El concepto de ‘gravedad’ en la sanción penal por daños informáticos intencionados

La Audiencia Provincial de Alicante ha ratificado la sentencia del Juzgado de lo Penal número 4 de Alicante de julio de 2022 en la que se condenó a un extrabajador que accedió en la página web de la antigua empresa donde trabajaba para  dejarla invalidada. Tanto el Juzgado de lo Penal como la Audiencia consideran que los hechos del ex empleado se enmarcan dentro del artículo 264 bis 1 del Código Penal que determina lo siguiente:

1. Será castigado con la pena de prisión de seis meses a tres años el que, sin estar autorizado y de manera grave, obstaculizará o interrumpirá el funcionamiento de un sistema informático ajeno:

a) realizando alguna de las conductas a que se refiere el artículo anterior;

b) introduciendo o transmitiendo datos; o

c) destruyendo, dañando, inutilizando, eliminando o sustituyendo un sistema informático, telemático o de almacenamiento de información electrónica.”

El trabajador, una vez desvinculado de la empresa accedió a WordPress con las claves de trabajo, puesto que el usuario y la contraseña no habían sido cambiadas. En los hechos probados se le atribuye el cambio de la IP de la plataforma y del panel interno de la página que, como consecuencia, estuvo inoperativa durante más de cuatro años. Esta acción supuso una condena de seis meses de prisión e inhabilitación especial para el sufragio pasivo por el tiempo de condena.

La clave para poder aplicar este artículo que castiga penalmente el concepto de ‘daño informático’ estriba en el carácter de gravedad del hecho, un principio que puede considerarse subjetivo y que ha requerido literatura jurídica para concretarlo hasta que la jurisprudencia ha terminado de enmarcarlo definitivamente.

 En este sentido, ya existen algunas sentencias del Tribunal Supremo como la 91/2022 en la que explica el artículo 264 y su aplicación. En este caso, se analizó la situación de una ex trabajadora que fue condenada en primera instancia  y luego absuelta por la Audiencia Provincial de Valencia ante la disparidad en el criterio del Juzgado de lo Penal y de los magistrados de la audiencia del concepto ‘gravedad’.  

Este fallo fue recurrido ante el Tribunal Supremo por la mercantil afectada al entender que no fue aplicado correctamente el artículo relativo a los daños informáticos que se recogen en el artículo 264 antes mencionado y considerar que se había minusvalorado el principio de ‘gravedad’ del hecho y de las repercusiones que generó la actividad de la ex trabajadora en el funcionamiento de la empresa.

En su deliberación, el alto tribunal comienza explicando que “el delito de daños informáticos exige que tanto la acción típica, como el resultado derivado, sean graves” y recuerda otras sentencias en las que se explica que “el resultado grave de los daños causados en los datos informáticos deberá ser estimado caso por caso atendiendo a criterios que permitan apreciar esa gravedad, criterios como puede ser la posibilidad o no de recuperar los datos informáticos, la pérdida definitiva de los mismos o la posibilidad de recuperación y, en este último caso, el coste económico de la reparación del daño causado, la complejidad técnica de los trabajos de recuperación, la duración de las tareas de recuperación, el valor del perjuicio causado al titular de los datos, bien como lucro cesante o como daño emergente».

En el caso que analizó el Tribunal Supremo, la mercantil recogió los hechos probados y señaló que «fueron borrados los archivos informáticos que contenían toda la información de las ventas, productos y clientes de la zona de Portugal, archivos que pertenecían a la mercantil Escribano Levante S.L. y que resultaban determinante para el ejercicio de su labor comercial en dicha zona, no habiendo podido ser recuperada la información al haber efectuado la acusada un borrado total o seguro que lo hace irreversible, y no existir copias de seguridad».

Por ello, como ocurre el fallo del Tribunal Supremo determina “solo si la función digital deviene imposible o si se trastoca de manera relevante la utilidad o facilitación que introduce, la actuación dolosa de pervertir el sistema puede llegar a merecer el reproche penal”, por lo tanto, y según el relato de hechos probados ya se “describe la sustancial gravedad de la acción realizada por la acusada, no sólo por la definitiva eliminación digital de los datos informáticos, sino porque su pérdida no fue susceptible de recuperación y hubo de reiterarse la actuación mercantil y administrativa que permitió su acumulación durante meses. Y aun cuando la sentencia impugnada objeta que los datos que se borraron fueron los correspondientes a los clientes que la empresa tenía en Portugal y que esos datos estaban replicados en el departamento de administración para suministrar y facturar los pedidos, ni puede eludirse que la recuperación suponía un esfuerzo de revisión de la facturación suficientemente intenso, ni puede ocultarse que el esfuerzo resulta en parte infructuoso a la vista del propio relato fáctico”.

Con estos fundamentos, el Tribunal Supremo revocó la sentencia absolutoria de la Audiencia y condenó a la trabajadora por el borrador de información. Y sitúa el concepto de ‘gravedad’ dentro de una casuística concreta para la aplicación del artículo penal por daños informáticos.

TE PUEDE INTERESAR...

Plan LGTBI: obligatorio para empresas de más de 50 empleados

El pasado 2 de marzo de 2023 entró en vigor la Ley 4/2023 del 28 de febrero para garantizar la igualdad y los derechos de las personas LGTBI. Se incluyó así una nueva norma para el año vigente que pasa por desarrollar un Plan LGTBI, obligatorio para todas las empresas […]

La nueva subida del Salario Mínimo Interprofesional en 2024

El Gobierno ha anunciado una subida del Salario Mínimo Interprofesional (SMI) del 5% con carácter retroactivo y entrada en vigor a partir del pasado 1 de enero de 2024. Esta decisión se ha tomado en contra de las organizaciones patronales CEOE y CEPYME que han manifestado su oposición a la […]