Es muy comentado que se va a penalizar la conducta del “hacking”. Y este fin de semana me he entretenido en mirar qué se cuece en el Congreso respecto del Proyecto de Ley de reforma del Código Penal de 1995, que de momento se ha pasado para Dictamen de la Comisión de Justicia. Se ha abierto plazo de enmiendas hasta el 1 de febrero.
La primera guía para interpretar las intenciones del legislador es la exposición de motivos del Proyecto de Ley:
La tutela penal de la intimidad y de los secretos ha sido tradicionalmente fragmentaria, y condicionada a la realización de conductas de apoderamiento de papeles, cartas o mensajes, o de instalación de aparatos de captación de imagen o sonido, pero a la vez que la importancia fundamental de ese bien jurídico exige cada vez mayor atención y medidas legales, como son esencialmente las recogidas en la legislación sobre protección de datos, crecen los riesgos que lo rodean, a causa de las intrincadas vías tecnológicas que permiten violar la privacidad o reserva de datos contenidos en sistemas informáticos. Esa preocupante laguna, que pueden aprovechar los llamados hackers ha aconsejado, cumpliendo con obligaciones específicas sobre la materia plasmadas en la Decisión Marco 2005/222/JAI de 24 de febrero de 2005 relativa a los ataques contra los sistemas de información, incorporar al artículo 197 del Código Penal un nuevo apartado que castiga a quien por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, accediera sin autorización a datos o programas informáticos contenidos en un sistema informático. La realidad de que los actos de invasión en la privacidad en todas sus manifestaciones no son siempre llevadas a cabo por individuos aislados ha determinado la incorporación de una cualificación punitiva para todas las acciones descritas en el artículo 197 en el caso de que se cometan en el marco de organizaciones criminales.
El punto que se va a añadir al artículo 197 es el siguiente:
El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, accediera sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo, será castigado con pena de prisión de seis meses a dos años.
Va a ser difícil interpretar este añadido, si es que queda así después de su paso por la Comisión parlamentaria y el trámite de enmiendas. Tal y como está redactado hay que dilucidar algunas cuestiones. Entre ellas se me ocurre:
– el apoderamiento, utilización y modificación de datos personales ya está protegido en el actual punto 2 del artículo; ¿a qué datos se refiere el nuevo punto?;
– el acceso sólo a un programa informático… ¿vulnera la intimidad?;
– ¿no hubiera sido más fácil mencionar sólo el agravante de realizar las conductas del 197.3 “vulnerando las medidas de seguridad establecidas”?
La seguridad jurídica sería inexistente si se deja así la redacción, y deben producirse enmiendas para no dejar en nada lo que se pretende hacer.
También se agrava la pena si cualquiera de las figuras típicas del artículo 197 se cometen en el seno de una organización criminal, aplicando las penas superiores en grado.
Jennifer Granick es profesora del Stanford Law School Center for Internet and Society. Publicó ayer un artículo en la revista Wired, titulado “Computer privacy in distress”. Comienza así: