El 23 de Diciembre de
2010 entró en vigor la reforma del código penal, el cual fue modificado por la
Ley Orgánica 5/2010 de 22 de Junio. En esta nueva reforma legal se tipifica
como delitos informáticos específicos, limitando la acción de los
investigadores de seguridad informática y responsabilizando a las empresas. Por
lo que las empresas serán las personas jurídicas de las acciones de sus
empleados.
Esta actualización supuso
una ampliación del catálogo de delitos informáticos, el cual es necesario
conocer cuando se ejerce una profesión concreta, pero no es suficiente para
cubrir todo el abanico de delitos que pueden surgir hoy en día en el mundo de
la seguridad informática. Esta ley no modificó algunos delitos graves, como por
ejemplo el de la pornografía infantil o suplantación de identidad.
Las empresas, personas
jurídicas, son responsables de estafas y delitos informáticos cometidos por sus
empleados. Esta afirmación es así, siempre que se demuestre que las empresas no
han implantado medidas de control interno necesarias para impedir estos
incidentes. Si una empresa fuera adquirida por otra, la responsabilidad se
traslada a la nueva empresa resultante. Por supuesto, la empresa es responsable
del delito cuando no es posible determinar quién es el autor del delito,
incluso cuando el autor haya fallecido.
Las sanciones que pueden
afectar a las empresas son muy distintas, pudiendo ir desde una multa pequeña
hasta la propia disolución de la sociedad. Esto es independiente de la
responsabilidad que tenga el empleado, persona física. En otras palabras,
sancionados serán tanto la empresa como el empleado causante del delito.
La reforma solo afectaba
a las empresas privadas, estando el sector público exento de dichas
responsabilidades penales. El Estado y las Administraciones se les eximen de
toda posible culpa en un delito informático. Los partidos políticos no pagarán
por las acciones de sus empleados.
Otra de las cosas
importantes que marca esta Ley del año 2010 es que la detección de
vulnerabilidades informáticas se convierte en un delito. Cualquier persona que
detecte vulnerabilidades en aplicaciones o sitios web sin consentimiento
explícito de los interesados, en este caso el propietario de la aplicación,
puede acabar con consecuencias legales. El Código Penal sanciona el uso de las
nuevas tecnologías de la información para invadir o atentar contra la intimidad
de las personas. En otras palabras, realizar un acceso no consentido, sin
autorización, vulnerando un sistema de autenticación será sancionado, aunque no
exista intención de cometer un delito. El usuario que comete este delito puede
ser sancionado con una pena de prisión de entre seis meses y dos años.
Los empleados dedicados a
la seguridad informática deben conocer esta Ley, y todas las consecuencias que
pueden ocurrir en el incumplimiento de ella. Es recomendable que los
empresarios al contratar a los empleados informen y dediquen tiempo en que los
profesionales de la seguridad entiendan el ámbito en el que se encuentran y a
las leyes que están sujetos sus puestos de trabajo. Se puede entender que este
Código Penal sitúa en el mismo escalafón a un investigador de seguridad que a
un delincuente que se aprovecha de las vulnerabilidades para obtener un beneficio.
Artículos como este son muy necesarios Pablo. Buena entrada.
ResponderEliminar