Autora: Sandra Jeannette Castro Ospina
Profesora Titular de Derecho Penal Universidad Externado de Colombia
INTRODUCCIÓN
La Comunidad Europea expidió la decisión marco 2005/222/JAI de 24 de febrero de 2005, que ya debe estar siendo objeto de implementación en varios de los países miembros, como quiera que el pasado 16 de marzo debieron enviar a la Secretaría General del Consejo y a la Comisión el texto de las disposiciones por las que incorporen a su Derecho nacional las obligaciones que les impone la Decisión Marco, lo cual será evaluado a más tardar el 16 de septiembre de 2007. En ese texto fueron incluidas varias disposiciones que obligan reflexionar y replantear algunos temas que han sido polémicos tradicionalmente entre los doctrinantes del derecho penal.
Algunos de los aspectos dogmáticos que deben ser tratados son los que corresponden a la responsabilidad penal corporativa, de las empresas y de los empresarios por las acciones de sus subordinados; la instigación y la responsabilidad por conductas omisivas en el marco de la actividad de las empresas que favorecen la delincuencia informática o telemática<!--[if !supportFootnotes]-->[1]<!--[endif]-->.
Pese a que algunos de los temas jurídicos que serán tratados en esta exposición no tienen aún un referente legal en la legislación penal colombiana, de lege ferenda podría ser útil empezar a tratarlos, como quiera que la delincuencia informática se ha incrementado en una forma alarmante y silenciosa en nuestro país, de acuerdo con cifras de la DIJIN, hasta abril de 2007 se habían denunciado casi 180 casos de fraude electrónico, que en total han costado más de 349.000 millones de pesos a personas naturales y cerca de 6,6 billones de pesos a empresas. Los casos registrados a esta altura del año ya superan el 71 por ciento de los registrados en todo el 2006. La Dirección de Investigación Criminal de la DIJIN procesó 433 casos por delitos informáticos en el 2006, mientras que en los primeros cuatro meses del 2007 se han registrado 310. Los datos muestran que se han sustraído 311.000 millones de pesos de cuentas bancarias pertenecientes a personas naturales. 38.000 millones de esos dineros hurtados, se han usado para compras virtuales<!--[if !supportFootnotes]-->[2]<!--[endif]-->.
I. LA RESPONSABILIDAD SUPRAINDIVIDUAL POR LOS DELITOS INFORMÁTICOS
Más allá de las conductas cometidas por los hackers o crackers, resulta interesante examinar la responsabilidad penal que cabría a los directivos y a las empresas que tienen por actividad económica la obtención de beneficios por medio de los delitos realizados en sistemas de información o valiéndose de estos para lograr otros objetivos. Ejemplo de ello son las empresas o corporaciones que acceden ilegalmente a los sistemas de información para detectar por ejemplo los gustos o costumbres de los usuarios, o bien para obtener sus datos personales incluidos en medios informáticos a fin de venderlos a otras; las empresas que realizan estafas, subastas o ventas ilegales por internet; o aquellas que comercializan la pornografía infantil; ora aquellas que plagian o copian obras musicales, literarias o cinematográficas para vender las reproducciones.
La Decisión Marco de la Comunidad Europea ha establecido, en el artículo 8°, que los países miembros deberán adoptar las medidas necesarias para que
"a. las personas jurídicas se les puedan exigir responsabilidades por las infracciones mencionadas en los artículos 2, 3, 4 y 5, cuando dichas infracciones sean cometidas en su beneficio por cualquier persona, actuando a título particular o como parte de un órgano de la persona jurídica, que ostente un cargo directivo en el seno de dicha persona jurídica basado en:
a) un poder de representación de dicha persona jurídica, o
b) una autoridad para tomar decisiones en nombre de dicha persona jurídica, o
c) una autoridad para ejercer un control en el seno de dicha persona jurídica.
2. Sin perjuicio de los casos previstos en el apartado 1, los Estados miembros garantizarán que a las personas jurídicas se les puedan exigir responsabilidades cuando la falta de vigilancia o control por parte de alguna de las personas a que se refiere el apartado 1 haya hecho posible que una persona sometida a su autoridad cometa las infracciones mencionadas en los artículos 2, 3, 4 y 5 en beneficio de esa persona jurídica.
3. La responsabilidad de las personas jurídicas en virtud de los apartados 1 y 2 se entenderá sin perjuicio de la incoación de acciones penales contra las personas físicas que sean autores, incitadores o cómplices en la comisión de las infracciones mencionadas en los artículos 2, 3, 4 y 5."
El artículo 9, por su parte, establece cuáles son las sanciones aplicables a las personas jurídicas, una de ellas son las multas de carácter penal o administrativo y podrán incluir otras sanciones, tales como:
"a) exclusión del disfrute de ventajas o ayudas públicas;
b) prohibición temporal o permanente del desempeño de actividades comerciales;
c) vigilancia judicial, o
d) medida judicial de liquidación.
2. Cada Estado miembro adoptará las medidas necesarias para que a la persona jurídica considerada responsable en virtud de lo dispuesto en el artículo 8, apartado 2, le sean impuestas sanciones o medidas efectivas, proporcionadas y disuasorias."
Las conductas sancionables, de acuerdo con la citada Decisión Marco, son las siguientes:
- El acceso ilegal a los sistemas de información<!--[if !supportFootnotes]-->[3]<!--[endif]-->, entendido como aquel realizado en forma intencionada, sin autorización al conjunto o a una parte de un sistema de información (art. 2).
- La intromisión ilegal en los sistemas de información realizada en forma intencional para obstaculizar o interrumpir de manera significativa el funcionamiento de un sistema de información, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos (art. 3).
- Intromisión ilegal en los datos con la intención de borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos informáticos contenidos en un sistema de información (art. 4)
Así mismo se establece que en tales conductas serán sancionadas la inducción, la complicidad y la tentativa (art. 5), salvo para el acceso ilegal a los sistemas de información, lo cual quedará a discreción de cada Estado.
La aplicación de estas normas en la comunidad europea y de lege ferenda su introducción en la legislación colombiana, exigiría que sean analizados los temas que se exponen a continuación:
- La responsabilidad penal de las personas jurídicas.
El viejo postulado societas delinquire non potest ha sido examinado recientemente por juristas de todas las latitudes, al punto de haber motivado cambios legislativos para reconocer la posibilidad de la responsabilidad penal de las personas jurídicas en Gran Bretaña y Estados Unidos, e incluso en países de tradición de derecho continental como Holanda, Portugal, Francia y España.
Y es que como bien lo dice Paliero el desarrollo de la criminalidad ha impuesto una "modernización del derecho penal"<!--[if !supportFootnotes]-->[4]<!--[endif]-->. La realización de los más sofisticados comportamientos ilícitos requiere de una organización, con una rigurosa división de tareas, que trascienden los individuos y se vinculan con agrupaciones o sujetos económicos como las empresas. Las personas jurídicas en la realidad tienen voluntad, poseen intereses propios distintos a los de las personas físicas, desarrollan una actividad propia y por ello pueden cometer delitos, son responsables por el actuar de sus órganos y deben soportar las consecuencias penales<!--[if !supportFootnotes]-->[5]<!--[endif]-->. "La realidad criminológica pone de manifiesto la necesidad de instrumentar intervenciones penales efectivas también en relación con las propias personas jurídicas"<!--[if !supportFootnotes]-->[6]<!--[endif]-->.
Existe tal conciencia sobre la posibilidad de responsabilidad penal de las personas jurídicas, que fue incluida en el artículo 26 de la Convención de las Naciones Unidas contra la Corrupción que se aprobó en Mérida (México) en diciembre de 2003<!--[if !supportFootnotes]-->[7]<!--[endif]-->.
Incluso la Corte Constitucional Colombiana dejó abierta esta posibilidad en la sentencia C-320 de junio 30 de 1998, cuando sostuvo lo siguiente:
"A la ley no se le prohíbe sancionar el abuso de la personalidad jurídica. La utilización del esquema societario con móviles penales o de enriquecimiento ilícito, aparte de implicar para sus gestores sanciones privativas de la libertad, puede legítimamente dar lugar a variadas reacciones del ordenamiento jurídico en relación con los actos societarios, el objeto social, el patrimonio social o la persona jurídica misma (
)
Si la actividad la realiza la persona jurídica, si ella se beneficia materialmente de la acción censurada, no se ve por qué la persecución penal habrá de limitarse a sus gestores, dejando intocado al ente que se encuentra en el origen del reato y que no pocas veces se nutre financieramente del mismo. Se sabe que normalmente la persona jurídica trasciende a sus miembros, socios o administradores, éstos suelen sucederse unos a otros, mientras la corporación como tal permanece. La sanción penal limitada a los gestores, tan solo representa una parcial sanción punitiva, si el beneficiario real del ilícito cuando coincide con la persona jurídica se rodea de una suerte de inmunidad. La mera indemnización de perjuicios, como compensación patrimonial, o la sanción de orden administrativo, no expresan de manera suficiente la estigmatización de las conductas antisociales que se tipifican como delitos".
Las soluciones legales y dogmáticas expuestas hasta ahora para evadir la responsabilidad de las personas jurídicas no son satisfactorias. Así, la aplicación de la figura dogmática de "actuar en nombre de otro", para sancionar los representantes, gestores, socios o directivos, en eventos en los cuales no solo la formación de la voluntad es fragmentada, sino también la toma de decisiones, siendo beneficiaria la persona jurídica, desde una perspectiva de política criminal, resulta ineficaz e irrelevante para lograr los fines de la pena<!--[if !supportFootnotes]-->[8]<!--[endif]-->.
Las objeciones a la responsabilidad penal de las personas jurídicas se han enfocado a su incapacidad de acción y de culpabilidad. No obstante ya han sido planteadas soluciones que han tenido resistencia en apoyo a los principios y conceptos del derecho penal que fueron elaborados cuando no era previsible tanta sofisticación en la actividad criminal. Importantes tratadistas como TIEDEMANN han defendido la capacidad de acción de las personas jurídicas, construyendo para ellas un concepto de culpa basado en el "defecto de la organización", es decir en la omisión por parte de la persona jurídica (órganos y representantes) de adoptar precauciones o medidas de control para impedir que las actividades propias de la empresa no se desvíen a actividades delictivas<!--[if !supportFootnotes]-->[9]<!--[endif]-->.
HEINE, por su parte, ha fundamentado la autoría de la persona jurídica en el "dominio de organización sistémico-funcional" entendiendo que la culpa radica en la "dirección de la empresa", empero precisando que la imputación de hechos punibles a la persona jurídica debe limitarse a aquellos eventos en los cuales haya incremento del riesgo típico de la actividad de la empresa o haya gestión defectuosa de la actividad peligrosa, por no atender las siguientes obligaciones esenciales:
<!--[if !supportLists]-->· <!--[endif]-->"de aseguramiento mediante medidas organizativas y estructurales de las fuentes de peligro,
<!--[if !supportLists]-->· <!--[endif]-->de mantenimiento del nivel de seguridad exigible incluso en supuestos de delegación de competencias, o
<!--[if !supportLists]-->· <!--[endif]-->de supervisión y control de los riesgos"<!--[if !supportFootnotes]-->[10]<!--[endif]-->.
De lo expuesto surge la posibilidad de construir una teoría de imputación de responsabilidad a la persona jurídica si se presentan los siguientes supuestos:
- Que quien ejecute la conducta esté vinculado a la empresa o corporación.
- Que el acto realizado haya sido autorizado, requerido, dirigido, ejecutado o tolerado por quienes dirigen la empresa o corporación; o bien que haya habido culpa in eligendo o culpa in vigilando por parte de los directivos de la empresa y el delito admita la modalidad de comisión por omisión.
- Que haya existido el propósito de obtener un beneficio para la empresa aunque no se logre.
En el derecho anglosajón ha existido una tradición de imputación de responsabilidad penal de las personas jurídicas y corporaciones, en época reciente se está acudiendo a nociones como la del "espíritu corporativo" (Corporate Ethos), que pueden conducir a que estructuras y procedimientos internos de las organizaciones alienten comportamientos ilícitos<!--[if !supportFootnotes]-->[11]<!--[endif]-->.
El impulso a lograr metas a cualquier costo para posicionar una empresa o tomar ventajas frente a la competencia, puede traer consigo actitudes complacientes frente a comportamientos delictivos de los empleados o de agentes externos que pueden afectar el propósito que se persigue. En el derecho anglosajón, por ejemplo, hay incremento de responsabilidad de la empresa cuando uno de los directivos de la persona jurídica ignora voluntariamente la actitud delictiva, o bien cuando toma parte activa en ella. Así mismo la responsabilidad será mayor, cuando haya reincidencia de tales comportamientos en la empresa<!--[if !supportFootnotes]-->[12]<!--[endif]-->.
Queda en evidencia entonces la posibilidad de imputar penalmente conductas a las personas jurídicas que resulten beneficiadas por infracciones cometidas por cualquier persona o por quien actúe como parte de un órgano de la persona jurídica.
B. Responsabilidad penal de los empresarios por las conductas cometidas por sus subordinados.
Para iniciar esta reflexión es pertinente citar el silogismo que realiza MEINI, partiendo de la facultad que tienen los empresarios de sancionar en el ámbito laboral, que está amparada en la división del trabajo y el principio de jerarquía. Refiere este autor lo siguiente:
"Si el superior jerárquico puede sancionar, es porque, previamente, puede vigilar, fiscalizar y controlar; de donde se sigue que como titular de una organización no sólo tiene el derecho de controlar, fiscalizar y sancionar por el incumplimiento de las directivas que garantizan una gestión empresarial ajustada a Derecho y con ello procurar la indemnidad de bienes jurídicos de terceras personas, sino que tiene el deber de hacerlo en la medida en que la actividad empresarial puede ponerlos en riesgo. Luego, si tiene tales obligaciones parece lógico que responda por su incumplimiento: Si el incumplimiento de tales obligaciones representa la creación del riesgo típico que se materializa en el resultado lesivo, entonces el comportamiento y el resultado podrán ser imputados, en mérito de la teoría de la imputación objetiva, al empresario."<!--[if !supportFootnotes]-->[13]<!--[endif]-->
Los empresarios tienen el deber de controlar y fiscalizar la gestión de sus subordinados, su incumplimiento crea un riesgo jurídicamente desaprobado que puede generar como resultado la afectación de bienes jurídicos, el cual les puede ser imputado. No basta la existencia de mecanismos de control interno si estos no se aplican en forma diligente y cuidadosa para evitar daños a terceros.
El deber de cuidado que se exige a los empresarios cuando la actividad que desempeña la empresa puede generar riesgos para los bienes jurídicos de terceros, como sucede cuando se tiene el manejo de la información de datos de personas por medios informáticos y telemáticos, como los bancos y las entidades que conservan bases de datos, entre otras, comprende las siguientes actividades<!--[if !supportFootnotes]-->[14]<!--[endif]-->:
- El establecimiento de normas internas y procedimientos efectivos de control.
- La asignación de personal encargado de supervisar el cumplimiento de las normas y procedimientos.
- La no delegación de importantes responsabilidades en personas que no tengan la capacidad de asumirlas.
- La comunicación efectiva de las normas internas y procedimientos a los empleados y capacitación.
- Fiscalización y auditoria del cumplimiento de las normas y los procedimientos.
- Establecimiento de sanciones disciplinarias, procesamiento e imposición de sanciones.
- Intervención frente a los quebrantamientos de las normas y procedimientos, e intervención para remediar las deficiencias presentadas en la supervisión y control.
- Presentación de denuncia por parte de la empresa en casos de afectación de bienes jurídicos y cooperación en la investigación que adelanten las autoridades.
"La primera incs. 1° y 2°, obediente al primer paso en la evolución del tema, a la inicial y más tradicional posición de garante, se relaciona directamente con la persona a la que se puede imputar la realización de una conducta, cuando tiene el deber jurídico de impedir un resultado antijurídico y no lo evita pudiendo hacerlo, es decir, apunta, como se dijo, a los delitos de comisión por omisión.
Esta fase primigenia quiere decir que la imputación solamente puede ser consecuencia del incumplimiento de las obligaciones impuestas por la Constitución o por la ley al autor del hecho que esta compelido a resguardar específicamente un bien jurídico.
Así, cuando se tiene el deber jurídico de obrar y no se actúa, el autor rompe la posición de garante.
La segunda inc. 3° con sus cuatro numerales, y parágrafo alude al ulterior desenvolvimiento del estudio del tema, si se quiere, cuando el análisis de la posición de garante comienza a separarse de lo estrictamente legal o jurídico y a ser penetrado por construcciones en general sociales, culturales y extralegales, tales como la 'cercanía o proximidad social', la 'relación social especialmente estrecha', las 'relaciones de confianza', la 'tópica analógica', las 'situaciones de compenetración social', los 'vínculos de solidaridad o de fidelidad', la 'creación previa de riesgo', la 'fusión de bien jurídico y rol social' o 'teoría sociológica de los roles', el 'dominio sobre la causa del resultado', los 'deberes de aseguramiento en el tráfico', etc. Por estas vías se abre espacio, entonces, a criterios como aquellos mencionados en los cuatro numerales del inciso 3° del artículo 25 del Código Penal.
Y, desde luego, tal como lo dice el parágrafo del artículo, esos cuatro criterios operan exclusivamente respecto de los bienes jurídicos vida e integridad personal, libertad individual, y libertad y formación sexuales.
Para decirlo de otra manera, existe posición de garante en todos aquellos eventos en los cuales, frente a cualquier bien jurídico, la persona tiene la obligación constitucional o legal del actuar y no lo hace, pudiendo y debiendo hacerlo (primera hipótesis); y existe posición de garante en los casos en que, frente a los bienes jurídicos particularmente mencionados, la persona asume voluntariamente la protección real de otra o de una fuente de riesgo, dentro del propio ámbito de dominio; mantiene una estrecha comunidad de vida con otras; emprende la realización de una actividad riesgosa con otros individuos; o crea con antelación una situación antijurídica de riesgo cercano para el bien jurídico correspondiente."
Lo anterior significa, ni más ni menos, que de conformidad con el segundo inciso del artículo 25 del Código Penal, los empresarios tienen posición de garante al tener el deber jurídico derivado de las normas laborales, de las normas comerciales y de la actividad empresarial (lex artis), de vigilar, controlar y dirigir la actividad de sus empleados para impedir resultados típicos que serían evitables.
A menos que se colabore dolosamente con la omisión a quien ejecuta el delito en la modalidad de comisión, caso en el cual se respondería como coautor de la conducta; una situación como la expuesta se adecua, lege ferenda, a una "facilitación" imprudente de un hecho doloso ajeno, por el cual se respondería como partícipe<!--[if !supportFootnotes]-->[16]<!--[endif]-->.
Varios doctrinantes atribuyen responsabilidad penal a titulo de culpa, a la persona que posibilita o facilita la ejecución del hecho a quien ya ha hecho manifiesta su intención de ejecutar un delito, como una excepción a la prohibición de regreso. Esto es, "la propensión al hecho" puede convertir en peligrosa una conducta en principio inocua, si a partir del contexto son reconocibles las intenciones del potencial autor doloso. Esta situación es más relevante aún, cuando se tiene posición de garante<!--[if !supportFootnotes]-->[17]<!--[endif]-->.
De acuerdo con la legislación colombiana y atendiendo a las teorías tradicionales, se dificultaría calificar de cómplice al empresario y a los empleados que hubieren conocido de las conductas ilícitas cuya continuación favorecieren con su actuar omisivo, a menos que se acredite el concierto previo o concomitante para atribuir tal tipo de responsabilidad en el hecho principal. No obstante ya se ha dicho por doctrinantes expertos en el tema como SUAREZ SÁNCHEZ y DÍAZ Y GARCÍA CONLLEDO<!--[if !supportFootnotes]-->[18]<!--[endif]-->, que la mención del acuerdo previo o concomitante se refiere solamente a la ayuda posterior y no a la contribución a la realización de la conducta antijurídica, cuya cooperación puede perfectamente ignorar el autor, pero que vista desde la configuración de las propias competencias, le sirve para facilitar la comisión del hecho.
Pertinentes resultan las reflexiones de JAKOBS cuando sostiene que
"No es necesario que los intervinientes antes de actuar se conviertan en carne y uña, sino solo que se repartan lo que hay que hacer
el reparto de trabajo en derecho penal no presupone la concurrencia de dolo, sino meramente el reparto de trabajo que es necesario llevar a cabo hasta la realización del tipo (
) puede faltar esta coordinación consciente respecto de los comportamientos con exclusión del resultado, concretamente, cuando varias personas contribuyan a una obra que comporta un riesgo no permitido sin ser conscientes de ningún modo de hacer algo en común
, la razón de la responsabilidad no está en los acuerdos, sino en la competencia común por la configuración del mundo que crea un riesgo no permitido. Los intervinientes responden por competerles el resultado lesivo, sea porque han ejecutado el comportamiento que supone un riesgo no permitido, sea que haya un comportamiento en la fase de preparación que constituye razón para imputarles el comportamiento de ejecución"<!--[if !supportFootnotes]-->[19]<!--[endif]-->.
Debe aclararse por último, que la distribución de responsabilidades entre los empresarios (de dirigir, controlar y vigilar) y de los empleados (de ejecutar y supervisar), tiene un sentido práctico en la cotidianidad de la empresa y en el campo jurídico, pues la división del trabajo permite definir a quien le corresponde qué, para imponer sanciones a quienes no cumplen con sus obligaciones. Esta responsabilidad es por completo independiente de si a la persona jurídica se le puede o no atribuir responsabilidad penal, pues si ello en nuestra legislación fuera posible, en todo caso no descartaría la atribución de responsabilidad a las personas naturales que actúan dentro de la empresa, independientemente de su status.
II. FAVORECIMIENTO DE LOS DELITOS INFORMÁTICOS POR OMISIÓN DE DENUNCIA
El rol de quienes tienen a su cargo los datos de otras personas que pueden ser utilizados en su perjuicio, o la custodia de su dinero para que no sea apropiado utilizando medios informáticos o telemáticos, es tomar todas las medidas que sean posibles para evitar daños antijurídicos a sus bienes; por su parte, la expectativa de quienes han confiado sus datos o dinero a estas personas es que adoptarán todas las medidas de cautela para evitar la fuga de datos o la pérdida de dinero, y que tales medidas serán reforzadas en caso de que se haya presentado un incidente que demuestre que las medidas de seguridad que fueron adoptadas fueron vulneradas o resultan insuficientes.
La falta de custodia o la ausencia de información sobre los riesgos que corren los datos o el dinero por las nuevas modalidades delictuales a quienes han confiado en los encargados de salvaguardarlos, o la omisión de investigar las fallas presentadas, o la de informar a las autoridades judiciales para la búsqueda y sanción de responsables, constituye una defraudación de expectativas y un incremento del riesgo ya existente de que tales eventos pueden repetirse.
Desde la perspectiva de la política criminal, no resulta satisfactoria la impunidad de los empresarios y directivos que, para mantener la imagen corporativa, no denuncian estos hechos, favoreciendo el incremento de estas conductas delictivas.
Independientemente de que como se ha dicho esta conducta omisiva puede constituir una participación como cómplice en cada uno de los hechos que con posterioridad sucedieren, habría que examinar la posibilidad de atribuir respecto de los ya acaecidos responsabilidad penal por el delito de favorecimiento (art. 446 del Código Penal), en calidad de autores a quienes, conociendo de la comisión de conductas punibles por medios informáticos o telemáticos, omiten denunciarlas a las autoridades e informar a la eventuales futuras víctimas, para mantener la imagen de la entidad y evitar perjuicios económicos a los empresarios, objetivo que denota el dolo eventual con el cual actúan. Esta conducta omisiva se constituye en la modalidad de comisión, que ayuda a los delincuentes a eludir la acción de las autoridades.
Y es que el deber de denunciar estos hechos ilícitos y ponerlos en conocimiento de quienes pueden ser víctimas para que tomen precauciones, es una conducta propia de la posición de garante de quien recolecta datos personales o recursos económicos de terceros que pueden verse afectados por delitos informáticos o telemáticos. Es verdad que tales conductas delictivas son imprevisibles y en concreto no se puede saber cuando y en qué forma aparecerán. No obstante, el deber de vigilar los focos de peligro que se presentan en desarrollo de la actividad empresarial y poner barreras de contención a los nuevos riesgos, le compete a quien organiza la actividad empresarial. El no poner esas barreras de contención implica un aumento del riesgo, comporta una atribución de responsabilidad en el delito de favorecimiento en la modalidad de comisión por omisión, si la conducta se presentare nuevamente y se dejó al azar su acaecer<!--[if !supportFootnotes]-->[21]<!--[endif]-->.
III. LA PARTICIPACIÓN DE LA VÍCTIMA EXCLUYE LA RESPONSABILIDAD SUPRAINDIVIDUAL?
La búsqueda de exoneración de la imputación de la conducta a quienes tienen el deber de vigilancia y control de las fuentes de riesgo, pasa en la mayor parte de los casos por la atribución de responsabilidad a la víctima y es que en realidad, en el devenir de los acontecimientos autores, partícipes y víctimas hacen contribuciones que pueden variar el destino de todos.
En la teoría de la imputación objetiva ha sido abordado este tema cuando se hace referencia a las acciones a propio riesgo, de conformidad con las cuales un tercero favorece o crea una situación en la cual el titular del bien jurídico realiza una acción peligrosa para sus propios bienes. De esta manera, el propósito perseguido, es que la conducta del tercero se convierta en un riesgo jurídicamente permitido.
No obstante siempre que deba analizarse la contribución de la víctima, ha de esclarecerse en qué consistió la conducta del tercero, porque en la división del trabajo que existió y que dio lugar a que se presentara el resultado lesivo, para la atribución de responsabilidad, debe analizarse no solo el rol que cumplía cada uno de los actores de acuerdo con su status, sino la importancia del aporte para que se hubiera presentado ese desenlace.
En los delitos informáticos y telemáticos es preciso analizar si los comportamientos de la víctima descartan la responsabilidad de quienes tienen la vigilancia y control de los datos o bienes encomendados. Para tales efectos se hará referencia tan solo a los eventos que pueden resultar relevantes frente a estas modalidades delictuales, son éstos:
- La participación en una autopuesta en peligro.
- La creación de una nueva relación de riesgo de la víctima por violar sus deberes de autoprotección.
- Participación en una autopuesta en peligro.
De conformidad con ella la víctima y un tercero han intervenido en la puesta en peligro de sus bienes, pero es la primera la que tiene el control total sobre la acción generadora del peligro. Ejemplo de ello, es cuando una entidad financiera no toma las cautelas necesarias para evitar la suplantación de la imagen que la identifica o la creación de páginas paralelas y entrega una clave de acceso electrónico a un cliente, que por la técnica del phising<!--[if !supportFootnotes]--><!--[endif]--> o "pesca de datos", es conocida por quien suplanta la página que la aprovecha para realizar millonarias compras de bienes por internet que debe luego pagar el cliente.
Como se observa al final en el evento expuesto es la víctima la que decide si entrega la información solicitada, pero la pregunta es: ¿De qué responde la entidad financiera y sus directivos por no vigilar y controlar este tipo de situaciones o tomar precauciones para que no se presenten?.
Frente a una situación como la planteada podrían ensayarse las siguientes respuestas:
- Los directivos de la entidad financiera pudieran responder por su omisión de vigilancia y control, a título de dolo eventual, como participes que contribuyeron con su no hacer en la ejecución de los delitos de falsedad documental y estafa, por ejemplo.
- Se excluye la imputación para los directivos y empleados de la entidad financiera que tenían funciones de vigilancia y control, que crearon o favorecieron la situación peligrosa, porque es la víctima quien organiza y controla el peligro que ocasiona la lesíón, pues en últimas es ella quien suministra los datos sin verificar la autenticidad de quien se los solicita.
Para adoptar una decisión sobre la solución más adecuada, es pertinente aludir a la competencia de la víctima y sus deberes de autoprotección, si los defrauda, solo ella es la responsable de su infortunio; no obstante todavía debe determinarse si ese tercero que crea la situación de peligro o la favorece, tenía el deber de informarle a quien asume el riesgo, esto es a la víctima, de las consecuencias negativas de su conducta.
Como bien lo refiere LOPEZ DÍAZ<!--[if !supportFootnotes]-->[23]<!--[endif]-->, para que la actuación a propio riesgo de la víctima excluya la imputación del tercero, deben reunirse tres presupuestos:
- Que la víctima tenga bajo su control la decisión sobre el sí y el como del desarrollo de la situación peligrosa. Este control implica que tiene conocimiento de la situación y la decisión está bajo su dominio
- La víctima debe ser un sujeto autorresponsable, con capacidad para calcular la dimensión del riesgo. El peligro debe ser conocido o cognoscible. Solo puede considerarse que el hecho es obra de la víctima si se coloca así mismo consciente y voluntariamente en peligro. Si la persona no es autorresponsable, se convierte en un mero instrumento de un autor mediato que es quien tiene el dominio de la decisión.
- El tercero no debe tener una especial situación de protección frente al bien jurídico. Es decir, no debe ostentar una posición de garante con respecto a la persona que se autopone en peligro.
Es relevante en este punto la posición dominante de las empresas y de los empresarios (situación de superioridad), por los conocimientos técnicos de las operaciones y los riesgos que se corren; si se compara con los que tendrían los usuarios-víctimas. Si el tercero tiene conocimientos superiores; tiene el deber de vigilar, controlar o de informar de los riesgos; o si hay defectos constitucionales de la víctima, por ejemplo por su minoría de edad o por su estado mental, se reduce de tal forma el ámbito de responsabilidad de éstas, que el único responsable es quien omite hacer lo que le corresponde.
- La creación de una nueva relación de riesgo
Existe un cuestionamiento acerca de si, luego de originarse un riesgo jurídicamente desaprobado por un tercero, la víctima o un tercero contribuyen dolosa o culposamente a la producción del resultado, estos comportamientos desplazan el riesgo creado por el primer causante y originan una nueva relación de riesgo.
La respuesta a tal interrogante dependerá del alcance que se le fije a la posición de garante que tiene el primer causante: Si está dentro de su ámbito de responsabilidad evitar que otro realice conductas lesivas, el comportamiento doloso o culposo de éste no desplaza el riesgo anterior y el resultado es imputable. Si no está dentro del ámbito de responsabilidad del garante evitar comportamientos incorrectos de un tercero o de la víctima, el comportamiento doloso o gravemente imprudente de uno de éstos genera una nueva relación de riesgo y el resultado no le es imputable al primer causante<!--[if !supportFootnotes]-->[24]<!--[endif]-->.
En lo que respecta al manejo de la información y de los recursos financieros, que pueden ser violentados por medios informáticos o telemáticos, la regla general ha de ser que las empresas y personas que tienen bajo su responsabilidad la custodia de la información, tienen posición de garantes y dentro de su ámbito de responsabilidad está el de evitar que puedan realizarse conductas lesivas por parte de terceros. En consecuencia, pese a que la víctima con posterioridad a la creación de un riesgo por un tercero actúe en forma imprudente, ello no exonerará de responsabilidad a quien tenía el deber de salvaguardar la incolumidad del objeto custodiado frente a cualquier riesgo.
Diferente es cuando ha existido custodia adecuada de la información o del dinero de un cliente por parte de la empresa o personas encargadas de conservarla incólume y es la propia víctima quien suministra datos personales a terceros, bien sea bajo coacción ajena o en forma imprudente (como cuando entrega la clave a "personas de confianza"). En caso de que esto suceda y por causa de esto haya algún daño a los bienes jurídicos de los cuales es titular, al haber desconocido la víctima sus deberes de autoprotección o al haberle sido imposible por la insuperable coacción ajena aplicarlos, estará excluida la responsabilidad de quien custodiaba la información, pues el resultado no dependió de que ella hubiera creado un riesgo, ello respondió a otra cadena causal y son otros los responsables.
CONCLUSIONES
<!--[if !supportLists]-->· <!--[endif]-->Como ha sido expuesto a lo largo de este escrito, existen varios temas dogmáticos que ameritan ser evaluados frente a la delincuencia informática, a fin de que el derecho penal se ajuste a la realidad de la delincuencia que azota a los ciudadanos.
<!--[if !supportLists]-->· <!--[endif]-->Es el momento de replantearse la posibilidad de incorporar en la legislación la posibilidad de atribuir responsabilidad penal a las personas jurídicas, cuando ellas resulten beneficiadas por infracciones que cometa cualquier persona en su beneficio, ora por quien actúe como parte de un órgano de la persona jurídica.
<!--[if !supportLists]-->· <!--[endif]-->Los empresarios responden por las actividades que en desarrollo de la gestión empresarial realicen sus subordinados, aquellos deben asumir no solo las consecuencias positivas de su gestión, como es la obtención de beneficios; sino también las negativas, como cuando con la actividad de la empresa se generan lesiones a bienes jurídicos ajenos. Lo anterior por cuanto que al tenor de lo previsto en el inciso 2° artículo 25 del código penal colombiano, tienen posición de garantes.
<!--[if !supportLists]-->· <!--[endif]-->La posición de garantes de los empresarios por la actividad de sus subordinados surge del deber jurídico que se deriva de las normas laborales, de las normas comerciales y de la actividad empresarial (lex artis), de vigilar, controlar y dirigir la actividad de sus empleados para impedir resultados típicos que serían evitables.
<!--[if !supportLists]-->· <!--[endif]-->Los empresarios podrán responder como cómplices con dolo eventual de aquellas conductas ilícitas que han facilitado con su omisión de dirección, vigilancia y control de la actividad de sus empleados.
<!--[if !supportLists]-->· <!--[endif]-->La falta de custodia o la ausencia de información sobre los riesgos que corren los datos o el dinero por las nuevas modalidades delictuales a quienes han confiado en los encargados de salvaguardarlos, o la omisión de investigar las fallas presentadas, o la de informar a las autoridades judiciales para la búsqueda y sanción de responsables, constituye una defraudación de expectativas y un incremento del riesgo ya existente de que tales eventos pueden repetirse. El deber de denunciar los delitos y ponerlos en conocimiento de quienes pueden ser víctimas para que tomen precauciones, es una conducta propia de la posición de garante de quien recolecta datos personales o recursos económicos ajenos.
<!--[if !supportLists]-->· <!--[endif]-->El deber de vigilar los focos de peligro que se presentan en desarrollo de la actividad empresarial y poner barreras de contención a los nuevos riesgos, le compete a quien organiza la actividad empresarial. El no poner esas barreras de contención implica un aumento del riesgo, comporta una atribución de responsabilidad en el delito de favorecimiento en la modalidad de comisión por omisión, si la conducta se presentare nuevamente y se dejó al azar su acaecer
<!--[if !supportLists]-->· <!--[endif]-->Las empresas y los empresarios tienen una posición dominante (situación de superioridad), frente a los usuarios-víctimas por los conocimientos técnicos de las operaciones y los riesgos que se corren. Si el tercero tiene conocimientos superiores; tiene el deber de vigilar, controlar o de informar de los riesgos; o si hay defectos constitucionales de la víctima, por ejemplo por su minoría de edad o por su estado mental, se reduce de tal forma el ámbito de responsabilidad de éstas, que el único responsable es quien omite hacer lo que le corresponde.
<!--[if !supportLists]-->· <!--[endif]-->Las empresas y personas que tienen bajo su responsabilidad la custodia de la información, tienen posición de garantes y dentro de su ámbito de responsabilidad está el de evitar que puedan realizarse conductas lesivas por parte de terceros. En consecuencia, pese a que la víctima con posterioridad a la creación de un riesgo por un tercero actúe en forma imprudente, ello no exonerará de responsabilidad a quien tenía el deber de salvaguardar la incolumidad del objeto custodiado frente a cualquier riesgo.
<!--[if !supportLists]-->· <!--[endif]-->Cuando ha existido custodia adecuada de la información o del dinero de un cliente por parte de la empresa o personas encargadas de conservarla incólume y es la propia víctima quien suministra datos personales a terceros, bien sea bajo coacción ajena o en forma imprudente (como cuando entrega la clave a "personas de confianza"), estará excluida la responsabilidad de quien custodiaba la información.
Los aspectos planteados no pretenden agotar la discusión, tan solo dar inicio a ella, pues el tema como se ha visto es de tal trascendencia en la cotidianidad de la vida social y el tráfico económico, que debe evitarse la pérdida de confianza en las empresas o empresarios y cerrar el cerco para que los delincuentes no aprovechen en forma impune la ausencia de claridad en los criterios jurídicos para atribuirles responsabilidad.
<!--[if !supportFootnotes]-->
<!--[endif]-->
<!--[if !supportFootnotes]-->[3]<!--[endif]--> El artículo 1° de la Decisión Marco definió el «sistema de información», como todo aparato o grupo de aparatos interconectados o relacionados entre sí, uno o varios de los cuales realizan, mediante un programa, el tratamiento automático de datos informáticos, así como los datos informáticos almacenados, tratados, recuperados o transmitidos por estos últimos para su funcionamiento, utilización, protección y mantenimiento. Y «datos informáticos», como toda representación de hechos, informaciones o conceptos de una forma que permite su tratamiento por un sistema de información, incluidos los programas que sirven para hacer que dicho sistema de información realice una función.
<!--[if !supportFootnotes]-->[7]<!--[endif]--> Entró en vigor el 14 de diciembre de 2005 y prevé que los países tipifiquen como delito actos de corrupción, por ejemplo, el soborno, la malversación de fondos públicos, el blanqueo de dinero y la obstrucción de la justicia.
Autora: Sandra Jeannette Castro Ospina
Profesora Titular de Derecho Penal Universidad Externado de Colombia
XXIX JORNADAS INTERNACIONALES DE DERECHO PENAL.
UNIVERSIDAD EXTERNADO DE COLOMBIA. DEPARTAMENTO DE DERECHO PENAL Y CRIMINOLOGÍA