Con la publicación en el BOE de la Ley Orgánica 5/2010, de 22 de junio, en vigor desde el 23 de diciembre del año 2010, se reformaba la Ley Orgánica 10/1995 que aprobó el vigente Código Penal. Tres han sido los delitos informáticos afectados por esta reforma: la intrusión informática (art. 197.3 CP), la estafa informática (art. 248 CP) y los daños informáticos (art. 264 CP). Centraremos nuestro análisis en lo que se refiere al primero de ellos.
El texto definitivo del articulo 197.3 CP, en su nueva redacción, regula el llamado "mero acceso no consentido" o acceso ilícito a sistemas informáticos.
Con esta reforma se castiga: (i) a quien accede a un sistema informático de manera no consentida, independientemente de si lleva a cabo algún tipo de daño en el sistema o algún perjuicio al propietario del equipo; (ii) a quien se mantiene dentro de un sistema informático en contra de la voluntad de quien tiene el legítimo derecho a excluirlo.
En primer lugar, hemos de mencionar una cuestión no poco controvertida: ¿cuál es el bien jurídico protegido por el delito?. Hay parte de la doctrina que considera que el mismo está relacionado con la intimidad personal y familiar, ya que, además, el precepto está incluido dentro de los "delitos contra la intimidad, el derecho a la propia imagen y la inviolabilidad de domicilio". Mientras que, otro sector, estima que el bien jurídico protegido por el delito es la seguridad informática, añadiendo al respecto que, además, el artículo 197.3 no debería encuadrarse dentro de este Título X, puesto que nada tiene que ver con la intimidad. En nuestra opinión, los bienes jurídicos protegidos por el delito pueden ser ambos, tanto la intimidad como la seguridad informática, ya que el acceso no consentido a un sistema informático ajeno puede atentar contra la seguridad informática, en el sentido de poner en peligro el propio sistema, como contra la intimidad, ya que el equipo informático de una persona también puede considerarse como un ámbito reservado de la misma.
Adentrándonos ya en el tipo que se describe en este artículo 197.3, la primera modalidad típica que hemos mencionado consiste en el acceso ilícito. En esta modalidad encontramos dos elementos: por un lado la dimensión que alcanza el acceso no autorizado, por otro, la proyección que supondría vulnerar los sistemas de seguridad. En lo que se refiere al acceso, se define como aquella conducta que consiste en obtener algún tipo de control sobre los procesos del sistema, bien sea un control completo o bien un mero control de entrada en el sentido de poder conocerlos (caso de datos) o utilizarlos (caso de programas).
De igual forma, el acceso puede ser directo o remoto. El acceso directo se produce al acceder físicamente a un sistema informático ajeno, mientras que el acceso remoto se lleva a cabo desde un sistema informático a otro a través de una red informática pública o privada. Parece que para cumplir el tipo bastaría con abrir los archivos que se encuentren dentro del sistema informático. Sin embargo, para cubrir la conducta típica, no basta con la apertura de dichos archivos, es necesario que la introducción en el sistema permita disponer de los datos contenidos en el mismo para conocerlos, modificarlos, copiarlos, utilizarlos, etc.
Por otro lado, el tipo exige que el acceso ilícito se lleve a cabo vulnerando las medidas de seguridad establecidas. Hemos de llamar la atención, en primer lugar, en que el hecho de acceder a un sistema vulnerando las medidas de seguridad establecidas implica ya, de entrada, acceder a dicho sistema sin autorización. Por tanto, el elemento exigido de la falta de autorización nos parece en este caso "reiterativo", ya que poco puede aportar al tipo, que contiene la exigencia de que el acceso se lleve a cabo vulnerando las medidas de seguridad.
Cuando el artículo 197.3 se refiere a medidas de seguridad, hemos de entender que no está haciendo alusión a medidas para acceder al lugar donde se encuentra el propio sistema (el equipo), pues lo que se trata de impedir es el acceso a datos y programas contenidos en el sistema. Las medidas de seguridad susceptibles de vulneración han de ser internas al sistema, ya sean de software o de hardware, sin necesidad de que constituyan medidas de técnica demasiado avanzada. Tendrán cabida las contraseñas que dan acceso al sistema, el firewall, medidas de bloqueo del sistema, claves que impidan el encendido del ordenador, etc. Sin embargo, cualquier forma de descubrir la clave no es susceptible de vulnerar los sistemas de seguridad. El interesado debe haber seguido una serie de protocolos para mantener la privacidad de las claves.
La segunda modalidad típica que contiene el precepto aquí analizado, que comentábamos al principio, consiste en el hecho de mantenerse dentro de un sistema informático en contra de la voluntad de quien tenga el legítimo derecho a excluirlo. En este caso, el acceso previo tiene que haber sido lícito, ya que, si se hubiera realizado vulnerando medidas de seguridad, se aplicaría la modalidad de acceso ilícito. Por supuesto, mantenerse dentro de un sistema al cual se ha tenido lícito acceso, no entra dentro del tipo, lo que se pretende es evitar que quien haya accedido al sistema de manera lícita con consentimiento del titular permanezca en él si se le retira dicho consentimiento.
Si además de producirse el acceso a datos vulnerando medidas de seguridad y sin autorización, los datos a los que se llegase a acceder fueren reservados de carácter personal o familiar, nos encontraríamos ante una relación normativa entre la aplicación del artículo 197.2 y del 197.3. La relación se estructuraría como un concurso de normas -una misma conducta constituye varios tipos penales- al poder ser, como hemos argumentado anteriormente, los bienes jurídicos protegidos por ambos delitos parcialmente coincidentes (ambos delitos, tanto el establecido en el artículo 197.2 como el descrito en el artículo 197.3, en nuestra opinión, protegen, tanto la intimidad, como la seguridad informática). Dicho concurso de normas se resolvería en favor del artículo 197.2 siempre que los datos contenidos en el sistema informático revistan el carácter de personales y reservados. Y ello por cuanto el tipo del artículo 197.2 se ofrece más amplio que el artículo 197.3, tiene la especialidad de referirse a datos de carácter personal y, además, resulta ser el precepto penal más grave.
Finalmente, el artículo 197.3 entra dentro del numerus clausus de delitos que pueden dar lugar, en caso de su comisión, a que la persona jurídica en el seno de la cual haya tenido lugar la comisión del delito sea responsable penalmente, según la nueva regulación contenida en el artículo 31 bis C.P. Ante este escenario, las empresas han de ser especialmente cautelosas con las medidas de control que establezcan en los equipos informáticos de sus empleados.
