El miedo a la amenaza de la delincuencia organizada y a los ataques terroristas, conocido argumento para llevar a cabo medidas drásticas, muchas veces pisoteando los derechos civiles, es lo que, aparentemente, ha motivado la Decisión Marco 2005/222/JAI, del Consejo de la Unión Europea, de 24 de febrero de 2005, relativa a los ataques contra los sistemas de información, que impone a los Estados Miembros la obligación de modificar su legislación penal (antes del 16 de marzo de 2007) para dar cabida a una serie de conductas.

Las infracciones que contempla la Decisión Marco son las siguientes:

1) Acceso ilegal a los sistemas de información, definido como el acceso intencionado sin autorización al conjunto o a una parte de un sistema de información, es decir, el hacking, actualmente conducta atípica según el Código Penal español. Se deja al margen de los Estados regular si será perseguible sólo cuando se transgredan medidas de seguridad. Veremos por qué opta el legislador español. No se trata ya sólo de que el término hacker se esté prostituyendo, como se señalaba hace pocos días en Barrapunto, perdiendo su sentido original, sino que ahora se les considerará, directamente, delincuentes.

2) Intromisión ilegal en los datos, consistente en todo acto intencionado, cometido sin autorización, de borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos informáticos contenidos en un sistema de información. Actualmente podría entenderse regulado en el artículo 264.2 del Código Penal español como delito de daños. Nuestra regulación incluso va más allá, contemplando la comisión por imprudencia en los términos del artículo 267.

3) Intromisión ilegal en los sistemas de la información, que consiste en todo acto intencionado y si autorización para  obstaculizar o interrumpir, de manera significativa (he aquí un margen de discrecionalidad) el funcionamiento de un sistema de la información, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos. La Decisión Marco regula esta conducta previamente a la anterior, aunque yo entiendo que en realidad constituye una figura agravada de aquélla en tanto que incluye un elemento volitivo (la intencionalidad del autor de obstaculizar o interrumpir el funcionamiento del sistema de la información). Como tal, tampoco está regulada en nuestro Código Penal.

La Decisión Marco prevé además, sin perjuicio de la responsabilidad penal de los infractores, la responsabilidad de las personas jurídicas que hayan resultado beneficiadas por dichas conductas, a las que se les impone un deber de vigilancia y control, que no se concreta. Las sanciones previstas para las personas jurídicas contemplan incluso la posibilidad de prohibición definitiva del ejercicio de actividades comerciales.

Se exceptúa de esta resposabilidad a los Estados, organismos públicos que ejerzan prerrogativas estatales y organizaciones internacionales de derecho público. Según esto, si un funcionario cometiera estas infracciones no sería responsable la entidad en la que presta sus servicios aún cuando ésta resultara beneficiada, que tampoco tendría por qué controlar lo que hace su personal.