Ayer, 21 de septiembre,
se firmó por el Fiscal General del Estado la nueva Circular 3/2017, “sobre la
reforma del código penal operada por la LO 1/2015 de 30 de marzo en relación
con los delitos de descubrimiento y revelación de secretos y los delitos de
daños informáticos”. Sus 81 páginas se pueden consultar AQUÍ.
Conclusiones:
“Delitos de descubrimiento y revelación de
secretos
Nueva
circunstancia agravatoria del art. 197.4º b) CP
1ª Se incorpora, en el art. 197.4º b), una
nueva circunstancia agravatoria cuando los hechos sancionados en los párrafos
1º y 2º del mismo art. se lleven a cabo mediante la utilización no autorizada
de datos personales de la víctima.
A estos efectos por datos personales habrían
de entenderse no solo los datos de identidad oficial, en sentido estricto, sino
cualesquiera otros, propios de una persona o utilizados por ella, que le
identifiquen o hagan posible su identificación frente a terceros tanto en un
entorno físico como virtual. Tienen tal consideración no solo el nombre y
apellidos, sino también, entre otros, los números de identificación personal
como el correspondiente al DNI, el de afiliación a la Seguridad Social o a
cualquier institución u organismo público o privado, el número de teléfono
asociado a un concreto titular, la dirección postal, el apartado de correos, la
dirección de correo electrónico, la dirección IP, la contraseña/usuario de carácter
personal, la matrícula del propio vehículo, las imágenes de una persona obtenidas
por videovigilancia, los datos biométricos y datos de ADN, los seudónimos y en
general cualquier dato identificativo que el afectado utilice habitualmente y
por el que sea conocido.
Nueva
figura delictiva del art. 197.7 CP.
2ª El delito del art. 197.7 CP sanciona
penalmente la divulgación a terceros de imágenes o grabaciones audiovisuales de
una persona que, aun obtenidas con su consentimiento, se difunden, revelan o
ceden sin su anuencia, lesionando gravemente su intimidad personal. Por tales
habrá que entender tanto los contenidos perceptibles únicamente por la vista,
como los que se perciben conjuntamente por el oído y la vista y también
aquellos otros que, aun no mediando imágenes, pueden captarse por el sentido
auditivo.
3ª El precepto es aplicable cuando la
imagen o grabación, posteriormente difundida, se haya tomado en un ámbito
espacial reservado, circunstancia ésta que el tipo penal concreta en la
exigencia de que se haya obtenido en un domicilio o en un lugar fuera del
alcance de la mirada de terceros. Por tal habrá de entenderse cualquier lugar
cerrado o también un lugar al aire libre si se acredita que reúne garantías
suficientes de privacidad para asegurar que la captación de las escenas/imágenes
se efectuó en un contexto de estricta intimidad sustraído a la percepción de
terceros ajenos a ellas.
4ª El requisito de falta de autorización
del afectado no exige acreditar una negativa expresa sino que bastará con la no
constancia de autorización, a la que han de equipararse los supuestos de falta
de conocimiento de la ulterior cesión o distribución por parte del afectado. Si
fueran varias las personas que aparecen en las imágenes la difusión solo
resultará atípica si hubieran accedido a la difusión todas y cada una de ellas.
5ª Al configurarse como un delito especial
propio, incurre en responsabilidad únicamente quien, habiendo obtenido con
anuencia de la víctima la imagen o grabación, inicia la cadena de difusión
consciente de que carece de autorización para ello del propio afectado y por
tanto de que su conducta lesiona la intimidad de la víctima. Ello sin perjuicio
de la responsabilidad exigible en los supuestos de coparticipación criminal por
coautoría, cooperación necesaria, inducción o complicidad, si concurren los
presupuestos previstos en los artículos 28 y 29 CP.
Al margen de dichos supuestos, quien, sin
haber participado en la obtención de la imagen o grabación, la trasmite
posteriormente a terceros a sabiendas de su contenido y de la falta de
autorización de la víctima - extranei- podría incurrir en un delito contra la
integridad moral del articulo 173.1 CP, si concurren los requisitos de dicho
tipo penal y concretamente cuando dicha difusión menoscabe gravemente la
integridad moral de la persona afectada.
6ª El autor del delito del art. 197.7
podría incurrir también en un delito contra la integridad moral del art. 173.1
del CP cuando la difusión inconsentida lesione no solo la intimidad del
afectado sino también, por la naturaleza de las imágenes difundidas, afecte
gravemente a la integridad moral de la víctima. En estos supuestos será de
apreciación un concurso ideal entre ambos delitos a penar de conformidad con el
artículo 77.2 del mismo texto legal.
7ª Cuando
las imágenes obtenidas y posteriormente difundidas se refieran a un menor
o a una persona con discapacidad y merezcan la consideración de material pornográfico,
tal y como de se define en el art. 189 del CP, se plantea una situación de
concurso entre la figura prevista en el 197.7 y los preceptos correspondientes
a los
delitos de pornografía infantil.
En estos supuestos se produciría un
concurso ideal entre el delito que se examina, art. 197.7, párrafo 2º y el art.
189.1º b) ambos del CP, a penar de conformidad con el art. 77.2 del mismo texto
legal dado que la acción ilícita, no solamente lesiona la intimidad del
afectado cuya imagen se difunde sin su autorización, sino que pone también en
peligro la indemnidad sexual de los menores, genéricamente considerados, como
bien jurídico protegido en los delitos de pornografía infantil.
El delito
de acceso ilegal a sistemas informáticos (art. 197 bis 1º)
8ª La reubicación sistemática de esta
figura delictiva en el art. 197 bis 1º del CP deja constancia de que el bien
jurídico protegido en el mismo, no es directamente la intimidad personal, sino
más bien la seguridad de los sistemas de información en cuanto medida de
protección del ámbito de privacidad reservado a la posibilidad de conocimiento
público. El delito se consuma por el mero hecho de acceder – o facilitar a otro
el acceso- a un sistema informático o a parte del mismo aun cuando la acción no
vaya seguida del apoderamiento de datos, informaciones o documentos ajenos.
Por medida de seguridad ha de entenderse
cualquiera que se haya establecido con la finalidad de impedir el acceso al
sistema, con independencia de que la misma sea más o menos sólida, compleja o
robusta y también de que haya sido establecida por el administrador, el
usuario, o por el instalador del sistema siempre que se mantenga operativa como
tal medida de seguridad por quien está legitimado para evitar el acceso.
9ª En la práctica será frecuente la
concurrencia de este tipo, acceso ilegal a sistemas, con cualquiera de las
conductas previstas en el artículo 197 nº 1 y 2. En estos casos, en términos
generales, será de apreciar un concurso medial del artículo 77 CP, al igual que
en los supuestos en que el acceso ilegal tuviera por objeto el descubrimiento
de secretos de empresa (art 278 CP) o el descubrimiento de secretos oficiales
(art. 598 y ss CP). Ello no obsta a que en casos concretos, en los que no sea
posible el acceso a la información íntima o a los datos personales por medio
distinto que la vulneración de medidas de seguridad del sistema, pudiera considerarse
la posibilidad de apreciar una progresión delictiva que llevaría a considerar
el concurso de normas sancionable por la vía del artículo 8.3 CP
En todo caso, cuando para sortear las
medidas de seguridad fuera preciso utilizar datos de carácter personal de la
víctima, la apreciación del art. 197 bis 1º junto con el artículo 197, 4 b)
supondría una infracción del principio non bis in idem, debiendo aplicarse en
estos casos este último precepto, por mor del principio de especialidad establecido
en el artículo 8.1 del CP.
El delito
de interceptación ilegal de datos informáticos (art 197 bis 2º)
10ª El objeto de protección en este tipo
penal es doble. En primer término lo son los
datos informáticos objeto de cualquier tipo
de transmisión -salvo las tengan el carácter de comunicación personal cuya
interceptación se sanciona en el art 197.1º- que se lleve a efecto, incluso sin
necesidad de intervención humana, entre los distintos dispositivos de un
sistema o entre dos o más sistemas y en forma no pública, es decir en
condiciones tales que dichos datos queden excluidos del conocimiento de
terceros. En segundo término se protegen también los datos informáticos de un
sistema que son susceptibles de obtenerse a partir de las emisiones
electromagnéticas del mismo.
En uno y otro caso, para que la conducta
sea delictiva han de concurrir dos requisitos: que quien efectúa la interceptación
no esté autorizado para ello y que la misma se realice utilizando como medio
artificios o instrumentos técnicos, debiendo entenderse por tales cualesquiera
herramientas o mecanismos que hagan posible este objetivo aunque no estén
específicamente destinados a ello.
11ª La ubicación de este delito en el nuevo
art. 197 bis. 2º, junto al acceso ilegal a sistemas informáticos, es coherente
con la voluntad del legislador de separar la tipificación y sanción de las
conductas que tutelan la privacidad protegiendo la seguridad de los sistemas de
aquellas otras en las que el bien jurídico protegido es directamente la
intimidad de las personas. En los supuestos de concurrencia entre la
interceptación ilegal del artículo 197 bis 2º y los delitos del artículo
197.1º, el criterio a aplicar será el del concurso de normas a resolver
conforme al principio de absorción dado que uno de los comportamientos típicos
que reseña el último precepto citado es el de interceptar las comunicaciones o
utilizar artificios técnicos de escucha, transmisión, grabación o reproducción
de imágenes, sonidos o cualquier otra señal de comunicación, por lo que
entraría en juego el artículo 8.3º CP a cuyo tenor el precepto legal más amplio
o complejo absorberá a los que castiguen las infracciones consumidas en aquel ,
siendo de aplicación por tanto el artículo 197.1º.
Ahora bien, en el supuesto de que la
interceptación ilegal que estamos examinando (art 197 bis 2º) concurra con
alguna de las conductas ilícitas contempladas en el art. 197.2º habrá de
apreciarse un concurso medial, del art 77 CP por las mismas razones y con las
salvedades expuestas anteriormente a propósito de la concurrencia del artículo
197 bis 1º con esta misma conducta.
El delito
de abuso de dispositivos (art. 197 ter)
12ª La utilización de los verbos producir,
adquirir para el uso, importar o de cualquier modo facilitar a tercero en la
definición de la conducta típica lleva a entender incluidas en la misma tanto
la elaboración para uso propio, o para distribución a terceros, como la
importación, la adquisición y en consecuencia la ulterior posesión -aunque el
precepto no lo indique expresamente- bien sea para el propio uso o para la
distribución o entrega a otro u otros y en general cualquier forma de puesta a
disposición de terceros de cualquiera de las herramientas o instrumentos que se
relacionan en los apartados a) y b) del mismo precepto.
Dichos instrumentos y herramientas pueden
ser: programas informáticos y/o contraseñas, códigos de acceso o datos
similares que hagan posible el acceso a un sistema. Respecto a los primeros la
exigencia legal de que se trate de programas concebidos o adaptados
principalmente para cometer determinados delitos remite al software malicioso o
malware diseñado para infiltrarse y/o obtener información (programas espía) en
un dispositivo o un sistema de información sin el consentimiento de su
propietario, quedando excluidos cualquier otro tipo de programas que no reúnan
dicha característica, aunque puedan ocasionalmente servir para esa misma
finalidad, circunstancia cuya determinación hará necesario generalmente un
informe pericial.
Por su parte, la referencia a contraseñas,
códigos o datos similares, concierne a medidas de seguridad instaladas para
evitar la intromisión en archivos, partes de un sistema o en el sistema mismo
por quien no se encuentra habilitado para ello.
No estamos por tanto ante herramientas
elaboradas específicamente para hacer posible la intromisión ilegítima en un
sistema sino ante la irregular disponibilidad de las legítimamente creadas y
utilizadas para impedir dicha intromisión.
13ª La posibilidad de actuar penalmente
ante dichos comportamientos se encuentra acotada por dos elementos, la falta de
autorización para la elaboración, importación, adquisición o facilitación a
terceros de esos instrumentos o herramientas y la exigencia de que dichas
acciones estén orientadas a facilitar la comisión de alguno de los delitos a
que se refieren los artículos 197, 1º y 2º y 197 bis CP.
En consecuencia es imprescindible que quien
así actúa no cuente con autorización, bien sea otorgada legalmente bien porque
se le haya encomendado dicha responsabilidad por quien tenga capacidad para
ello en el marco concreto de la actividad de que se trate. Pero además ha de
actuarse con la finalidad específica de facilitar la comisión de uno de los
delitos mencionados, circunstancia que habrá de acreditarse en cada supuesto,
atendiendo a los elementos, pruebas o indicios existentes.
14ª Cuando quien haya producido, importado
o adquirido estas herramientas o instrumentos sea el mismo que posteriormente
comete el delito concreto, bien sea del art. 197 apartados 1 y 2) o del art.
197 bis, utilizando esos mismos medios fabricados, adquiridos o poseídos a
dicho fin, habrá de entenderse que se produce un concurso de normas, a resolver
de acuerdo con el criterio de absorción previsto en el art. 8.3 del CP.
La
agravación del art. 197 quater
15ª La LO 1/2015 traslada a este precepto
la agravación derivada de la comisión del hecho en el seno de una organización
o grupo criminal, anteriormente sancionada en al art 197.8, haciéndola
extensiva a todos los delitos descritos en Capítulo I del Título X del Libro II
del CP.
En estas ocasiones, cuando el sujeto activo
de cualquiera de los delitos de descubrimiento y revelación de secretos sea, al
tiempo, integrante y/o dirigente del grupo u organización participante en la
acción ilícita se produce un concurso de normas con los arts. 570 bis o 570 ter
del CP. Ha de recordarse, por tanto, el criterio establecido en la Circular
2/2011 que, en aplicación de lo establecido en art. 570 quáter in fine, remite
en estos casos al art 8.4 CP y, por tanto, establece que en tales supuestos los
Sres Fiscales cuidarán de aplicar, de acuerdo con lo dispuesto en el art 570
quater CP, conforme al criterio de alternatividad, un concurso de delitos entre
el art. 570 bis o el art. 570 ter, en su caso y el tipo correspondiente al
delito específicamente cometido con todas sus circunstancias si bien
prescindiendo de la agravación específica de organización, cuando la pena así aplicada
sea superior a la que prevé el subtipo agravado.
Condiciones
de perseguibilidad
16ª La ubicación de los nuevos tipos
penales determina que les sea de aplicación la previsión del art. 201 CP a cuyo
tenor para proceder por los delitos previstos en este capítulo será necesaria
denuncia de la persona agraviada o de su representante legal, sin perjuicio de
las facultades asignadas al Ministerio Fiscal cuando se trate de personas
menores de edad o en situación de discapacidad.
Esta exigencia puede dificultar la
aplicación de estos preceptos, especialmente del art. 197 ter, dado que
tipifica actos preparatorios del ataque informático en los que no es necesario
que la conducta ejecutada haya llegado a agraviar a personas determinadas. No
obstante, a estos efectos, ha de tenerse en cuenta la previsión del art. 201.2 que
hace innecesaria dicha denuncia si el delito afecta a intereses generales o a una
pluralidad de personas. Esta circunstancia se valorará en atención al número o características
del sistema o sistemas informáticos objeto de acceso o interceptación ilegal y,
en los supuestos del art. 197 ter, cuando la concreción en el curso de la
investigación del fin a que se destinaban las herramientas o instrumentos
permita dicha conclusión, por ejemplo cuando el objeto de la acción fuera el
espionaje informático de organismos e instituciones del Estado o cuando lo que
se pretenda sea la obtención masiva de credenciales bancarias o acciones de similar
naturaleza planificadas para afectar a muchas personas
Delitos de
daños informáticos
El delito
de daños en datos, programas informáticos o documentos electrónicos. (Art 264)
17ª En referencia a la circunstancia
prevista en el art. 264.2.2º CP, la conjunción disyuntiva que enlaza las
circunstancias de ocasionar daños de especial gravedad o afectar a un número
elevado de sistemas ha de interpretarse en el sentido de que no es necesario
que ambas concurran conjuntamente sino que es posible aplicar la agravación aun
cuando solo sea apreciable una u otra de dichas circunstancias.
La interpretación de los conceptos de gravedad
y especial gravedad del daño causado, por su carácter indeterminado y su
dificultad de concreción -dada la naturaleza inmaterial de los elementos
afectados - hace necesaria una labor exegética que deberá llevarse a efecto a
partir de la doctrina jurisprudencial sobre supuestos concretos. Sin perjuicio
de ello, y de conformidad con los parámetros fijados por la Directiva
40/2013/UE, habrían de considerarse graves, y por tanto encuadrables por su
resultado en el art. 264.1 CP, todas aquellas acciones ilícitas que tuvieran
trascendencia significativa o generaran consecuencias apreciables en datos,
programas informáticos o documentos electrónicos o en los intereses en juego,
quedando la aplicación del subtipo que nos ocupa para los supuestos en que los
efectos del delito fueran especialmente relevantes y no se hicieran merecedores,
por su especial intensidad, de la calificación de extrema gravedad
La circunstancia prevista en el inciso
segundo del art. 264.2.2º CP habrá de aplicarse específicamente en los
supuestos en los que se encuentre afectado un número tal de sistemas de
información que pueda considerarse la existencia de un ataque informático
masivo en el sentido a que se refiere el cuerpo de esta Circular.
18ª La circunstancia del art. 264.2.3ª será
aplicable cuando el ataque informático a datos, programas o documentos
electrónicos afecte gravemente a la prestación ordinaria de servicios
esenciales o a la provisión de bienes de primera necesidad. A estos efectos se
entienden por servicios esenciales aquellas actividades que sirven para el
mantenimiento de las funciones sociales básicas de la comunidad, como la salud,
la seguridad, la protección de los derechos fundamentales y las libertades públicas
y el normal funcionamiento de las Instituciones del Estado. En cuanto a los bienes
de primera necesidad deben considerarse como tales los alimentos, medicamentos
y otros productos de consumo imprescindible para la subsistencia y salud de las
personas.
19ª La agravación del art. 264.2.4ª operará
con la simple afección al sistema informático de una infraestructura crítica,
definida como tal en el CP, sin que sea necesario para ello que los efectos en
los datos o programas informáticos o en el propio sistema sea de carácter
grave. En cuanto a la creación de una situación de peligro para la seguridad
del Estado, de la Unión Europea o de un Estado Miembro de la Unión Europea, la
agravación solo será apreciable si el riesgo creado ha sido efectivamente
grave.
20ª La agravación específica prevista en el
apartado 3º del art. 264 establece, de forma preceptiva, la imposición de las
penas en su mitad superior, tanto respecto al tipo básico como en los subtipos
agravados.
La circunstancia se integra por la utilización
no autorizada de datos personales de cualquier otra persona -que hay que
entender como realmente existente- como medio para facilitar el acceso al sistema
objeto de ataque o para conseguir la confianza de un tercero que, a su vez, favorezca
o facilite la causación de daños en los elementos del sistema.
Respecto al alcance del concepto datos
personales, los Sres. Fiscales tomarán en consideración el análisis efectuado
anteriormente a propósito de la aplicación de la circunstancia similar en los delitos
de descubrimiento y revelación de secretos (conclusión primera)
21ª Todas las conductas ilícitas de los
arts. 197 bis, 197 ter y 264 a 264 ter pueden integrar el delito de terrorismo
del art. 573.2 si se llevan a efecto con cualquiera de las finalidades
previstas en el art. 573.1 CP, siendo más evidente esta posibilidad cuando
concurran algunos de los subtipos agravados del art. 264.2 CP. En estos casos
se produce un concurso de normas a resolver por el principio de especialidad
recogido en el art. 8.1º y en el propio art. 573.2. Ello no solamente incide en
la calificación jurídica del hecho sino también en la determinación de la competencia
objetiva al estar atribuido el conocimiento de esas tipologías delictivas a los
órganos de la Audiencia Nacional.
El delito
de obstaculización o interrupción del funcionamiento de sistemas informáticos
(art. 264 bis)
22ª El art. 264 bis CP sanciona un delito
de resultado consistente en la obstaculización o interrupción del funcionamiento
de un sistema informático ajeno, sin estar autorizado y de manera grave, a
través de alguna de las acciones indicadas en el apartado primero del mismo
precepto.
El término grave ha de interpretarse en el
sentido de que no toda obstaculización o interrupción del funcionamiento de un
sistema se haría acreedora por si sola de una sanción penal sino únicamente
aquella que afecte realmente y de forma significativa a la funcionalidad del
sistema atacado, circunstancia que será necesario analizar en cada supuesto en
particular y que en un buen número de ocasiones precisará de los
correspondientes informes técnicos.
23ª El carácter ajeno de los sistemas
informáticos objeto del delito ha de integrarse e interpretarse conjuntamente
con el requisito de la falta de autorización o, dicho de otra forma, con la
falta de disponibilidad de los contenidos o del sistema sobre el que se actúa;
de tal forma que serían típicas aquellas acciones que se realizan intencionadamente
sobre los mismos, con los objetivos indicados, sin estar habilitado para ello.
En consecuencia, solo la actuación no necesitada de autorización sobre sistemas
informáticos, respecto de los cuales su titular tiene pleno control y
disposición, quedaría al margen de la aplicación de este precepto.
24ª El precepto agrupa en tres apartados
las conductas típicas a través de las cuales se pretende el resultado de
obstaculizar o interrumpir el funcionamiento de un sistema informático. En el
primer apartado incluye todas las relacionadas en el art. 264.1º CP, que
integrarán el delito del art. 264 bis cuando el efecto que se pretende y
produce incide no solo en los elementos que integran el sistema sino que afecta
a la operatividad del sistema de información mismo.
En el apartado b) se sanciona la
transmisión e introducción de nuevos datos, cuando dichas conductas no se
encuentren comprendidas en el apartado anterior y sean susceptibles de causar
como efecto la interrupción u obstaculización del funcionamiento del sistema.
Finalmente en el apartado c) se relacionan los
comportamientos de destruir, dañar, inutilizar, eliminar o sustituir pero
dirigidos directamente y en su conjunto al sistema de información o de
almacenamiento masivo afectados por la acción ilícita.
Muchos de estos comportamientos son
reconducibles a las acciones típicas sancionadas en el art. 264.1º CP por lo
que en una pluralidad de ocasiones la aplicación de uno u otro tipo penal
vendrá determinada por la capacidad de la acción para afectar a la operativad o
al funcionamiento del sistema informático en su conjunto.
El delito
de abuso de dispositivos (art. 264 ter)
25ª El tipo penal presenta idéntico
contenido al del art. 197 ter, analizado en el marco de los delitos de
descubrimiento y revelación de secretos (conclusiones decimosegunda a
decimocuarta) si bien en este supuesto los programas informáticos producidos,
adquiridos para su uso, importados o facilitados a terceros han de estar
concebidos o adaptados principalmente para la comisión de algunos de los
delitos sancionados en los arts. 264 y 264 bis, al igual que las conductas típicas
han de ejecutarse con esa misma finalidad. No obstante en estos supuestos, y a
diferencia de aquellos, la persecución de estas conductas no está sujeta a
condiciones especiales de procedibilidad”.
Si la materia es
de vuestro interés, podéis seguir otros enlaces similares con las etiquetas que
constan al final del post o usando el buscador que aparece en el lateral
derecho. También, si es de vuestro gusto y deseáis estar informados al instante
sobre las novedades de este blog, podéis seguirlo suscribiéndoos en el lateral
derecho del blog, o en
o en @EnOcasionesVeoR