Internet se ha convertido en el gran canal de transmisión de información, tanto por la facilidad de su funcionamiento, como por la gran difusión de sus contenidos y también por la rapidez frente a medios tradicionales de comunicación. En este sentido, la red ha permitido que las empresas, a través de la implementación interna de servicios de cloud computing (cuyas prestaciones, son generalmente deslocalizadas), puedan mejorar por lo general, la agilidad, productividad así como reducir determinados costes en las organizaciones.
Ahora bien, el avance de dichas tecnologías que tantos beneficios puede suponer a las empresas, trae consigo riesgos en materia legal al no poder atender a todos los requerimientos derivados de las distintas normativas afectadas por la actividad digital.
En la red conviven multitud de datos personales, unos obtenidos directamente de los usuarios transmitidos a través de formularios, otros datos asociados a la navegación del usuarios como las direcciones IP y los dispositivos de almacenamiento de información, datos de localización, datos albergados en la nube, datos obtenidos de distintas Páginas Web, como pueden ser, periódicos, redes sociales, páginas de obtención de información, etc. Esta circunstancia trae consigo que la mayoría de los riesgos legales vengan derivados de la normativa en materia de protección de datos, pero, no sólo esta normativa se ve afectada por el entorno on-line, materias como la propiedad intelectual e industrial, la imagen, la relativa al comercio electrónico y comunicaciones comerciales, así como cualquier delito asociado a este tipo de actividades, son aspectos de nuestra normativa que tendremos que tener muy presenta a la hora de operar online.
Situaciones como, comprar por internet, la utilización de un logo, colgar fotografías u otros contenidos, expresar determinadas opiniones mediante redes sociales, el envío de boletines de información u ofertas promocionales, la utilización de cookies para determinar posibles perfiles, devolver un producto que compramos a través de una web cuyo prestador de servicios se encuentra en UK, son situaciones cotidianas en el día a día de un negocio online. Estas actividades requieren cumplir con muchas obligaciones impuestas por normativas sectoriales que hacen que la parte de cumplimiento normativo sea una parte esencial a tener en cuenta a la hora de montar un negocio en internet. En este sentido, actuaciones como la revisión legal de los procedimientos internos, la redacción de avisos legales, cláusulas y leyendas informativas, condiciones generales de contratación, políticas de uso, redacción de contratos con terceros, notificación a las autoridades pertinentes, auditorías, etc. suponen un must en la operativa de negocios que estén en la red.
Desde el punto de vista estrictamente penal, los atentados cometidos a través de medios informáticos son cada vez más frecuentes y de mayor gravedad, razón por la cual el Código Penal se ha visto obligado a actualizarse para poder dar respuestas efectivas frente a los mismos. No son pocos los ejemplos que constantemente podemos encontrar al respecto, como los ataques recientemente sufridos la multinacional SONY y otros tantos que de un tiempo a esta parte podemos ver en la prensa de forma recurrente.
En este sentido, la reforma acaecida en el año 2010 supuso un importante avance al regular nuevas modalidades delictivas para perseguir la criminalidad informática. Así, podemos destacar la ampliación del alcance de los denominados delitos contra la intimidad, introduciendo un nuevo tipo delictivo destinado a perseguir los intrusismos informáticos; la revisión de los denominados daños informáticos; o la modificación del delito de estafa, para perseguir las transferencias electrónicas no consentidas a través de medios informáticos. Junto a lo anterior, la nueva reforma en tramitación prevé seguir con este tipo de revisiones, entre otras, modificando nuevamente los delitos contra la intimidad para sancionar la difusión de imágenes o grabaciones íntimas sin autorización.
Estas nuevas modalidades de ataque suponen todo un reto, no ya para el legislador o nuestros Jueces y Tribunales, sino incluso para las propias empresas que puedan sufrirlas, dadas las dificultades que se plantean para su persecución. En efecto, ya no basta con sancionar sin más este tipo de atentados, sino que resulta imprescindible el establecimiento de medidas adecuadas para mitigar sus perjudiciales consecuencias con eficacia. La vertiginosa evolución tecnológica de los mecanismos para la comisión de estos delitos obliga a las empresas a establecer las medidas oportunas en orden a frenarlos con rapidez, a identificar a los posibles autores, o a asegurar la prueba para poder acreditar, tanto la realidad de los ataques, como los perjuicios ocasionados. Por esta razón es ya obligado el establecimiento de medidas tales como la elaboración de estudios periciales para acreditar los ataques, sus consecuencias o su autoría, o la adopción de medidas preventivas al recabar las pruebas en orden a asegurar la cadena de custodia o su autenticidad en orden a erigirse en un elemento probatorio válido en un eventual procedimiento penal.
Finalmente, no podemos olvidar que, la admisión de la responsabilidad penal de la persona jurídica obliga a las entidades a adoptar medidas de prevención eficaces de cara a evitar que las infracciones puedan ser cometidas por parte de sus empleados. Desde esta perspectiva, y a fin de eludir en la medida de lo posible eventuales sanciones de carácter penal, resulta obligada la revisión de actividades de control tales como los códigos éticos o de conducta, políticas de seguridad, protocolos de uso de herramientas informáticas, con la finalidad de asegurar el debido control respecto de los empleados. La incorporación de este tipo de medidas en los modelos de cumplimiento de las empresas, sin duda ninguna, coadyuvará a mitigar la responsabilidad penal que pueda afectarles.
Por María Vidal y Borja Almodóvar. Asociados senior de Deloitte Abogados
