Noticias

Comienza el contenido principal

Pegasus y la necesaria adopción de medidas de protección digital en nuestro tejido empresarial

| Noticias | Derecho Penal

Álvaro Martín explica en Expansión Jurídico la necesaria implementación de modelos de autotutela y autoprotección, así como la especial relevancia que debe tener para las empresas el implementar medidas de control a los efectos de evitar responder penalmente

El avance y democratización de la tecnología y sus recursos es imparable. En la actualidad, prácticamente cualquier persona tiene a su alcance unas posibilidades que la mayoría de nuestros padres no eran capaces de imaginar y que, incluso hoy en día, nos cuesta comprender. Entre ellas, el tan polémico acceso a los teléfonos móviles del Presidente del Gobierno y de la Ministra de Defensa -por no mencionar a otros ilustres dirigentes políticos como Enmanuel Macron o Ángela Merkel- a través del software espía "Pegasus", lo que me conduce a plantearme qué puede albergar un teléfono móvil de un ciudadano de "a pie", pese a que, obviamente, no poseemos acceso al mismo nivel de información.

Precisamente para proteger la intimidad, la privacidad, los secretos empresariales, y la seguridad nacional, nuestro legislador ha introducido en el Código Penal diversos tipos delictivos encaminados a perseguir y sancionar estas conductas ilícitas que hasta hace bien poco se encontraban prácticamente reservadas a películas de ciencia-ficción y que pueden ocasionar efectos devastadores en un mundo globalizado.

Así, desde la reforma operada en el Código Penal por la Ley Orgánica 5/2010, de 22 de junio, nuestro legislador ha decidido castigar el mero acceso a un sistema de información o su mantenimiento dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, vulnerando las medidas de seguridad establecidas para impedirlo y sin estar debidamente autorizado. Más adelante, la Ley Orgánica 1/2015, de 30 de marzo, tipificó la producción o venta a terceros de este tipo de programas informáticos, sancionándola penalmente en el artículo 197.ter del mismo Código.

Bajo esta premisa, el mero acceso remoto e inconsentido a un teléfono móvil, con independencia del contenido que almacene o de que éste sea propiedad del Sr. Sánchez o de la Sra. Merkel, es constitutivo de delito. Evidentemente, para el supuesto de que a través de este procedimiento se descubra la intimidad de las personas (artículo 197 y siguientes), secretos empresariales (artículo 278 y siguientes) e incluso secretos que afecten a la seguridad o defensa nacional (artículo 598 y siguientes), la gravedad y consecuencias penológicas serán mucho mayores.

Para que el lector pueda considerar la gravedad de estos accesos, nótese que nuestro ordenamiento jurídico, únicamente contempla el recurso a este tipo de medidas tan intrusivas mediando autorización judicial y de manera muy excepcional: cuando el juez pretenda investigar determinados tipos delictivos que podemos calificar como graves (artículo 588.septies.a de la Ley de Enjuiciamiento Criminal - delitos cometidos en el seno de organizaciones criminales, terrorismo, delitos contra menores o delitos cometidos a través de instrumentos informáticos).

Estas actuaciones que trascienden el espionaje gubernamental para aterrizar entre el común de los mortales por medio de los "ciberataques", cuyo crecimiento se ha incrementado exponencialmente, pueden ocasionar unos efectos devastadores que no sólo se aprecian en el momento en que se produce una interrupción del servicio, afectando a empleados y a clientes, sino que se prolongan con la pérdida de información, daños reputacionales, e incluso, con la imposición de sanciones económicas para el caso de que quien lo sufra sea un operador de servicios esenciales o un prestatario de servicios estratégicos y no haya adoptado medidas de diligencia debida adecuadas, y ya exigidas, entre otros por el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información; o el Real Decreto 43/2021, de 26 de enero, que desarrolla el anterior.

De hecho, el presupuesto para la aplicación del delito de intrusión en un sistema informático comentado es la "vulneración de las medidas de seguridad establecidas", demandando por parte del ciudadano que sufre la agresión la adopción de una serie de cautelas, e incluso de medidas de gobernanza empresariales (particularmente para el caso de empresas prestadoras de servicios esenciales o empresas estratégicas), para evitar, entre otros fines, que siendo una clara víctima del delito, se invierta su posición y terceros afectados -sus clientes, por ejemplo- le puedan exigir responsabilidades precisamente por los daños sufridos en último término como consecuencia de la falta de adopción de medidas de diligencia debida. Situación que a priori puede parecer difícil de imaginar, pero que es tan real como la afirmación con la que comenzaba el presente artículo. De ahí la especial relevancia que debe tener para las empresas el implementar medidas de control a los efectos de evitar responder penalmente, dado que como es sabido la atribución de responsabilidad a la misma puede venir derivada, bien de un beneficio directo, de un favorecimiento o de una colaboración.

En definitiva, estamos más que nunca ante la necesidad de implementar modelos de autotutela y autoprotección.

Puede ver el artículo en Expansión.

Fin del contenido principal