Cuando detrás de una IP hay una persona jurídica

En el contexto socio-tecnológico actual, el ataque informático seduce mucho más al delincuente que el ataque físico, por ser aquel, mucho más rentable.

Actualmente, la identificación física del presunto maleante, autor del supuesto ilícito penal, pasa, entre otros métodos, por la rueda de reconocimiento, examen fotográfico de las personas con antecedentes policiales y/o penales, etc., pero, ante los ciberataques, la identificación se tiene que realizar a través de otros métodos.

El Art. 197 de nuestro Código Penal sanciona, entre otras conductas, el acceso ilegítimo a correos electrónicos, acceso que se produce a través de medios tecnológicos, y que, en el caso de las víctimas más afortunadas, el rastro del delito cometido nos sitúa ante un dato identificativo como lo es una IP.

Esta conducta tipificada, en la mayoría de los casos, queda impune, sobre todo si detrás de la IP se encuentra una persona jurídica.

Por un lado nos encontramos con que la reforma operada en el Art. 31 Bis de nuestro Código Penal, establece la posibilidad de que la persona jurídica sea penalmente responsable, y por otro, y en virtud del Principio de Culpabilidad recogido en el Art. 5 del mismo cuerpo legal, “no hay pena sin dolo o imprudencia”, principio que debe regir también en la responsabilidad penal de las personas jurídicas, no pudiendo éstas responder penalmente, de manera automática, por la conducta de la persona física que ha cometido el hecho punible, sino que, responderá ante aquellas conductas imputables a la propia persona jurídica.

Por cuanto, y  en sentido distinto al que se pretende sostener en la Exposición de Motivos, de acuerdo con lo establecido en el reformado Art. 31 Bis en relación con el  Principio de Culpabilidad, una persona jurídica responderá penalmente sólo en dos supuestos, ante aquellas conductas punibles cometidas en nombre o por cuenta de la persona jurídica, y en su provecho, por sus legales representantes y administradores de hecho o de derecho, y, ante aquellos delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en provecho de la persona jurídica, por quienes, estando sometidos a la autoridad de sus legales representantes o administradores de hecho o de derecho, han podido realizar los hechos por no haberse ejercido sobre ellos el debido control atendidas las concretas circunstancias del caso.

Es decir, no todo hecho delictivo cometido en el seno de una empresa, es susceptible de generar responsabilidad penal para la persona jurídica, por tanto, ¿qué pasa con aquellos delitos que son cometidos, por cualquier persona, perteneciente a una empresa y que no son perpetrados en nombre o por cuenta y en provecho de la persona jurídica?.

Ante la comisión de un tipo delictivo tan común en la era tecnológica como es el acceso ilegítimo a correos electrónicos, son varias las dificultades que los profesionales del derecho nos vamos a encontrar en el camino, sin contar la impotencia que las mismas generan en las víctimas al no ver amparada legalmente la violación de sus derechos.

La primera dificultad que se presenta es que, para determinar la autoría del acceso ilegítimo a correos electrónicos, hay que aportar datos suficientes para la determinación de sus autores, por cuanto, o nuestros clientes se saben manejar en el entorno tecno-informático, o en su defecto lo hace por ellos un perito informático,  y nos aportan la IP desde la cual han accedido ilegítimamente a sus correos, o no tenemos nada que hacer; máxime cuando, incluso en los casos en los que se tiene constancia de la IP desde la que se ha perpetrado el delito, nos encontramos, por un lado, ante juzgadores que no consideran una IP como un dato identificativo tras el cual existe, una persona física o jurídica, y, por otro, con aquellos que  se pronuncian considerando que “la investigación de las direcciones IP obrantes en la denuncia es una medida gravosa, que no asegura la averiguación de la identidad del presunto responsable…”.

Llegados a este punto, y partiendo de la base de que se ha  puesto en funcionamiento la costosa y lenta maquinaria de la Administración de Justicia, el resultado es que, el delito queda finalmente impune, por cuanto, al ser cometido en el seno de una Empresa, y tras largos y costosos años de procedimiento, es imposible atribuir la responsabilidad penal a una persona física.

Es aquí donde cabe decir que, no se puede permitir que la violación del Derecho Fundamental a la Intimidad de la víctima, consagrado en el Art. 18 de nuestra Constitución, quede impune amparado por el paraguas de la Persona Jurídica.

Es por todo ello que debemos reclamar que se empiece a tener en cuenta y sobre todo a tener conciencia de la necesidad de incrementar la eficacia del proceso penal ante este tipo de delitos, de tal forma que, ante las denuncias que se formulen y se acredite documentalmente la intromisión en la esfera privada, se establezcan cauces automáticos para que desde ese mismo momento, y a la mayor brevedad, se inicien las diligencias de averiguación pertinentes  que coadyuven, una vez se dé traslado de éstas al Juzgado, a la posible identificación inicial del causante del daño, siendo continuadas en la forma en las que el juzgador establezca, actuando con la mayor celeridad y  practicándose todas aquellas complementarias en aras de averiguar la persona responsable de los hechos, ya que, aunque nos encontremos ante la dificultad que conlleva el que detrás de una IP figure una persona jurídica, si la maquinaria se pone a funcionar sin dejar pasar tiempo, el análisis forense del delito informático cometido desde una IP propiedad de una persona jurídica, nos podría permitir atribuir la responsabilidad a una persona física, todo ello  sin perjuicio de la sanción que pudiera recaer sobre la persona jurídica por no disponer de los sistemas de prevención de la comisión de delitos informáticos en el seno de su empresa.

Porque  detrás de la comisión de un delito siempre está la voluntad dolosa de una persona física.

Se debe tener en cuenta que, no es lo mismo acudir a la escena del crimen en los momentos posteriores al hecho, que acudir meses, e incluso en algunos procesos, años después (archivo provisional, recurso de reforma subsidiario de apelación ante la Audiencia Provincial, estimación del recurso, retorno de las actuaciones al instructor, etc.,), ya que, podría ocurrir que al pasar tanto tiempo, cuando se va a realizar la adquisición de evidencias sobre el sistema o sistemas desde el cual se llevaron a efecto el/los accesos ilegítimos, o estos ya no existan, o han sido sustituidos por otros, o han sido formateados, o los “logs” donde se pueden hacer los análisis de esas evidencias hayan desaparecido, incrementando la probabilidad de no encontrar rastro alguno que pueda acompañar la imputabilidad del delito a una persona física.

Lo que me lleva a concluir que, en definitiva, y a fecha actual, cuando detrás de una IP hay una persona jurídica, la conducta tipificada, en la mayoría de los casos, queda impune.

 Eva María Calderón Palomar

Abogado. Responsable del Departamento de Derecho Digital y TIC en Epiqueya Abogados.

Directora de sicumple.com

@epiqueya_

@sicumple_