La sentencia del Pleno de la Sala de lo Penal del Tribunal Supremo, de 7 de febrero de 2022, nº 91/2022, rec. 322/2020, declara que existe un delito de daños informáticos porque la disfunción electrónica produce un resultado realmente gravoso para su titular dados los trastornos importantes en el devenir de una actividad empresarial, por más que no exista una cuantificación económica del daño emergente o del lucro cesante que generaron.
Porque las unidades o procesos informáticos que aquí se protegen, son elementos intangibles que no siempre presentan un valor económico intrínseco, ni siquiera lo tienen por el valor estimado de una recuperación incierta.
Están probados la entidad de los perjuicios derivados de la acción delictiva de la condenada al borrar datos informáticos, perfectamente adecuados a la intención de perjudicar que impulsó a la acusada y claramente acompasados con unos trastornos importantes en el devenir de una actividad empresarial que giraba en torno al contacto telefónico, por más que no exista una cuantificación económica del daño emergente o del lucro cesante que generaron.
El artículo 264 del Código penal regula el delito de daños informáticos:
"1. El que, por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a tres años.
2. Se impondrá una pena de prisión de dos a cinco años y multa del tanto al décuplo del perjuicio ocasionado, cuando en las conductas descritas concurra alguna de las siguientes circunstancias:
1.ª Se hubiese cometido en el marco de una organización criminal.
2.ª Haya ocasionado daños de especial gravedad o afectado a un número elevado de sistemas informáticos.
3.ª El hecho hubiera perjudicado gravemente el funcionamiento de servicios públicos esenciales o la provisión de bienes de primera necesidad.
4.ª Los hechos hayan afectado al sistema informático de una infraestructura crítica o se hubiera creado una situación de peligro grave para la seguridad del Estado, de la Unión Europea o de un Estado Miembro de la Unión Europea. A estos efectos se considerará infraestructura crítica un elemento, sistema o parte de este que sea esencial para el mantenimiento de funciones vitales de la sociedad, la salud, la seguridad, la protección y el bienestar económico y social de la población cuya perturbación o destrucción tendría un impacto significativo al no poder mantener sus funciones.
5.ª El delito se haya cometido utilizando alguno de los medios a que se refiere el artículo 264 ter.
Si los hechos hubieran resultado de extrema gravedad, podrá imponerse la pena superior en grado.
3. Las penas previstas en los apartados anteriores se impondrán, en sus respectivos casos, en su mitad superior, cuando los hechos se hubieran cometido mediante la utilización ilícita de datos personales de otra persona para facilitarse el acceso al sistema informático o para ganarse la confianza de un tercero”.
A) Antecedentes.
El Juzgado de lo Penal nº 18 de Valencia, en su Procedimiento Abreviado nº 322/2018, dictó Sentencia el 11 de septiembre de 2019 en la que condenó a Teodora, como autora de un delito de daños del artículo 264.1 del Código Penal, a las penas de prisión por tiempo de 1 año y 6 meses e inhabilitación especial para el derecho de sufragio pasivo durante el tiempo de la condena, así como a que indemnizara a la mercantil Escribano Levante SL en la cantidad a la que ascienden las nóminas que percibió durante los cuatro meses que trabajó para dicha entidad, que se determinarán en ejecución de sentencia.
Contra la sentencia condenatoria la acusada interpuso recurso de apelación ante la Audiencia Provincial de Valencia, que fue estimado en sentencia, emitida por su Sección Quinta, de 18 de noviembre de 2019, en la que se acordó revocar la sentencia impugnada y absolver a Teodora del delito de daños informáticos del que venía acusada.
B) Objeto de la litis:
1º) El análisis de la cuestión se muestra oportuno en este supuesto por dos razones: a) la Sala sólo ha tenido ocasión de pronunciarse sobre los daños informáticos, salvo involuntaria omisión, en su STS de 22 de mayo de 2020, nº 220/2020, rec. 3019/2018, y b) la nueva redacción del Código Penal ha introducido la hiperagravación específica de extrema gravedad de los hechos, lo que podría modular la acepción tradicionalmente asignada a la gravedad de la acción y del resultado, así como a la agravante específica de generar daños de especial gravedad.
2º) La sentencia de instancia declara probado que la acusada Teodora "trabajó desde el 1-12-2015 hasta el 30-3-2016 como comercial teleoperadora para la zona de Portugal en la entidad Escribano Levante S.L. con CIF B96344791, dedicada a la venta mayorista a distribuidores del mercado tanto nacional como internacional de artículos informáticos e impresoras 3D, desempeñando sus funciones en la sede de la mercantil en Picanya".
Se declara también probado que el 29 de marzo de 2016, la mercantil informó a la acusada que prescindía de sus servicios por no alcanzar el objetivo de ventas, lo que determinó que, al día siguiente, con la intención de perjudicar a la empresa, la acusada "borró...todos los archivos relacionados con la actividad que había desempeñado en relación a la zona comercial de Portugal, de la que en dichos momentos era la única comercial encargada. En concreto eliminó las hojas excel, dos archivos outlook ... que contenían contactos vía email de clientes zona comercial Portugal y los datos almacenados en las cuentas de correo electrónico ... y el archivo excel ... en el que indicaba los datos de clientes y marcas de consumibles que más comercializan, tipo empresa, volumen y compra, marcas, proveedores con los que trabajan, descuentos, condiciones de portes y formas de pago".
Por último, se declara también probado que " A consecuencia de dicha conducta, la información que se disponía pasó de 778 mb ...a 78 mb, sufriendo la entidad Escribano Levante S. L. obvios perjuicios económicos y en el ámbito organizativo, y de prestigio al verse imposibilitada y dificultada para gestionar las ventas pendientes, así como el seguimiento y comunicación con los clientes del área de Portugal".
3º) La sentencia de instancia considera (FJ 2) que el delito de daños informáticos exige que tanto la acción típica, como el resultado derivado, sean graves.
Haciendo referencia a la sentencia de la Sección 23.ª de la Audiencia Provincial de Madrid antes referenciada, recuerda un extracto de la misma que plasma que:
“El resultado grave de los daños causados en los datos informáticos deberá ser estimado caso por caso atendiendo a criterios que permitan apreciar esa gravedad, criterios como puede ser la posibilidad o no de recuperar los datos informáticos, la pérdida definitiva de los mismos o la posibilidad de recuperación y, en este último caso, el coste económico de la reparación del daño causado, la complejidad técnica de los trabajos de recuperación, la duración de las tareas de recuperación, el valor del perjuicio causado al titular de los datos, bien como lucro cesante o como daño emergente".
Con ello, el Juez o la Juez de lo penal (en modo alguno desvelado en la sentencia que dicta), concluye que la gravedad del resultado debe apreciarse en el caso enjuiciado, pues "fueron borrados los archivos informáticos que contenían toda la información de las ventas, productos y clientes de la zona de Portugal, archivos que pertenecían a la mercantil Escribano Levante S.L. y que resultaban determinante para el ejercicio de su labor comercial en dicha zona, no habiendo podido ser recuperada la información al haber efectuado la acusada un borrado total o seguro que lo hace irreversible, y no existir copias de seguridad".
Y añade también " No habiéndose podido recuperar los datos borrados por la acusada, propiedad de la empresa, y no existiendo copia de seguridad de los mismos, se concluye la gravedad del resultado perjudicial ocasionado a la mercantil Escribano Levante S. L. por la acusada, más aún cuando se trata de una empresa de ventas por teleoperadores habiéndose producido un borrado de los datos de los clientes correspondientes a la zona de Portugal, zona de la que estaba a cargo la acusada, afirmando la testigo Camila, directora comercial de Escribano Levante S.L., que se vieron obligados a llevar a cabo un nuevo estudio de mercado de la zona de Portugal con el correspondiente retraso en el comercio y venta de sus productos y pérdida de clientes.
La gravedad de los resultados, con un barrido casi total de la información correspondiente a las ventas y clientes de la zona de Portugal, y la deliberada intencionalidad de la acusada en la producción de dichos daños, determinan la calificación de su acción como grave".
Argumentos que llevan a la condena de la acusada como autora responsable del delito de daños informáticos del artículo 264 del Código Penal que ahora analizamos.
4º) La sentencia de apelación impugnada acepta los hechos declarados probados en la sentencia de instancia, con la expresión de estilo de "en lo que no contradiga la presente sentencia".
Pese a ello, la Sección Quinta de la Audiencia Provincial de Valencia revoca la sentencia impugnada y no lo hace por una discrepancia de las exigencias del tipo penal de daños informáticos, sino por un juicio discrepante sobre la subsunción de los hechos en los imprecisos contornos del elemento objetivo. La sentencia coincide en que el tipo penal exige de una gravedad en la acción y en el resultado. Asume que los datos fueron borrados y que eran irrecuperables (FJ 4.º), por lo que la empresa se vio obligada a llevar a cabo un nuevo estudio de mercado de la zona de Portugal.
Pero asienta su absolución en que las consecuencias económicas del borrado no han sido cuantificadas ni de forma aproximada, lo que entiende particularmente relevante en consideración a que: a) se conservaron los datos de los clientes portugueses que habían efectivamente contratado con la mercantil perjudicada, los cuales habían sido comunicados al departamento de administración para servir y facturar los pedidos; b) no se había aportado ningún estudio económico sobre el coste de hacer un nuevo estudio de mercado y reconstruir una nueva base de datos y c) no constaba tampoco el lucro cesante o daño emergente de la destrucción.
Con todo, la sentencia de apelación asume que la eliminación de los correos
electrónicos y de la tabla de Excel, debió generar a la empresa una
incomodidad, molestia o fastidio. Asume además que tuvo que tener
repercusión en su relación con los clientes, generando un caos organizativo de
forma temporal. Si bien, concluye que estas consecuencias no revisten la
gravedad que exige el tipo penal.
C) Regulación legal.
1º) El desarrollo de las nuevas tecnologías, basadas no sólo en la utilización de un conjunto de componentes que integran la parte material y la operatividad física de una computadora (hardware) , sino en la utilización de datos y bases de datos que se someten a los componentes lógicos (software) necesarios para posibilitar o facilitar el desarrollo de determinadas tareas, ha supuesto una revolución en el funcionamiento de las sociedades modernas, particularmente de las sociedades más desarrolladas y no sólo respecto de actividades complejas sino, incluso, de las más frecuentes y cotidianas.
El dato informático, los documentos electrónicos y los programas informáticos, configuran un sustrato físico intangible en torno al cual gira, en mayor o menor medida, la práctica totalidad de la actividad comercial, científica, sanitaria o administrativa actual, así como una parte muy significativa de los derechos individuales de los ciudadanos o de su actividad diaria, como la intimidad, las comunicaciones, la propiedad o su ideología y creencias.
Cualquier faceta personal o colectiva en un mundo interconectado descansa
hoy en la utilización de los datos digitales, de sus colecciones o de los
programas informáticos que, sobre su base, operan en la gestión de cualquier
interés o actividad. Lo que ha supuesto, con esta evolución y creciente relevancia, que hayan
encontrado espacio nuevos fenómenos delictivos que son el resultado de un uso
indebido de la tecnología y que se manifiestan, entre otras formas, mediante la
realización de acciones exclusivamente dirigidas a impedir que el tenedor del
elemento inmaterial que permite cada proceso digital pueda servirse de él y
sufra con ello un perjuicio en cualquiera de sus intereses.
La importante difusión de los delitos informáticos ha conducido a una regulación nacional y supra estatal que tiene sus orígenes en el Convenio sobre Ciberdelincuencia, hecho en Budapest el 23 de noviembre de 2001 (BOE núm. 226, de 17 de noviembre de 2010), con el que se pretendió establecer una armonización entre las regulaciones penales de los Estados firmantes, reflejando su preámbulo que el Convenio "resulta necesario para prevenir los actos dirigidos contra la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos, redes y datos informáticos, así como el abuso de dichos sistemas, redes y datos, mediante la tipificación de esos actos, tal y como se definen en el presente Convenio, y la asunción de poderes suficientes para luchar de forma efectiva contra dichos delitos, facilitando su detección, investigación y sanción, tanto a nivel nacional como internacional, y estableciendo disposiciones que permitan una cooperación internacional rápida y fiable".
El Convenio, ratificado por España el 3 de junio de 2010, contempló los daños informáticos en el artículo 1.b y en su artículo 4. El primer precepto fijaba el contenido semántico del término datos informáticos, entendiendo por tales como "cualquier representación de hechos, información o conceptos de una forma que permita el tratamiento informático, incluido un programa diseñado para que un sistema informático ejecute una función", estableciendo su artículo 4.1 que cada Estado parte adoptaría las medidas legislativas para tipificar como delito en su derecho interno la comisión deliberada e ilegítima de actos que dañen, borren, deterioren, alteren o supriman datos informáticos, añadiendo el número 4.2 que "Cualquier parte podrá reservarse el derecho a exigir que los actos definidos en el apartado 1 provoquen daños graves".
Las previsiones del Convenio, suscrito por los Estados miembros de la Unión Europea además de otros países como Canadá, Sudáfrica, Japón o los Estados Unidos de América, fue recogido con posterioridad por la Decisión Marco 2005-222-JAI del Consejo de Europa de 24 de febrero de 2005, que consideró la necesidad de llegar a un enfoque común respecto de los elementos constitutivos de las infracciones penales, así como prever sanciones para reprimir de manera disuasoria y proporcional los ataques contra los sistemas de información, estableciendo en su artículo 4 que "Cada Estado miembro adoptará las medidas necesarias para que el acto intencionado, cometido sin autorización, de borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos informáticos contenidos en un sistema de información sea sancionable como infracción penal, al menos en los casos que no sean de menor gravedad ".
En igual sentido, la Directiva 2013/40/UE del Parlamento Europeo y del Consejo, de 12 de agosto de 2013, relativa a los ataques contra los sistemas de información y por la que se sustituyó la Decisión Marco anteriormente referenciada, insistió en proclamar datos informáticos, toda representación de hechos, informaciones o conceptos de una forma que permite su tratamiento por un sistema de información, incluidos los programas que sirven para hacer que dicho sistema de información realice una función (art. 2.a), recogiéndose en su artículo 5 la obligación de los Estados miembros de adoptar "...las medidas necesarias para que borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos informáticos contenidos en un sistema de información, intencionalmente y sin autorización, sea sancionable como infracción penal, al menos en los casos que no sean de menor gravedad".
2º) Nuestro Código Penal, en su redacción original dada por la Ley Orgánica 10/1995, de 23 de noviembre, introdujo en nuestro ordenamiento jurídico el delito de daños informáticos, al sancionar " al que por cualquier medio destruya, altere, inutilice o de cualquier otro modo dañe los datos, programas o documentos electrónicos ajenos contenidos en redes, soportes o sistemas informáticos".
Tipificación que fue modificada por la LO 5/2010 que, haciéndose eco de la posibilidad recogida en los instrumentos internacionales anteriormente expuestos, introdujeron la exigencia de una gravedad en la acción y en el resultado que, tras la reforma operada por LO 1/2015, el legislador aún mantiene con una redacción idéntica del tipo básico. Se sanciona así al que "por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave".
D) Doctrina del Tribunal Supremo.
1º) Como ya indicamos en nuestra Sentencia 220/2020, de 22 de mayo, no es fácil modular la gravedad de la acción cuando el tipo penal exige, además, de un resultado también grave. La taxatividad de la norma penal no sólo se resiente por la exigencia de que el comportamiento sea grave, sino por el requerimiento de que también se aprecie una gravedad en el resultado de la acción delictiva. Si la gravedad de una actuación delictiva es una conclusión que sólo puede alcanzarse a partir de la valoración que los jueces hagan de aspectos a veces singulares e irrepetibles del comportamiento, su definición es aún más compleja cuando la punibilidad de los hechos se hace depender de una doble gravedad, esto es, de una acción grave y de un resultado también grave, de suerte que resulta dificultoso delimitar donde termina la primera y empieza a medirse la segunda, o determinar la gravedad de una conducta sin introducir la dimensión del menoscabo que genera.
Y lo es más aún cuando la imprecisa dimensión de la antijuridicidad de los hechos puede conducir a la apreciación de un subtipo agravado o de otro hiperagravado, pues el primero se hace depender de que la conducta "haya ocasionado daños de especial gravedad" (art. 264.2. 2.ª) y el segundo de que los hechos "hubieran resultado de extrema gravedad" (último párrafo del art. 264.2).
Pese a estas dificultades, concluimos que la gravedad de la acción no debe observarse a partir del mecanismo que se emplee para llevar a término la acción típica, pues el propio legislador plasma la punición de la conducta con independencia de cuál sea el medio que se emplee para borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles los datos informáticos, los programas informáticos o los documentos electrónicos ajenos, habiendo previsto como una agravación específica cuando el autor actúe por medio de programas informáticos concebidos o adaptados principalmente para cometer la acción, o cuando emplee para ello una contraseña, un código o un dato de acceso al sistema de información para cuyo uso no estuviera el sujeto activo legítimamente autorizado (art. 264.2.5.ª, en relación con el artículo 264 ter del Código Penal).
La gravedad de la acción viene determinada por el daño funcional que el comportamiento genere, resultando atípicas todas aquellas actuaciones que, pese a satisfacer objetivamente alguna de las modalidades de obrar previstas en el tipo penal, resulten cualitativa o cuantitativamente irrelevantes para que el servicio o el sistema operen de manera rigurosa. Solo si la función digital deviene imposible o si se trastoca de manera relevante la utilidad o facilitación que introduce, la actuación dolosa de pervertir el sistema puede llegar a merecer el reproche penal.
2º) En todo caso, la tipicidad exige además que la disfunción electrónica genere un resultado realmente gravoso para el titular de los instrumentos digitales. Nuestra sentencia anteriormente citada, atendiendo a que el supuesto que resolvíamos consistió en la eliminación de unos datos después recuperados de la "papelera de reciclaje" y compartiendo la posición sustentada en la Circular de la Fiscalía General del Estado n.º 3/2017, proclamaba que la gravedad típica se alcanza cuando es imposible recuperar la operatividad del sistema o cuando su recomposición es difícilmente reversible sin notables esfuerzos de dedicación técnica y económica.
Debe observarse que las unidades o procesos informáticos que aquí se protegen, son elementos intangibles que no siempre presentan un valor económico intrínseco, ni siquiera lo tienen por el valor estimado de una recuperación incierta.
El borrado del histórico fotográfico digital que una persona acopia durante toda su vida o la pérdida de las pruebas de diagnóstico y evolución que conforman su largo historial médico, ni son susceptibles de valoración intrínseca, ni existe la posibilidad de cuantificar el coste del trabajo preciso para una recuperación imposible, lo que no impide apreciar la trascendencia del perjuicio y lo dañino del resultado.
E) Conclusión.
1º) Esta configuración del tipo penal analizado, conduce a la estimación del recurso de casación interpuesto, por contrariar la sentencia impugnada la doctrina de esta Sala.
El relato de hechos probados describe la sustancial gravedad de la acción
realizada por la acusada, no sólo por la definitiva eliminación digital de los
datos informáticos, sino porque su pérdida no fue susceptible de recuperación y
hubo de reiterarse la actuación mercantil y administrativa que permitió su
acumulación durante meses. Y aun cuando la sentencia impugnada objeta que los
datos que se borraron fueron los correspondientes a los clientes que la empresa
tenía en Portugal y que esos datos estaban replicados en el departamento de
administración para suministrar y facturar los pedidos, ni puede eludirse que
la recuperación suponía un esfuerzo de revisión de la facturación
suficientemente intenso, ni puede ocultarse que el esfuerzo resulta en parte
infructuoso a la vista del propio relato fáctico. Aun cuando la empresa
pudiera rescatar y recomponer con esfuerzo la identidad, la dirección y los
pedidos de los clientes de Portugal que contrataron durante el tiempo que la
acusada trabajó en la empresa e incluso anteriormente, el relato fáctico
describe una pérdida de información de mayor extensión. La sentencia
observa que la acusada llevaba esa zona comercial de manera exclusiva, aun
cuando subraya que en el pasado la había trabajado con otra empleada ya
despedida. En todo caso, el relato histórico recoge que se borraron todos
los contactos mantenidos vía email con los clientes de esa zona, así como un
archivo Excel que recogía, además de la relación de todos clientes, el tipo de
empresa que era, la clase y la marca de consumibles que más comercializaba cada
uno, su volumen de compra, los proveedores con los que trabajaban, el descuento
que se aplicaba a cada uno de ellos o las condiciones de los portes y de las
formas de pago que tenían definidos. De ese modo, se describe que se
borraron los correos electrónicos intercambiados con potenciales clientes que
habían rechazado contratar, siendo que tales documentos permitían evaluar si
persistía o no el interés comercial de insistir en otro momento o con otras
condiciones. Y respecto de los clientes que habían materializado sus compras se
perdieron definitivamente aspectos de relevante interés comercial, como los
productos que más compraban, el tipo de descuento que se les aplicaba o las
condiciones de pago que a cada uno se ofrecía. En concreto, se deja
constancia de que estos archivos pasaron de ocupar 778 Mb a 78 Mb, esto es,
soportaron un denso borrado de 700 Mb de información, que no pudo ser
recuperada pese a los esfuerzos que se emplearon en ello.
2º) De otro lado, también se describe la realidad de un grave resultado. El relato de hechos probados proclama que la actividad comercial de la entidad recurrente consiste en las ventas mayoristas a distribuidores del mercado nacional e internacional de artículos informáticos y proclama que la mercantil contrató a la acusada como teleoperadora para la zona de Portugal. Afirma que la acusada trabajó en esa actividad durante cuatro meses y que al momento de su despido no había otra empleada que se ocupara de esa zona territorial, perfilando la fundamentación que la actividad la había compartido durante tres meses con Caridad.
Aun cuando la destrucción se hubiera limitado a los datos comerciales de este periodo (lo que debe presumirse en la medida en que la sentencia de instancia no aclara si los archivos borrados incluían la actividad comercial de anteriores empleadas), el Juzgador concluye que se causaron unos indudables perjuicios económicos, organizativos y reputacionales. Económicos, por declararse probado que se perdió el resultado del esfuerzo laboral retribuido de dos empleadas que trabajaron durante tres y cuatro meses respectivamente para ese mercado. Organizativos, por declararse también probado que la actuación destructiva de la acusada dificultó el seguimiento y la comunicación con los clientes del área de Portugal, por más que los listados de clientes pudieran recomponerse, no sin un indebido esfuerzo, inventariando la facturación de diario de todo ese periodo de tiempo. Reputacional, por estar probada la demora en la tramitación de las ventas ya efectuadas que proclama el Tribunal de instancia.
Se plasma así la entidad de los perjuicios derivados de la acción delictiva, perfectamente adecuados a la intención de perjudicar que impulsó a la acusada y claramente acompasados con unos trastornos importantes en el devenir de una actividad empresarial que giraba en torno al contacto telefónico, por más que no exista una cuantificación económica del daño emergente o del lucro cesante que generaron.
3º) Por todo lo expuesto, la Sala ha decidido:
Que debemos condenar y condenamos a Teodora como autora de un delito de daños del artículo 264.1.º del Código Penal, a la pena de un año y seis meses de prisión, con la accesoria de inhabilitación especial del derecho de sufragio pasivo durante el tiempo de condena, y costas.
La penada deberá indemnizar a la mercantil Escribano Levante SL en la
cantidad a la que ascienden las nóminas que percibió durante los cuatro meses
que trabajó para dicha entidad, que se determinará en ejecución de sentencia,
debiendo aportar dicha mercantil las nóminas a la ejecutoria, todo ello más
intereses legales.
www.gonzaleztorresabogados.com
928 244 935
No hay comentarios:
Publicar un comentario