Investigación en materia penal, alivian los problemas que surgen en torno a este tipo de delincuencia. También organismos como Eurojust o Europol cooperan con las policías de cada Estado miembro.
Fuera de la Unión Europea, los horizontes son mucho más oscuros y no permiten ser nada halagüeños en los augurios de una eficaz represión de estos delitos.
La ciberseguridad es una necesidad
Las especiales características de estos delitos suponen peligros y amenazas por la dificultad de averiguación de la IP a través de la cual se ha cometido el delito. Máxime si, como se ha dicho, el servidor se aloja en un Estado diferente a aquel en el que se ha cometido el hecho; pero también porque, averiguada la misma, aún es más difícil conocer la identidad del autor.
Después, la dificultad viene porque las evidencias de tales delitos son, en su mayoría, electrónicas. Por tanto, hay que acceder a ellas de modo lícito, extraerlas de su soporte original y aportarlas al proceso, debiendo proporcionar para acreditar su autenticidad una prueba pericial informática y asegurando siempre la cadena de custodia.
Como puede observarse, el papel de los abogados, llamados Of Counsel, resulta fundamental o bien en el ámbito de la prevención o bien en el de responsabilidad. La ciberseguridad es una necesidad para el sector legal, pero los riesgos y las amenazas a los que se enfrenta son aún muchos y diversos. Dentro de las fronteras de la Unión Europea, los gobernantes parecen haber entendido que el exceso de garantías no debe darse si se trata de la lucha contra la ciberdelincuencia. Y también parecen haber comprendido que el principio de confianza mutua y la cooperación resulta básica en materia penal.