Composición con un círuclo central en azul "Prevención penal", con otros más pequeños de varios colores en los que se incluye el texto "ética" y "MPP"; cuatro imágenes a su alrededor: círculo de personas con las manos entrelazadas, cartel "compliance" sujeto por una mano; dos manos entrelazdas y una escalera que se sube entre varias personas ayudándose hasta llegar a los pies de un auditdor que está marcando un check list

Daños informáticos: Caso Bárcenas y Compliance penal

Posted by: RBAC in Sistemas de Compliance & Responsabilidad Social RBac, 14/03/2016

LinkedIn0
Google+0
La investigación del borrado de los archivos de los ordenadores del extesorero del Partido Popular nos brinda la oportunidad de observar, en un mismo y mediático asunto judicial, desde la dificultad para apreciar los elementos configuradores de los delitos de daños informáticos, las medidas de compliance adoptadas, hasta la novedosa atribución de responsabilidad penal a un partido político.La investigación del borrado de los archivos de los ordenadores del extesorero del Partido Popular nos brinda la oportunidad de observar, en un mismo y mediático asunto judicial, desde la dificultad para apreciar los elementos configuradores de los delitos de daños informáticos, las medidas de compliance adoptadas, hasta la novedosa atribución de responsabilidad penal a un partido político.   Con anterioridad al vigente Código Penal de 1995, frente al mayor desarrollo legislativo de otros países, las conductas ilícitas cometidas a través de medios tecnológicos debían ser sancionadas recurriendo a otras figuras delictivas, como la apropiación indebida y las falsedades, o simplemente quedaban impunes.   No fue hasta 1996 cuando el Grupo de Delitos Informáticos de la Policía Nacional realizó las que se consideran primeras detenciones conocidas por intrusismo informático -“Mave” del grupo “KHK”-, o acceso ilícito y daños -“caso Toco”- aunque con absolución final de varios estudiantes por la imprecisión de la tipicidad y tutela penal.   A impulso de las normas como el Convenio de Budapest sobre Ciberdelincuencia de 2001 y las provenientes de la Unión Europea -Decisión 91/242, Directivas 2011/93 y 2013/40-, se ha ido imponiendo al legislador la mejora técnica en la protección frente a los ataques informáticos, que ha culminado con el extenso artículo 264, vigente desde el 1 de julio del año pasado, y aplicable tanto para castigar el llamado ciberterrorismo como el daño a una tableta. Desde 2010, su condena puede implicar también importantes sanciones para la entidad privada a la que pertenezca el delincuente,  ampliándose, a partir de 2012, a los partidos políticos y sindicatos.   Como bien señala la Fiscalía -Memoria 2015- «la cifra negra de criminalidad en este ámbito es incuestionablemente alta y especialmente en determinadas manifestaciones criminales, como los daños informáticos, en los que las denuncias –por desconocimiento, falta de confianza en el sistema o interés en proteger la propia reputación– son todavía llamativamente escasas».   Retomando el titular, en esta ramificación de “los papeles de Bárcenas”, los hechos denunciados son básicamente que Don Luis utilizaba dos ordenadores con supuestos archivos que fueron requeridos por el Juzgado al Partido Popular. Al intentar la clonación de sus discos se advirtió que solo había uno, y formateado. El extesorero acusó de hurto a su empleador y de haber adquirido él mismo este disco borrado, perteneciéndole por tanto su contenido. El Partido, al contrario, alegó que los equipos eran de su propiedad y que, en todo caso, se hallaban vacíos cuando fueron intervenidos.   En definitiva, discrepancia sobre el elemento de ajenidad exigido por el Código Penal. Quizás el PP podría haber tomado la iniciativa denunciando la eliminación de datos en sus ordenadores, en el sentido relatado en alguna jurisprudencia reciente -SAP Madrid, Sec. 5º, nº 87/2015, si bien en esta ocasión el trabajador despedido fue absuelto al no haber probado su empresa la gravedad de los daños que le causaron la pérdida de los ficheros de trabajo, otro de los requisitos del artículo 264 susceptible de ambigua valoración-.   Recomendaciones para prevenir delitos y proteger la información corporativa Con independencia del sentido del resultado judicial de este asunto, como conclusiones prácticas, para evitar situaciones semejantes en cualquier actividad empresarial, se debería adoptar un modelo preventivo de organización y gestión eficaz -compliance penal- cuyos elementos más destacados al hilo de este caso, podrían ser los siguientes:   Código de conducta y políticas, o decidido compromiso ético de la alta dirección frente a la comisión de delitos relativos al uso de las TIC. El tan comentado fallo del Tribunal Supremo del pasado 29 de febrero (STS nº 154/2016), se pronuncia en este sentido, condenando a tres sociedades mercantiles por falta de control sobre las actividades ilícitas de sus administradores, evidenciando la ausencia de «una cultura de respeto al derecho como fuente de inspiración de la actuación de su estructura organizativa». Aludían las noticias a que la nueva gerencia del PP velará por erradicar conductas como las publicadas, lo que, según la reciente Circular 1/2016 de la Fiscalía General del Estado, debería comenzar desde la selección del personal a contratar.   Normas y protocolos de seguridad internos, para regular la entrada y salida de datos en utilización de las TIC -correo, programas en ordenadores, móviles…-, la respuesta a clientes o desconocidos -ataques de ingeniería social-, con implicación de proveedores, subcontratas, etc.   Compliance officer: en el caso comentado, el informático responsable del borrado declaró en sede judicial que cumplía órdenes del asesor jurídico y no de su superior jerárquica, la gerente Carmen Navarro. A vueltas con la ubicación y funciones del oficial de cumplimiento en el reformado Código Penal, el “abogado multitask” debe aunar competencias jurídicas y tecnológicas, ya que tiene que sopesar los riesgos penales corporativos y la seguridad del hardware y software. Todos estos programas de compliance deben ser implantados de forma eficaz, con formación y sensibilización, creando un canal de comunicación de incidencias confidencial y un régimen disciplinario propio. Además han de posibilitar la conservación de evidencias suficientemente acreditables en un proceso judicial. Junto a esto, es imprescindible la mejora continua y actualización de contenidos, con auditorías periódicas. Parece que el formateado del ordenador de Bárcenas se hizo 35 veces de acuerdo con el método Guttman, ideado en 1996, aunque, según su propio creador, “absurdo para el hardware actual”.   Por último, es recomendable prever una respuesta urgente ante graves incumplimientos -según estadísticas, mayoritariamente atribuibles a directivos, por exceso de confianza propia y de quienes deberían ejercer el control sobre ellos-. Así, en la campaña electoral de Hilary Clinton sigue cuestionándose cómo fue posible el envío de información altamente confidencial a través de su cuenta de correo personal y el papel de los agentes de seguridad que no lo advirtieron. Aunque, como se sabe, la reacción fue la del mal menor: recurrir a la publicidad antes que al método Guttman. Mauricio Rodríguez Bermúdez Publicado http://lawyerpress.com/news/2016_03/1403_16_003.html      Etiquetas: , ,