IDP Número 16 (Junio 2013) Revista de los Estudios de Derecho y Ciencia Política de la UOC ISSN 1699-8154 http://idp.uoc.edu Universitat Oberta de Catalunya www.uoc.edu/idp IDP Número 16 (Junio 2013) EDITORIAL Editorial / Editorial / Editorial Agustí Cerrillo ................................................................................................................. 1-6 ARTÍCULOS ¿Cómo prevenir conductas abusivas y delitos tecnológicos en la empresa? Jose R. Agustina ............................................................................................................ 7-26 Las redes sociales a la luz de la propuesta de reglamento general de protección de datos personales. Parte dos Antonio Troncoso Reigada ........................................................................................... 27-39 MONOGRÁFICO «Internet y redes sociales: un nuevo contexto para el delito» Presentación María José Pifarré ......................................................................................................... 40-43 Derecho penal, cyberbullying y otras formas de acoso (no sexual) en el ciberespacio Fernando Miró Llinares ................................................................................................. 44-58 Los derechos fundamentales en el uso y abuso de las redes sociales en Italia: aspectos penales Lorenzo Picotti ............................................................................................................... IDP Número 16 (Junio 2013) I ISSN 1699-8154 59-73 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp La regulación de los daños informáticos en el código penal italiano Ivan Salvadori ................................................................................................................. 74-90 RESEÑAS / RESSENYES Crónica de la III Jornada de Criminología UOC-CEFJE: Ciberdelito y Victimización / Crònica de la III Jornada de Criminologia UOC-CEFJE: Ciberdelicte i Victimització Josep M. Tamarit ............................................................................................................ 91-96 Primera Jornada de Abogacía Virtual / Primera Jornada d’Advocacia Virtual Blanca Torrubia .............................................................................................................. 97-103 Sociedad Red. Estado, Economía y Sociedad en la era de la Información Marian Ortiz del Amo, Yanina Welp ........................................................................... 104-113 ACTUALIDAD JURÍDICA Novedades legislativas / Novetats legislatives Jordi García Albero ....................................................................................................... IDP Número 16 (Junio 2013) I ISSN 1699-8154 Eloi EloiPuig Puig 114-121 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp EDITORIAL Editorial Agustí Cerrillo Ll amparo de internet y de las redes sociales o las redes de intercambio de archivos están surgiendo A nuevas formas de delincuencia que exigen nuevos mecanismos tanto de prevención como de represión. El farming, el phishing y, más recientemente, el cyberbulling son conductas delictivas que han aflorado y se están extendiendo al ritmo que lo hace el uso de internet en nuestra sociedad. Frente a ellas, en los últimos años, el legislador, al hilo tanto de la presión social como de los compromisos adquiridos internacionalmente, ha aprobado diferentes reformas del Código penal que introducen nuevos tipos penales y modifican otros vigentes. En esta dirección, actualmente se está tramitando un nuevo proyecto de ley de modificación del Código penal que persigue dar una mejor respuesta a conductas que se van extendiendo por la red, como la divulgación no autorizada de grabaciones o imágenes íntimas obtenidas con el consentimiento de la víctima y divulgadas sin que esta lo sepa cuando afecten gravemente a su intimidad así como el contacto con menores a través de medios electrónicos para embaucarles y que faciliten imágenes íntimas pornográficas. Pero además la regulación penal no solo se propone hacer frente a estas conductas socialmente rechazadas, sino que también criminaliza otras actividades que, como la descarga de obras protegidas a partir de páginas de enlaces en internet, tienen, desafortunadamente, una amplia aceptación social. Por ello, pese al esfuerzo continuado realizado por nuestro legislador para tipificar nuevos delitos que den una respuesta adecuada a las nuevas conductas criminales que surgen en la red, la persecución penal de los delitos cometidos en internet no es suficiente para evitar o minimizar estas conductas. Tampoco la intensa labor desarrollada por las fuerzas y los cuerpos de seguridad y por la judicatura evita que sigan generándose víctimas con frecuencia en colectivos especialmente vulnerables, tanto por la dificultad para detectar estos delitos y la complejidad de su persecución, como por el carácter transfronterizo de estas actividades. De este modo, cada vez resulta más evidente que la lucha contra estas conductas delictivas se debe desarrollar no solo a través de su tipificación y persecución policial y judicial sino también mediante la concienciación social respecto a la necesidad de protegernos ante ellas. En los últimos años diferentes organismos han hecho públicas recomendaciones para evitar ser víctima de estas nuevas conductas delictivas o para concienciar socialmente de las consecuencias económicas y sociales que pueden generar. En esta dirección, por poner algunos ejemplos, podemos traer a colación la Guía de menores en Internet para padres y madres, elaborada por el Instituto Nacional de Tecnologías de la Comunicación (INTECO), sobre actitudes en las redes sociales; la Guía para profesores sobre privacidad, impulsada por la Agencia Vasca de Protección de Datos en colaboración con el resto de las agencias de protección de datos españolas, o el Manual de buenas prácticas para la persecución de los delitos contra la propiedad IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Agustí Cerrillo 1 Revista de los Estudios de Derecho y Ciencia Política de la UOC Universitat Oberta de Catalunya www.uoc.edu/idp intelectual, elaborado por un grupo de expertos pertenecientes a diferentes ministerios, policía, fiscalía, judicatura y entidades de gestión de derechos en desarrollo del Plan integral del Gobierno para la disminución de las actividades que infrinjan la propiedad intelectual. En cualquier caso, las reformas normativas exigen un análisis pausado y distante así como una reflexión sobre su alcance, eficacia e impacto. Por este motivo, en este número de la revista hemos creído conveniente y necesario reflexionar sobre la regulación de la delincuencia en internet. En particular el monográfico, coordinado por la profesora María José Pifarré, cuenta con diversos artículos escritos por reconocidos especialistas españoles e italianos sobre la materia, como Ivan Salvadori, con su artículo relativo a «La regulación de los daños informáticos en el Código penal italiano», Fernando Miró Llinares, autor de «Derecho penal, cyberbullying y otras formas de acoso (no sexual) en el ciberespacio», y Lorenzo Picotti, quien escribe en este número la primera parte de su artículo «Los derechos fundamentales en el uso y abuso de las redes sociales: aspectos penales». Además de estos artículos, el número 16 incluye la segunda parte del artículo del profesor Antonio Troncoso «Las redes sociales a la luz de la propuesta de reglamento general de protección de datos personales», en el que se estudian los tratamientos de datos personales que realizan las empresas gestoras de las redes sociales tanto desde la perspectiva actual como a la vista de la propuesta de reglamento general de protección de datos personales de la Unión Europea. También se publica el artículo de José Agustina bajo el título de «¿Cómo prevenir conductas abusivas y delitos tecnológicos en la empresa?», en el que a partir del análisis de una muestra de empresas españolas se analizan las estrategias de prevención y control del uso de los medios electrónicos por parte de los trabajadores. Asimismo, el lector encontrará en este número la reseña de dos actividades organizadas por los Estudios de Derecho y Ciencia Política a lo largo de 2013, como son la I Jornada sobre Abogacía Virtual, en la que se analizaron las oportunidades que internet ofrece para la oferta de servicios jurídicos, y la III Jornada de Criminología, que en esta ocasión centró su atención en la victimización de delitos como la pornografía o el acoso en internet. Finalmente, se recogen en este número la reseña del libro Sociedad red. Estado, economía y sociedad en la era de la información y las novedades normativas preparadas por el profesor Jordi García. <http://idp.uoc.edu/ojs/index.php/idp/article/view/n16-editorial/n16-editorial-es> DOI: 10.7238/idp.v0i16.1953 IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Agustí Cerrillo 2 Revista de los Estudios de Derecho y Ciencia Política de la UOC Universitat Oberta de Catalunya www.uoc.edu/idp EDITORIAL Editorial Agustí Cerrillo L l’empara d’internet i de les xarxes socials o les xarxes d’intercanvi d’arxius van sorgint formes noves A de delinqüència que exigeixen mecanismes nous tant de prevenció com de repressió. El farming, el phishing i, més recentment, el cyberbulling són conductes delictives que han aflorat i es van estenent al ritme que ho fa l’ús d’internet en la nostra societat. Enfront d’aquestes conductes, els últims anys, el legislador, seguint tant la pressió social com els compromisos adquirits internacionalment, ha aprovat diferents reformes del Codi penal que introdueixen nous tipus penals i en modifiquen altres de vigents. En aquesta direcció, actualment s’està tramitant un nou projecte de llei de modificació del Codi penal que té la finalitat de donar una resposta millor a conductes que es van estenent per la xarxa, com la divulgació no autoritzada d’enregistraments o imatges íntimes obtingudes amb el consentiment de la víctima i divulgades sense que ella ho sàpiga quan afectin greument la seva intimitat, i també el contacte amb menors fent servir mitjans electrònics per a engalipar-los i que facilitin imatges íntimes pornogràfiques. Però, a més, la regulació penal no solament es proposa afrontar aquestes conductes rebutjades socialment, sinó que també criminalitza altres activitats que tenen, desafortunadament, una àmplia acceptació social, com la baixada d’obres protegides a partir de pàgines d’enllaços a internet. Per això, malgrat l’esforç continuat fet pel nostre legislador per tipificar nous delictes que donin una resposta adequada a les noves conductes delinqüents que sorgeixen a la xarxa, no hi ha prou amb persecució penal dels delictes comesos a internet per a evitar o minimitzar aquestes conductes. Tampoc la feina intensa de les forces i els cossos de seguretat i de la judicatura no evita que es continuïn generant víctimes sovint en col·lectius especialment vulnerables, tant per la dificultat de detectar aquests delictes i la complexitat de perseguir-los, com pel caràcter transfronterer d’aquestes activitats. D’aquesta manera, cada vegada es fa més evident que la lluita contra aquestes conductes delictives s’ha de desenvolupar no solament tipificant-les i perseguint-les policialment i judicialment sinó també conscienciant la societat de la necessitat de protegir-nos-en. En els últims anys diferents organismes han fet públiques recomanacions per a evitar ser víctima d’aquestes noves conductes delictives o per a conscienciar socialment de les conseqüències econòmiques i socials que poden generar. En aquesta direcció, per posar alguns exemples, podem portar a col·lació la Guía de menores en Internet para padres y madres, elaborada per l’Institut Nacional de Tecnologies de la Comunicació (INTECO), sobre actituds a les xarxes socials; la Guía para profesores sobre privacidad, impulsada per l’Agència Basca de Protecció de Dades en col·laboració amb la resta de les agències de protecció de dades espanyoles, o el Manual de buenas prácticas para la persecución de los delitos contra la propiedad intelectual, elaborat per un grup IDP Número 16 (Juny, 2013) I ISSN 1699-8154 Eloi EloiPuig Puig Agustí Cerrillo 3 Revista dels Estudis de Dret i Ciència Política Universitat Oberta de Catalunya www.uoc.edu/idp d’experts pertanyents a diferents ministeris, policia, fiscalia, judicatura i entitats de gestió de drets en el desenvolupament del Pla integral del Govern per a la disminució de les activitats que infringeixin la propietat intel·lectual. Sigui com sigui, les reformes normatives exigeixen una anàlisi pausada i distant i una reflexió sobre l’abast, l’eficàcia i l’impacte que tenen. Per aquest motiu, en aquest número de la revista hem trobat convenient i necessari reflexionar sobre la regulació de la delinqüència a internet. Especialment, al monogràfic, coordinat per la professora María José Pifarré, hi ha diversos articles escrits per reconeguts especialistes espanyols i italians sobre aquesta matèria, com Ivan Salvadori, amb el seu article relatiu a «La regulación de los daños informáticos en el Código penal italiano», Fernando Miró Llinares, autor de «Derecho penal, cyberbullying y otras formas de acoso (no sexual) en el ciberespacio», i Lorenzo Picotti, que escriu en aquest número la primera part del seu article «Los derechos fundamentales en el uso y abuso de las redes sociales: aspectos penales». A més d’aquests articles, el número 16 inclou la segona part de l’article del professor Antonio Troncoso «Las redes sociales a la luz de la propuesta de reglamento general de protección de datos personales», en el qual s’estudien els tractaments de dades personals que fan les empreses gestores de les xarxes socials tant des de la perspectiva actual com a la vista de la proposta de reglament general de protecció de dades personals de la Unió Europea. També s’hi publica l’article de José Agustina amb el títol «¿Cómo prevenir conductas abusivas y delitos tecnológicos en la empresa?», en el qual a partir de l’anàlisi d’una mostra d’empreses espanyoles s’analitzen les estratègies de prevenció i control de l’ús dels mitjans electrònics per part dels treballadors. Així mateix, el lector trobarà en aquest número la ressenya de dues activitats organitzades pels Estudis de Dret i Ciència Política al llarg del 2013, que són la I Jornada sobre Advocacia Virtual, en la qual es van analitzar les oportunitats que internet ofereix per a l’oferta de serveis jurídics, i la III Jornada de Criminologia, que aquesta vegada va centrar l’atenció en la victimització de delictes com la pornografia o l’assetjament a internet. Finalment, en aquest número es recullen la ressenya del llibre Sociedad red. Estado, economía y sociedad en la era de la información i les novetats normatives preparades pel professor Jordi García. <http://idp.uoc.edu/ojs/index.php/idp/article/view/n16-editorial/n16-editorial-ca> DOI: 10.7238/idp.v0i16.1953 IDP Número 16 (Juny, 2013) I ISSN 1699-8154 Eloi EloiPuig Puig Agustí Cerrillo 4 Revista dels Estudis de Dret i Ciència Política Universitat Oberta de Catalunya www.uoc.edu/idp EDITORIAL Editorial Agustí Cerrillo Lith the rise of the internet, social networks and file-sharing, new types of crime are also emerging that W require new ways to prevent and fight them. Crimes such as pharming, phishing and, more recently, cyberbullying are spreading as fast as the use of the internet in society. To combat this, Spanish legislators, both in response to public pressure and international commitments, have passed several reforms of the Spanish Penal Code in recent years, introducing new offences and modified existing ones. In fact, a bill is currently being passed to amend the Penal Code to better address behaviours becoming more frequent on the web. These include the unauthorized publication of private recordings and images obtained with the victim’s consent but published without them knowing when it seriously breaches their privacy or the contacting of minors via electronic means to trick them into providing intimate and pornographic images. In addition to combating these socially unacceptable behaviours, the reform also aims to criminalize other activities such as the downloading of copyright material from internet link pages, which, unfortunately, is broadly accepted in society. Thus, despite the continued efforts made by legislators to define new offences that adequately address the new criminal behaviour arising on the web, criminal prosecution of offences committed on the internet is not enough for deterring or reducing such conduct. Not even the hard work done by law enforcement bodies and the courts are stemming the continual flow of new victims, who often belong to especially vulnerable groups. The problem lies in the difficulty in detecting such crimes and the complexity of prosecuting them, which in many cases is only made more difficult by the cross-border nature of these activities. It is increasingly evident that to combat these crimes, in addition to criminalizing them and prosecuting them through the police and the courts, social awareness on the need to protect ourselves against them must also be raised. In recent years, a number of bodies have made public recommendations on how to avoid becoming a victim of these new crimes and have pursued initiatives to raise awareness on the social and financial consequences victims of such crimes face. Examples of these efforts include the Parents’ Guide to Minors on the Web from INTECO (Spain’s National Institute of Communication Technologies); the Teachers’ Guide to Promoting Privacy from the Basque Data Protection Agency in collaboration with the other Spanish data protection agencies; and the Good Practices Guide for the Prosecution of Intellectual Property Offences drafted by a team of experts from different ministries, the police, the public prosecutor’s office, the judiciary and rights protection groups as part of the implementing of the Spanish government’s Comprehensive Plan for the Reduction and Elimination of Activities that Violate Intellectual Property Rights. IDP Iss. 16 (June, 2013) ISSN 1699-8154 Eloi EloiPuig Puig Agustí Cerrillo 5 A journal from the UOC’s Law and Political Science department Universitat Oberta de Catalunya www.uoc.edu/idp Nonetheless, the regulatory reforms call for patient and detached analysis and a reflection on their reach, effectiveness and impact. Thus, we thought it timely and necessary to devote this issue to reflection on the regulation of internet crime. In particular, this issue’s monograph compiled by UOC lecturer María José Pifarré contains a number of articles written by renowned Spanish and Italian experts on the subject including Ivan Salvadori with his article on Regulation of Computer Damage in Italian Criminal Law; Fernando Miró Llinares, author of Criminal Law, Cyberbullying and Other Forms of (Non-sexual) Harassment in Cyberspace, or Lorenzo Picotti, who in this issue provides us with the first part of his article Fundamental Rights in the Use and Abuse of the Social Networks: Criminal Aspects. In addition to these articles, issue 16 also includes the second part of lecturer Antonio Troncoso’s article Social Networks in Light of the General Data Protection Regulation Proposal that examines the personal data processing done by social network companies both from the perspective of the current legal framework and the EU’s proposed general data protection regulation. This issue also includes José Agustina’s article How to Prevent Abusive Behaviour and Technological Crime at Companies in which a number of Spanish businesses are examined in terms of their strategies for preventing and controlling the use of electronic media by staff. There are also reports on two events organized by the UOC’s Law and Political Science Department during 2013: the 1st Conference on Virtual Legal Practice in which the opportunities that the internet offers for providing legal services were examined and the 3rd Conference on Criminology which looked at victimization in offences such as pornography and harassment on the web. Lastly, this issue also includes a presentation of the book Sociedad red. Estado, economía y sociedad en la era de la información by Marian Ortiz del Almo and Yanina Welp and a review of the new developments in law from lecturer Jordi García. <http://idp.uoc.edu/ojs/index.php/idp/article/view/n16-editorial/n16-editorial-en> DOI: 10.7238/idp.v0i16.1953 IDP Iss. 16 (June, 2013) ISSN 1699-8154 Eloi EloiPuig Puig Agustí Cerrillo 6 A journal from the UOC’s Law and Political Science department Universitat Oberta de Catalunya www.uoc.edu/idp ARTÍCULO ¿Cómo prevenir conductas abusivas y delitos tecnológicos en la empresa? Estudio interdisciplinar sobre políticas de uso de las TIC, prevención y gestión de «conflictos» en una muestra de empresas españolas1 Jose R. Agustina Profesor contratado doctor de la Universitat Internacional de Catalunya Fecha de presentación: abril de 2013 Fecha de aceptación: junio de 2013 Fecha de publicación: junio 2013 Resumen El estudio de las conductas desviadas de los trabajadores en el empleo de los recursos informáticos que la empresa pone a su disposición (el ordenador, el correo electrónico, el teléfono móvil, las PDA…) constituye un área de investigación de creciente interés, en buena medida por su impacto económico, directo e indirecto, en los beneficios empresariales. En este artículo se analizan las estrategias de prevención y control del uso de las nuevas tecnologías por parte de los trabajadores en una muestra de empresas españolas. El gobierno y la dirección de personas y la prevención de conductas abusivas, cuando menos, requiere la búsqueda de fórmulas de gestión que tengan en consideración los distintos aspectos éticos, motivacionales y jurídicos implicados, de forma que el necesario control no menoscabe la generación y el mantenimiento de un indispensable clima de confianza en el seno de las organizaciones. El presente estudio pretende aportar mayor conocimiento de la realidad acerca de cómo se están implementando distintos mecanismos de control, en sintonía con investigaciones similares, si bien pone el énfasis en la propia actividad de control y en la reacción de la empresa, más que en los actos desleales o abusivos de los trabajadores. A modo de conclusión, se sugieren algunas orientaciones prácticas dirigidas a las empresas a la hora de abordar el control de la actividad de los trabajadores en el uso de las TIC. 1.Los resultados completos del presente estudio fueron publicados previamente en: José R. Agustina, Ana Alós Ramos y Javier Sánchez Marquiegui (2012). Informe Estrategias de control de las nuevas tecnologías en la empresa. Estudio sobre la gestión de personas y recursos tecnológicos para prevenir conductas abusivas y delictivas en la empresa. Universidad-Empresa Control de las TIC en el entorno laboral. Barcelona: Ribas y asociados. ISBN 9788461611799. IDP Número 16 (Junio, 2013) I ISSN 1699-8154 Jose R. Agustina 7 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp ¿Cómo prevenir conductas abusivas y delitos tecnológicos en la empresa? Palabras clave delito en la empresa, política de uso de las TIC, control de los trabajadores y privacidad, delito informático, ética empresarial, gestión de recursos humanos. Tema delitos tecnológicos en la empresa How to prevent abusive behaviour and technological crime at companies? An interdisciplinary study of the ICT use policies, and prevention and management of “conflicts” in a sample of Spanish companies Abstract The study of improper behaviour of employees in the use of the computer resources that a company provides them (PC, email, mobile telephone, PDA, etc.) represents an area of research of growing interest, in great part due to the financial impact, both direct and indirect, it can have on profits. This article analyses the strategies for prevention and control of the use of new technologies by employees in a sample of Spanish companies. Governance and direction of people and the prevention of abusive behaviour requires, at the very least, management formulas that take into account the different ethical, motivational and legal aspects involved so that the necessary control does not impinge on the creation and maintenance of the climate of trust required at organizations. This study aims to contribute more knowledge on the reality of how different control mechanisms are introduced, in line with similar studies, though it focuses on the control activity itself and the company’s reaction, rather than the disloyal or abusive acts of employees. In conclusion, certain practical guidelines for companies are suggested with regard to controlling the activities of employees when using ICTs. Keywords corporate crime, ICT use policy, control of employees and privacy, computer crime, business ethics, human resources management Subject corporate technological crime IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose José R. Agustina 8 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp ¿Cómo prevenir conductas abusivas y delitos tecnológicos en la empresa? 1. Introducción devastador, irreparable y, a veces, definitivo. Piénsese en las consecuencias económicas del, en ocasiones, imperceptible absentismo laboral. El estudio del fenómeno ha sido descrito acertadamente por Laureen Snider como theft of time, en cuanto que se trata de un continuum que viene a surgir de la malversación del tiempo y de las propiedades del empresario por parte de los trabajadores, fenómeno que tiene ya sus raíces históricas en el ambiente laboral y en el discurso taylorista del siglo xix.2 A workplace in which people can be, and are, trusted, has much more potential to be efficient and productive than one in which tasks are accomplished only through constant supervision […] While there is a need to create and maintain a climate for trust, there is also a need to minimize opportunities for workplace crime and corruption. Weckert (2002) Dicho lo anterior, las interacciones humanas que tienen lugar en ese mundo en común particular que constituye toda empresa generan, por sus propias motivaciones y particularidades, una delincuencia con unas características específicas, que de algún modo guarda relación con ese mundo en común particular.3 Tal delincuencia, surgida y desarrollada en la empresa y desde la empresa, refleja en su modus operandi (aunque pueda objetarse que lo hace de forma limitada) la lógica del mundo empresarial y los códigos de conducta que el modo de ser de la empresa imprime en quienes en ella se relacionan. En el presente estudio, hemos partido de la observación de la realidad de la empresa en cuanto entorno de convivencia y trabajo entre personas. En el ámbito de la empresa, junto a los comportamientos esperados conforme a las reglas de funcionamiento interno, surgen de modo natural acciones o actitudes desviadas, abusivas o meramente improductivas que pueden llegar a tener, en ocasiones, relevancia jurídicopenal. Ese conjunto de conductas desviadas, tengan o no implicaciones jurídicas, responden a una lógica y a unos patrones que, en parte, son comunes. En su variedad, tales conductas se distinguen entre ellas tan solo por su intensidad, si se analizan desde la perspectiva del carácter abusivo o del grado de deslealtad del empleado en la utilización de los recursos que el empleador pone a su disposición para el trabajo. Por tanto, cuanto se refiera a continuación a conductas delictivas del trabajador se puede aplicar, de forma gradual, a otros comportamientos desviados de menor gravedad. En tal sentido, un factor significativo en el modo de interactuar entorno y persona en el ámbito empresarial es el que se refiere a la dimensión organizacional de la empresa. Así, por ejemplo, el hecho de tratarse de una corporación en la que trabaja un número importante de personas, frente a la pequeña y mediana empresa, tiene consecuencias directas en las oportunidades delictivas que se generan y en los mecanismos de control que (según los recursos financieros de cada compañía) se implementan en la vigilancia de los trabajadores, y estructura su espacio de actuación. La ausencia de controles y la atmósfera de anonimato (a priori más acentuada en la pequeña y mediana empresa) son elementos criminógenos relevantes que están relacionados directamente con el entorno inmediato del trabajador.4 Dentro del amplio abanico de posibles conductas abusivas de los trabajadores, conviene tener presente que estas revisten, en numerosas ocasiones, un carácter difuso que, en caso de constituir delito, las convierte en «delitos invisibles», sin víctima aparente y de realización continuada en el tiempo. Respecto a la primera característica, su carácter imperceptible impide trazar una línea divisoria entre delito e irregularidad, distinción que podría ser poco relevante, al menos, en relación con los efectos y la repercusión que comportan en la economía de la empresa. Es decir, en ocasiones poco importa si la conducta abusiva es propiamente delictiva, en tanto que la suma continuada de pequeñas irregularidades puede generar, en la práctica, un efecto Evidentemente, dentro del contexto de la delincuencia empresarial también influyen otros factores individuales y sociológicos (las características individuales de las personas, su nivel económico, la formación recibida o su adaptación 2.Snider (2001, págs. 105-120) 3. Operari sequitur esse: el obrar sigue al ser. Sin entrar en el análisis de la aplicabilidad de este principio tomista al ámbito empresarial, sin duda la descripción general del modo de ser de la empresa proporciona claves de explicación del modo de obrar, y del delito, que tiene lugar en su interior. Véase, al respecto, J. R. Agustina (2009a). 4.De acuerdo con datos estadísticos de la U. S. Small Business Administration, la pequeña empresa representa el 99,7% del número de empresas en el mercado; tiene contratado alrededor del 50% de los trabajadores del sector privado; genera el 51% del producto interior bruto del sector privado; y en la última década ha contribuido con la creación de entre el 60 y el 80% de los nuevos puestos de trabajo. IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose José R. Agustina 9 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp ¿Cómo prevenir conductas abusivas y delitos tecnológicos en la empresa? social, entre otros). En este sentido, los tipos de delito (o las conductas abusivas y desleales)5 guardan una relación significativa con el estatus económico de la persona y, sobre todo, con la posición u ocupación desde la que opera. La posición que una persona ocupa en la estructura organizacional y económica (en la empresa y en la sociedad en general) determina de modo decisivo las oportunidades, facilidades y posibilidades para cometer delitos específicos.6 Así las cosas, se afirma que una persona de bajo nivel económico no puede ordinariamente cometer delitos de cuello blanco porque no tiene oportunidad para ello.7 de los lazos personales e institucionales explica, de acuerdo con tales teorías, por qué algunos individuos cometen delitos mientras que la mayoría no lo hace.9 A este respecto, una característica relevante en la descripción de las relaciones laborales entre los miembros de la comunidad empresarial es la estructuración jerarquizada y el desequilibrio entre las distintas posiciones, en tanto se fundamentan en una manifiesta desigualdad entre las partes. Así, la posición de subordinación del trabajador respecto del empresario responde a una situación estructural de naturaleza económica, que tiene lugar en ese microcosmos particular que es la empresa. En este sentido, es pacíficamente admitido que la existencia de comportamientos ilegales en el seno de la empresa se debe no tanto a la eventual predisposición personal de cada individuo, sino a factores estructurales como la división del trabajo, las relaciones jerárquicas o el sistema normativo interno.10 Es decir, para explicar el delito en el ámbito empresarial es ciertamente relevante la posición que ocupa el individuo, el rol determinado que cumple dentro de la estructura organizacional. A nuestro entender, el enfoque adecuado para prevenir que tales oportunidades-para-la-desviación (derivadas de la posición) cristalicen en actos concretos requiere profundizar en cómo configurar los espacios de autonomía responsable y en cómo establecer una relación armónica entre confianza y control.8 Toda posición en la empresa se configura con base en unas expectativas de confianza y, concretamente, en el valor de la lealtad. Dicha relación de confianza, no obstante, no es en absoluto unidireccional, sino que debe ser recíproca, si se desea que la organización del trabajo y la producción funcionen adecuadamente. Así, en el quebrantamiento de los vínculos de lealtad mutua, las partes rompen, cada una desde su posición, esa relación necesaria, ya sea por medio del delito del trabajador, ya sea a través del delito del empresario (por ejemplo, violando la intimidad de los trabajadores por llevar a cabo un control desorbitado). Sin pretender simplificar en exceso la explicación del delito en la empresa (no se puede interpretar lo anteriormente expuesto como si la presión que ejerce la estructura empresarial fuera determinante en términos absolutos), tampoco se puede ignorar la proclividad criminal que comportan determinados requerimientos de la producción, o el hecho de concentrar en la persona del directivo facultades de decisión y disposición sobre los intereses de la empresa, terreno abonado para los abusos11 Así, el trabajador goza necesariamente de ciertos espacios de confianza (por la propia imposibilidad de implementar un control omnicomprensivo), que pueden inducir a la deslealtad, al abuso de la confianza otorgada. Como concluye Solivetti, no puede hablarse de sistema de coerción al crimen, mas no puede negarse la existencia de condiciones internas favorables a la génesis de actos ilícitos.12 Desde un punto de vista criminógeno, la ausencia de vínculos de integración social del trabajador respecto de la empresa, su falta de identificación con la compañía o la carencia de motivaciones positivas desde el punto de vista psicológico o emocional pueden considerarse una causa de su comportamiento delictivo. La empresa no deja de ser una comunidad de personas, «una sociedad dentro de una sociedad», en la que a escala menor se aplican las teorías de los vínculos sociales (social bond theories). La importancia 5.Sobre la relación entre tipos de puestos de trabajo o trabajador y tipos de delito, véase José R. Agustina, (2010, págs. 352-409). 6. Vid. E. H. Sutherland (1939, pág. 177). 7.En la actualidad, ha ganado terreno entre los criminólogos la denominación de este tipo de delincuencia como «delitos ocupacionales», en detrimento de la clásica denominación como «delitos de cuello blanco». Véase, entre otros: G. S. Green, E. C. Blount (2003). D. O. Friedrichs (2002). 8Véase: José R. Agustina (2009d, págs. 13-60). 9. K. D. Bussmann (2003, pág. 10). 10.A. Baylos Grau, J. Terradillos Basoco (1997, pág. 40). Sin embargo, junto a tales factores estructurales se debería agregar siempre un factor personal adicional, como, por ejemplo, la sensación subjetiva de impunidad (independientemente de que esa percepción se apoye en una base real objetiva). 11. M. Sánchez Álvarez (1996, pág. 34). IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose José R. Agustina 10 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp ¿Cómo prevenir conductas abusivas y delitos tecnológicos en la empresa? Del mismo modo, factores organizacionales que inciden en la motivación y la psicología del trabajador pueden tener gran relevancia y ser un factor criminógeno contrastado. Así, por ejemplo, una de las conclusiones de las investigaciones psicológicas sobre la delincuencia en la empresa revela la correlación entre una insuficiente justificación de recortes salariales y el incremento de sustracciones en la empresa.13 tecnologías, para tratar de dimensionar la incidencia numérica de conflictos, su tipología y su repercusión económica. Partiendo de que la «lógica del control» y la «lógica de la confianza», junto con una adecuada formación técnica, se hallaban en la misma base de toda estrategia empresarial, se pretendía avanzar, de este modo, en propuestas orientadas a lograr un equilibrio razonable entre los intereses en conflicto, respetando en todo caso la dignidad de la persona. En este sentido, el presente proyecto se enmarcaba en una línea de investigación interdisciplinar encaminada a la creación de un entorno de control adecuado en la empresa que inspire y promueva, al mismo tiempo, la necesaria confianza y el cuidado del factor humano, entendiendo que este no está reñido con la implementación (efectiva) de ciertas políticas de control proporcionadas. Pues bien, y como se verá, en el presente estudio se ponen de manifiesto algunas de las singularidades de los delitos y otras conductas abusivas en la empresa, y ello a la luz de los problemas que plantea una adecuada estrategia de prevención, detección y control de los actos desleales de los trabajadores con ocasión del uso de las TIC; las nuevas tecnologías son una importante fuente de conflicto y, al mismo tiempo, una herramienta de indudable eficacia en el control y prueba. Por ello se necesitan límites éticos y jurídicos. 3. Metodología y muestra del estudio, fases de ejecución y limitaciones 2. Objetivos del estudio El presente proyecto de investigación nació con el objetivo de conocer las distintas estrategias y sistemas de prevención y control que las empresas españolas, a partir de un determinado umbral de facturación, estaban llevando a cabo respecto de las nuevas tecnologías en el ámbito laboral. En una primera fase del proyecto, se diseñó un cuestionario, elaborado por un equipo de trabajo multidisciplinar, con la finalidad de enviarlo a mil empresas con sede en España, que se seleccionaron a partir de un umbral mínimo de facturación de cincuenta millones de euros anuales y de al menos quinientos empleados. La búsqueda se realizó utilizando la base de datos SABI. Se obtuvo una muestra de 1065 empresas. En dicho contexto, el estudio de las conductas de los empleados y de los directivos a la hora de utilizar los recursos informáticos que la empresa pone a su disposición (ordenador, e-mail, teléfono móvil, PDA, etc.) constituye en la actualidad un área de investigación de creciente interés por sus repercusiones directas en el rendimiento en la actividad laboral y en los beneficios empresariales. Haciendo especial referencia al correo electrónico e Internet, se pretendía confeccionar un cuestionario que estuviera llamado a suscitar un proceso de reflexión en cada empresa, de modo que, como resultado, se gestionara de una forma ética, legal y, al mismo tiempo, práctica el necesario control de las personas, sin menoscabar, al mismo tiempo, la generación del indispensable clima de confianza necesario en el seno de las organizaciones. Para ello, se incluirían en el cuestionario preguntas relativas a las estrategias en la gestión de conflictos internos a partir del control de las nuevas El equipo de trabajo multidisciplinar que diseñó el cuestionario y estableció los criterios de selección de la muestra objeto de estudio estuvo formado por cinco profesionales: una abogado laboralista, un abogado asesor de empresas especializado en derecho de las nuevas tecnologías, un ingeniero informático especializado en seguridad informática y prueba electrónica, un profesor investigador en el área de business ethics y un profesor investigador en criminología y magistrado en la jurisdicción penal. Tras la discusión sobre las numerosas preguntas relevantes que debían incluirse en el cuestionario, finalmente se decidió limitar su número a treinta y cinco cuestiones de respuesta 12.L. M. Solivetti, (1987). 13. Bussmann, K. D. (2003, pág. 10). IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose José R. Agustina 11 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp ¿Cómo prevenir conductas abusivas y delitos tecnológicos en la empresa? 4. Comparativa con estudios anteriores múltiple, y añadir una segunda encuesta-simulacro (Validación funcional de procedimientos operativos existentes) de diecisiete preguntas. Para el diseño del cuestionario se tuvieron en cuenta los estudios precedentes en el ámbito del control de las nuevas tecnologías en la empresa, si bien ninguno de ellos se planteó con el principal objetivo de obtener información sobre los instrumentos técnicos utilizados a tal fin. En el presente estudio se han tratado, por tanto, de abordar aquellos aspectos menos analizados en los precedentes, para dar un paso más y poner especial énfasis en las estrategias reactivas y no solo en las preventivas en el ámbito de estudio. A partir de la base de datos inicial, se hizo una primera criba de empresas, para tratar de evitar reduplicaciones mediante la identificación de las sedes principales de los grupos empresariales, de manera que no se enviara el cuestionario a la misma empresa en distintas sedes. Se redactó la carta explicativa del proyecto en formato papel y electrónico, para enviar el cuestionario a las empresas. Hubo que ponerse en contacto con Informa, empresa proveedora de los datos a SABI, para poder hacer uso de la información seleccionada e incluir en el envío el origen de los datos. 4.1. Estudio precedente de 2002 En el anterior estudio, llevado a cabo por el e-Business Center PwC&IESE y publicado con el título Estudio sobre políticas, hábitos de uso y control de Internet y correo electrónico en las principales empresas españolas (Fontrodona Felip y García Castro, 2002) se partía de que, al ser en la actualidad el correo electrónico y el acceso a Internet herramientas de trabajo tan universales como el teléfono, y al constatarse los diferentes enfoques para su correcto uso en las empresas entre los países de nuestro entorno, debía responderse a la pregunta recurrente que se realizaban los directivos en la organización y control de su empresa: «¿Debo adoptar una actitud de laissez-faire o tengo que establecer unos límites permitidos de uso de estas herramientas?». Se cruzaron los datos de las empresas obtenidas con la base de datos del IESE para incluir solo las empresas coincidentes. Tras dicho proceso, finalmente, la muestra quedó reducida a 967 registros. Paralelamente, se diseñó e implementó la página web del proyecto. Para este cometido, hubo una puesta en común en una reunión inicial del equipo de trabajo donde se discutió el modo en que debía llevarse a cabo. Para garantizar la confidencialidad de las compañías, no se revelaría la identidad de las empresas participantes a los componentes del equipo. A esta información únicamente tendría acceso el responsable del fichero. Ya entonces se constataba en el contexto laboral la existencia de una tendencia evidente hacia la fuerza del trabajo en línea; dicha cuestión se revelaba como de suma importancia. En dicho estudio se constataba también que los directivos habían empezado a implementar políticas y mecanismos de control para gestionar este problema, esgrimiendo razones de productividad, seguridad y de carácter legal. En el estudio, se mostraba en cifras la situación de estas políticas y de los mecanismos de control en España, para conocer cómo se estaban produciendo los cambios en nuestro país. En junio de 2010 se dio de alta definitivamente la página web del proyecto y se llevó a cabo el primer envío de cartas a las empresas seleccionadas. Tras un primer envío, del que se obtuvieron pocas respuestas, se decidió realizar un segundo envío en septiembre de 2010. Al ser, de nuevo, insuficiente el número de respuestas obtenidas, se contactó telefónicamente con las empresas para animarlas a colaborar en el proyecto. Se constató la enorme dificultad para obtener respuestas. En España, el uso de Internet y del correo electrónico entre las mil mayores empresas se encontraba ya entonces bastante extendido, como refleja el hecho de que el 98% de las compañías de la muestra seleccionada contestasen que sus empleados tenían acceso a Internet y al correo electrónico en el puesto de trabajo. Finalmente se obtuvieron un total de cuarenta y dos. En solo veintiséis casos se respondió íntegramente a todas las preguntas. El resto contestó mayoritariamente al primer bloque de preguntas. IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose José R. Agustina 12 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp ¿Cómo prevenir conductas abusivas y delitos tecnológicos en la empresa? Estas son las principales conclusiones a partir de los resultados obtenidos en el estudio de 2002: La pornografía o la música en línea no figuraban entre lo más citados. • Lejos de adoptar un enfoque uniforme, las empresas españolas presentaban diferencias entre las políticas, la supervisión y la disponibilidad de estadísticas. En el análisis bivariante se pusieron de manifiesto las diferencias existentes por tamaño y facturación entre las mayores empresas españolas. • El número de políticas escritas entre las mayores empresas españolas era, por entonces, todavía bajo. Muchas empresas confiaban en las políticas no escritas para gestionar el acceso a Internet y al correo electrónico de sus empleados. También existía un importante porcentaje de empresas que no poseían políticas de ningún tipo. • Esas políticas regulaban los contenidos permitidos, los usos aceptables o la custodia de datos personales de los trabajadores, pero en general se prestaba poca atención a aspectos clave como la supervisión y la política de sanciones. • Un porcentaje significativo de empresas españolas ya restringía en sus políticas el uso de Internet y del correo electrónico con «fines exclusivamente profesionales» (38%). El uso totalmente libre de estos medios se daba en una minoría de empresas españolas (12-14%). • Se constataba en España una falta de madurez respecto a la privacidad en línea. En caso de no adoptar políticas, el problema no era el presupuesto, sino la falta de conciencia de la dirección de la empresa. De hecho, las empresas dedicaban una media de 0,24 millones de euros a ese capítulo. De los datos parecía desprenderse una falta de conocimiento acerca de los riesgos legales que conlleva una violación de la intimidad de los empleados. •E n cuanto a los sistemas de supervisión, se apreciaba una clara diferencia entre la supervisión del acceso a Internet (45%) y la del correo electrónico (24%). Se creyó que, fundamentalmente, se explicaba por cuestiones legales. • La mayoría de las empresas afirmaban que existía una «causa justificada» para llevar a cabo actuaciones inspectoras. Sin embargo, la práctica totalidad de estas empresas no cumplían con los requisitos legales para la supervisión, o bien los desconocían. • El 20% de los directores generales accedían, según la encuesta realizada, a los datos obtenidos a través de la supervisión. • Algo menos del 3% de las empresas habían despedido a algún trabajador por el uso incorrecto de sus telecomunicaciones, y casi un 10% de las empresas habían sancionado a algún trabajador por tales razones. • Tan solo una de cada cuatro empresas de la muestra poseía estadísticas respecto a los hábitos de uso de Internet y del correo electrónico de sus empleados. • En Internet, los empleados de las mayores empresas frecuentaban los servicios de noticias, los servicios financieros en línea y la búsqueda de software o hardware. IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose José R. Agustina 4.2. Exploring Emerging Risks (2009) En un estudio realizado en 2009 por PriceWaterHouseCoopers y titulado Exploring Emerging Risks, ya se hizo referencia a la aplicación de estrategias de gestión de riesgos en el seno de las empresas (extending enterprise risk management [ERM]). Siguiendo dicho estudio, se debían evaluar las dimensiones de los riesgos, su interconexión con otros riesgos asociados y las implicaciones en la marcha de la empresa. Para evaluar de modo efectivo los riesgos emergentes se requería considerar el significado que estos tienen en la empresa y en los accionistas (tanto internos como externos), analizando el impacto de los riesgos, la probabilidad de que sucedan y las correlaciones con otros riesgos (interconectividad entre riesgos) en relación con las estrategias y los objetivos de la empresa. Según dicho estudio, los recursos debían dirigirse (o redirigirse) a tratar de identificar y realizar un seguimiento de los indicadores de riesgos emergentes y a desarrollar la agilidad organizacional de la empresa para enfrentarse a ellos. En consideración a la naturaleza, las dimensiones y la interconectividad de tales riesgos y a las alternativas disponibles para mitigar los riesgos dentro de las organizaciones, tales recursos debían poder permitir una gestión de riesgos dinámica que lograra encaminarse hacia los objetivos estratégicos de las empresas; se podía realizar un seguimiento y un control de los riesgos emergentes a través de métodos cualitativos y cuantitativos. Una adecuada comprensión de las circunstancias que rodean los posibles riesgos emergentes constituía el punto de partida a partir del cual se podían controlar los síntomas de los riesgos que están empezando a desarrollarse, síntomas que se podrían precisar mejor en la medida en que se recabara más información, la cual determinaría la necesidad de respuestas alternativas a estos riesgos emergentes. 13 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp ¿Cómo prevenir conductas abusivas y delitos tecnológicos en la empresa? 4.3. Human Factors Working Group (2007) Por ello, se podía esperar que tras la sentencia se desarrollara un gran número de políticas en las empresas, presunción que no parece ser acertada a la luz de los datos obtenidos. De modo parecido, en el estudio publicado bajo el título Human Vulnerabilities in Security Systems por el Human Factors Working Group (2007), se abordaban cuestiones que, sin duda, guardan relación con el presente estudio. No obstante, además de no aportar datos empíricos de base, se centraba en la interacción entre el factor confianza y la lógica del control aplicadas a los medios técnicos de control, pero sin que se analizara en concreto qué medios se utilizan y de qué modo, ni tampoco las estrategias de reacción de la empresa a partir de la emergencia de un incidente interno.14 (ii) Sin embargo, sí se aprecia un aumento de las empresas que permiten un uso moderado (para fines particulares): un 41% en 2010 frente a un 29-32% en 2002. Gráfico 1. Políticas de uso de las TIC y utilización con fines personales 18% 5. Análisis y valoración de los datos obtenidos 3% 38% 5.1. Evolución comparativa entre 2002 y 2010 En relación con el estudio realizado en 2002 se aprecian las siguientes comparaciones significativas: 41% (i) En cuanto al porcentaje de políticas de uso de las nuevas tecnologías que prohíben totalmente su uso privado, es significativo que no haya variado, y que se sitúe de nuevo en un 38%. Prohibe totalmente el uso personal de los medios informáticos por parte de los trabajadores Este dato sorprende en la medida en que en el año 2007 el Tribunal Supremo (sentencia de 26 de septiembre de 2007)15 ya declaró que uno de los elementos esenciales para que el empresario pueda desarrollar una actividad de supervisión y control de los medios informáticos es la existencia de una política empresarial clara, que debe proporcionarse a los trabajadores para que la conozcan. A este respecto, el Tribunal Supremo entendió, en dicha sentencia, que con este tipo de medidas el trabajador no puede alegar la existencia de una «expectativa razonable de intimidad» y, por tanto, que se haya producido lesión alguna en sus derechos fundamentales. Con ello se puso fin a un largo periodo en el que se sucedieron sentencias contradictorias respecto a la capacidad de control del empresario y los medios para llevarlo a cabo.16 Permite el uso personal moderado de los medios informáticos por parte de los trabajadores Permite el uso personal de los medios informáticos por parte de los trabajadores siempre que tenga lugar fuera del horario laboral No establece ninguna restricción al uso personal de les medios informáticos por parte de los trabajadores Como ocurrió con el uso del teléfono, la generalización de este tipo de medios no solo en el ámbito profesional, sino también en el privado, ha generado una mayor tolerancia por parte del empresario. A ello se suma el hecho de que los horarios laborales tienden a flexibilizarse, y cuando ello ocurre con frecuencia no es posible ejercer un control 14. Véase también el estudio de PwC’s 4th biennial Global Economic Crime Survey (2007). 15. Véase al respecto: J. R. Agustina (2009c). 16.Aunque no pudo tener impacto en el momento de la recogida de datos para este estudio, es importante destacar que la posición del Tribunal Supremo en este punto se ha consolidado con posterioridad por medio de la Sentencia de 6 de octubre de 2011, en la que reconocía la validez de una política de uso que incluía una prohibición absoluta de utilización de los medios de la empresa para fines propios, tanto dentro como fuera del horario de trabajo, y entendía que «lleva implícita la advertencia sobre la posible instalación de sistemas de control del uso del ordenador», por lo que se exonera de facto a la empresa de informar expresamente de la instalación de este tipo de dispositivos. IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose José R. Agustina 14 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp ¿Cómo prevenir conductas abusivas y delitos tecnológicos en la empresa? basado en el horario laboral. Además, se puede percibir como injustificado prohibir el uso de unas herramientas que facilitan una mejor conciliación de la vida personal y laboral cuando el trabajador ha incrementado sustancialmente su disponibilidad a través precisamente de dispositivos móviles o accesos remotos a la red de empresa. Gráfico 2. Políticas de supervisión del cumplimiento de la política de uso 16 14 12 5.2. Modo de implementación de políticas de uso, prevención y control de las TIC en la empresa. Capacidad técnica real en la detección e identificación de la infracción 10 8 6 4 (i) Identificación del usuario. En un 98% de las empresas encuestadas se requiere identificación y autenticación del usuario para acceder a los sistemas informáticos. Sin duda, esta es una medida necesaria, no solo a efectos de proteger la privacidad del trabajador, sino como medio para identificar al usuario de una terminal en un momento dado. 2 0 Política de supervisión de cumplimiento de la política de uso No Sin embargo, a partir de los resultados de la encuesta-simulacro (Validación funcional de procedimientos operativos existentes), se revelan unas carencias significativas en la capacidad técnica para detectar e identificar al infractor (cfr. apartado (v) infra). Sí, hay un control aleatorio del cumplimiento por parte de los En relación con lo anterior, es significativo que ninguno de los encuestados reconozca que tiene dudas sobre la fiabilidad de los sistemas de identificación y autenticación, cuando compartir contraseñas con los compañeros es una mala práctica generalizada más que constatada. En todo caso, es conveniente señalar que el Tribunal Supremo, en la citada sentencia de 26 de septiembre de 2007, señala que el hecho de que no exista clave de acceso no supone un obstáculo para la protección de la intimidad. Es decir, el trabajador debe ver su derecho a la intimidad tutelado exista contraseña o no en el ordenador. Sin embargo, desde el punto de vista de la determinación y la prueba de la autoría de los incumplimientos que se detecten, la existencia de una clave de acceso es una herramienta útil. uso de las TIC, un 46,9% respondió negativamente, frente a un 37,5%, que afirmó realizar un control aleatorio, y un 15,6%, que realizaba un control continuo. trabajadores Sí, hay un control continuo del uso por parte de los trabajadores Es importante señalar que, si las empresas definen y comunican una política de uso de las TIC pero no realizan control alguno de su cumplimiento, se genera una situación de tolerancia empresarial que dificultará la implementación de medidas disciplinarias en caso de que se detecte un incumplimiento. Por otro lado, el control y las medidas disciplinarias deben ser aplicadas bajo los principios de igualdad, proporcionalidad y progresividad. Sin embargo, en muchas ocasiones la práctica empresarial es distinta, ya que: (i) se evita sancionar los incumplimientos menores, pues ello genera una conflictividad que se prefiere evitar, (ii) no se aplica con el mismo rigor el régimen disciplinario, o (iii) la investigación sobre el cumplimiento de las políticas TIC se realiza como un medio para justificar una decisión disciplinaria preexistente y dirigida contra un trabajador. (ii) Revisión periódica y supervisión del cumplimiento de las políticas de uso. La mayoría de las empresas encuestadas llevan a cabo una revisión periódica de las políticas de uso aprobadas (un 89,9%), si bien solo un 45% lo hace de forma regular (periodicidad fija). Ante la pregunta de si dichas políticas de supervisión incluyen un protocolo de actuación en determinadas situaciones de especial riesgo: en un 16% de los casos la respuesta fue En cuanto a si la empresa había implementado alguna estrategia de supervisión del cumplimiento de las políticas de IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose José R. Agustina 15 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp ¿Cómo prevenir conductas abusivas y delitos tecnológicos en la empresa? (iv) Control de la navegación por Internet. La mayoría de las empresas (52%) establecen mecanismos que impiden el acceso a determinados sitios por su contenido pornográfico o inmoral; frente a un 24% que no establece límite alguno. Tan solo un 3% impide el acceso a sistemas de correo electrónico personal, y un 3% a determinados sitios web por su contenido claramente no profesional. Un 9% impide el acceso a redes sociales. negativa; un 21% disponía de un protocolo específico para el caso de trabajadores que han preavisado de su marcha de la empresa, y un 30% para los que se ha decidido despedir. Es de destacar que solo un 10% de las empresas prevean políticas de supervisión especial por razón de las remarcables responsabilidades del trabajador en función del departamento o por razón del rango del trabajador u otros miembros de la empresa. También es escaso (13%) el número de empresas que prevén una supervisión especial para trabajadores que han incurrido en conductas específicamente tipificadas (por ejemplo, por exceso en el volumen de correos electrónicos). Sin embargo, respecto a este último punto, la tendencia incipiente de aquellas empresas con amplia presencia en la Red (como las dedicadas al gran consumo) es distinta. A la selectiva limitación del acceso a las redes, se une un interés empresarial en regular o promover determinadas prácticas «conscientes» de sus trabajadores en su uso privado de las redes sociales. Sin duda, los mensajes, escritos o gráficos, que los trabajadores de una empresa insertan en la Red, y en especial de todos aquellos que ostentan un cargo de responsabilidad, pueden repercutir en la propia compañía positiva o negativamente. Ello con independencia de que dicha actividad se realice fuera del horario laboral o sin hacer un uso indebido de los medios empresariales. En la práctica, reforzar los mecanismos de control en algunos colectivos especialmente sensibles, como los directivos de la empresa, es complejo, ya que: (i) son los mismos órganos de dirección quienes deben adoptar la decisión de reforzar su fiscalización, (ii) el control suele llevarse a cabo internamente y, en consecuencia, la mayoría de las veces por personas jerárquicamente subordinadas, (iii) preservar la confidencialidad en determinados niveles resulta esencial. (iii) Control de fugas de información. Un 26% de las empresas encuestadas no dispone mecanismos técnicos para evitar almacenar información corporativa en soportes extraíbles (mediante pen drive o CD); un 35% no tiene ninguna política limitativa al respecto; mientras que un 27% requiere el consentimiento de un responsable y limita el volumen de lo extraído, y un 12%, pese a no tener una política sobre dicha posibilidad, manifiesta disponer de mecanismos que impiden almacenar la información en soportes extraíbles. (v) Capacidad técnica en la detección e identificación de la infracción. Ante la pregunta de si la empresa está capacitada para recuperar los logs de asignación de IP dinámicas de hace tres meses, para detectar desde qué ordenador se realizó un posible ataque informático, solo un 37% afirmó tener acceso a dichos logs; un 22,2% manifestó que el periodo de conservación de estos es inferior a tres meses. La mayoría de las empresas, un 40,7%, respondieron que no almacenan dicha información. En cuanto a otros mecanismos de detección y prevención de fugas de información corporativa, un 24% de las empresas manifestó disponer de distintas tecnologías que conjuntamente persiguen dicho objetivo; solo un 9% de las empresas dispone de una solución específica a tal efecto (por ej., mediante un sistema de Data Leakage Prevention).17 Un 67% declaró no contar con mecanismo alguno. Además, de las empresas que sí conservan por algún tiempo dicha información (un 59,2% del total), una inmensa mayoría limita dicho acceso a los logs a menos de seis meses (un 65,4%). En cuanto a los protocolos de notificación previa al trabajador antes de proceder a examinar el ordenador, el 27% de las empresas disponen de un protocolo informático que permite investigar el incidente sin notificación previa al trabajador; un 15% también dispone de un protocolo para dichos escenarios, pero en todo caso se notificaría siempre Debe tenerse en cuenta que en aquellas empresas en la que además de proteger la información generada por estas se tenga un deber de custodia respecto a información o documentación entregada por un tercero, este tipo de medidas son esenciales. 17.Los sistemas DLP (Data Leakage Prevention o Data Loss Prevention) responden a un concepto que se ha vuelto fundamental dentro del mundo empresarial. Abarca todas las políticas, las herramientas y los medios de seguridad que implementa una compañía, con el fin de que sus sistemas informáticos no sean violados y los datos no se pierdan o sean robados. Es decir, se refiere a todo lo relativo a políticas de uso de Internet e instalación de antivirus, firewalls y filtros web en los equipos de una organización. IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose José R. Agustina 16 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp ¿Cómo prevenir conductas abusivas y delitos tecnológicos en la empresa? antes al trabajador; un 19% carece de protocolo alguno, pero también se lo notificaría previamente al trabajador. Finalmente, un significativo 39% ni dispone de protocolo alguno ni advertiría al trabajador. las empresas manifiestan que obedece a una necesidad de proteger la empresa frente a posibles daños, en un 48,6% de los casos; un 25,7% afirma tener como finalidad el control frente a abusos en los sistemas informáticos; un 2,9% se refiere al control del rendimiento laboral; y un 22,9% no declara finalidad alguna. Ninguna empresa manifiesta como objetivo la prevención del delito. Debe tenerse en cuenta que, en la actualidad, está cada vez más generalizado el trabajo en red y, por tanto, con conexión a un ordenador central. Por tanto, y sin perjuicio de los archivos locales que pueda haber, la parte más voluminosa de la actividad del trabajador circula a través del servidor central. Ello permite al empresario tener acceso a ella sin acceder al ordenador personal del trabajador, y sin ni siquiera estar en el mismo centro de trabajo en el que este presta sus servicios. De nuevo, la existencia de una política de control clara y debidamente comunicada será nuclear para poder definir los límites de la facultad empresarial. La percepción del daño potencial es baja, de ahí que no se asignen más recursos al control y no se adopten más medidas de sanción. (ii) Primera reacción de la empresa. Sobre un periodo de tres años, un 38,8% de las empresas encuestadas afirmó haber formulado ocasionalmente denuncia penal contra el trabajador (entre 5 y 10 ocasiones), junto a un idéntico 38,8% que no lo hizo nunca, y un 16,1% que lo hizo tan solo puntualmente (entre 1 y 4 ocasiones). Un 56% de las empresas cuentan con personal formado para efectuar el análisis forense del ordenador del trabajador; mientras que un 36% contactaría con una empresa especializada. Un 8% asegura que, pese a no tener personal especializado, sus técnicos informáticos serían capaces de hacer ese trabajo. Respecto a la sanción disciplinaria, un 45,2% de las empresas manifestó haber acudido a dicha opción ocasionalmente (en 5-10 ocasiones); mientras que un 64,5% dijo que solo puntualmente (en 1-4 ocasiones) optó por hablar con el trabajador. Solo un 32,3% de las empresas dijo haber comunicado a los representantes de los trabajadores el incumplimiento en 5-10 ocasiones. El mantenimiento de la cadena de custodia y la realización de estudios acordes con el principio de proporcionalidad constitucional son cuestiones esenciales que con frecuencia se gestionan con más garantías de forma externalizada. En cuanto si la empresa comunicó el incumplimiento al departamento legal propio o contactó con abogados externos, un 32,2% acudió a la primera opción en 5-10 ocasiones, mientras que ese mismo porcentaje de empresas contactó en 1-4 ocasiones con abogados externos a la compañía. La opción de contactar con expertos externos para investigar y recoger la máxima información posible se limitó a un 16,1% de empresas (en 5-10 ocasiones) y a un 32,3% (en 1-4 ocasiones). En cuanto a si la empresa tiene un sistema de almacenamiento de correo electrónico para recuperar mensajes enviados o recibidos de hace tres meses, solo un 51% dice disponer de uno. Y únicamente un 44% asegura poder acceder a los logs para determinar la persona y el ordenador utilizado. Finalmente, un 42% de las empresas, tras realizar la encuesta-simulacro, admitió la existencia de algunas discrepancias entre la implementación teórica de los sistemas de seguridad disponibles y la implementación real en la práctica del ejercicio. Dicho ejercicio simulado permitió identificar carencias en los mecanismos de control en un 15% de las empresas; un 35% afirmó que ya eran conscientes de tales carencias; un 23% dijo disponer de la mayoría de la información requerida en el simulacro; y un 27% de toda la información. (ii) ¿Cuál ha sido la reacción habitual de las empresas una vez constatado el incumplimiento? En un 37% de los casos, la reacción habitual consistió en advertir informalmente al trabajador; en el 22% de los casos se sancionó disciplinariamente al trabajador (pero sin llegar al despido); se le despidió en el 13% de casos. En un 12% no se realizó actuación alguna, y en un 6% se negoció con el trabajador algún tipo de solución. Solo en el 3% de casos se presentó denuncia penal. A este respecto nos extenderemos en el epígrafe número 7, sobre las motivaciones de las empresas al decidir si reacciona o no de algún modo ante incidentes o delitos de los trabajadores (vid. infra). 5.3. Finalidad de las políticas de uso de las TIC y reacción de la empresa (i) Finalidad declarada de las políticas de uso. En cuanto a la finalidad declarada en las políticas de uso, la mayoría de IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose José R. Agustina 17 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp ¿Cómo prevenir conductas abusivas y delitos tecnológicos en la empresa? Gráfico 3. ¿Cómo reacciona la empresa en un primer momento en el caso de detectar un incumplimiento (por orden de actuación, del 1 al 8)? Formula denuncia penal Sanción disciplinaria Hablar con el trabajador Comunica a los representantes de los trabajadores Más de 30 ocasiones En muchas ocasiones (más de 10 ocasiones) En ocasiones (5-10 ocasiones) Contacta con abogados externos Puntualmente (1-4 ocasiones) En ninguna ocasión Contacta con expertos externos para investigar y recoger tantos datos como Lo comunica al Departamento Legal Investiga y recoge tantos datos como sea posible 0 5 10 15 20 25 30 un 29% a la falta de pruebas suficientes para sancionar. Solo en un 10% se adujeron razones de no dar publicidad al incumplimiento; mientras que en un 8% se debió a la tolerancia de la empresa en casos anteriores similares; el mismo porcentaje de ocasiones en que las que el motivo de no sancionar tuvo como causa prevenir la reacción de los trabajadores y/o de sus representantes. En un 6% se debió a la prescripción de la acción;18 en un 5% al coste derivado de la obtención de pruebas, y un 2% al coste del asesoramiento jurídico necesario. Ante la pregunta de qué porcentaje de casos detectados fueron sancionados disciplinariamente, un 70,4% de las empresas que respondieron declaró que fueron menos del 30%; un 7,4% dijo haber sancionado entre el 30% y el 70% de los casos, y un 22,2% lo hizo en más del 90% de los casos. ¿Y cuáles fueron los motivos principales para decidir no sancionar al trabajador? En un 30% de los casos se debió a la falta de gravedad del incumplimiento o del daño, y en 18.Téngase en cuenta que el art. 60.2 del Estatuto de los Trabajadores establece que las faltas leves prescribirán a los diez días; las graves, a los veinte días, y las muy graves, a los sesenta días a partir de la fecha en que la empresa tuvo conocimiento de su comisión, y, en todo caso, a los seis meses de haberse cometido. IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose José R. Agustina 18 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp ¿Cómo prevenir conductas abusivas y delitos tecnológicos en la empresa? Respecto al tipo de sanción adoptada, (i) se despidió al trabajador aceptando la improcedencia del despido (1-4 ocasiones, siempre dentro de los últimos tres años) en un 30,8% de las empresas, frente al 3,8% que dijo haberlo hecho en muchas ocasiones (más de 10); (ii) los casos de sanción no seguida de recurso por parte del trabajador son sensiblemente inferiores (15,4% puntualmente, 11,5% en 5-10 ocasiones, y 3,8% en muchas ocasiones) frente a aquellos casos en los que sí fue discutida y se resolvió posteriormente, bien en la fase de conciliación (23% puntualmente, o 7,7% en muchas ocasiones), bien tras el procedimiento judicial correspondiente (19,2% puntualmente). daños informáticos (38,1%); uso inadecuado o revelación de información confidencial (35,8%); suplantación de identidad (19%); daños a la imagen o reputación de la empresa (11,9%); actos de competencia desleal (11,9%); acceso a contenidos de pornografía infantil (7,1%); acoso moral o sexual a otros trabajadores (2,4%). El sistema sancionador en una empresa debe respetar los principios de progresividad y proporcionalidad. Por tanto, como se indicaba antes, debe evitarse generar una situación de tolerancia empresarial que dificulte la aplicación del régimen sancionador. (ii) Origen de la detección. El despido de un trabajador por motivos disciplinarios supone la imposición de la máxima sanción que permite el sistema laboral. Teniendo en cuenta la fórmula tasada para el cálculo de la indemnización, en ocasiones, la adopción de medidas alternativas a una extinción reconocida como improcedente puede ser mucho más costosa. Sin embargo, el coste no es el único parámetro de valoración, ya que existen conductas que la empresa debe combatir, con independencia de que el proceso pueda obligar a generar una inversión económicamente superior. Además, la reciente reforma introducida mediante el Real decreto ley 3/2012, de 10 de febrero, ha suprimido los salarios de tramitación. Ello hará que se asuma en mayor número de ocasiones el riesgo de defender la procedencia de las extinciones. (iii) Consecuencias derivadas de la infracción. Una vez excluidos los costes derivados del propio procedimiento sancionador, un 11,9% de empresas manifestó que puntualmente (en 1-4 ocasiones) los daños oscilaron entre 3.000 y 10.000 euros, y un 4,8% entre 10.000 y 30.000 euros. Además, un 4,8% de empresas reveló que también puntualmente los daños habían sido superiores a 30.000 euros. En cuanto al tipo de daños sufridos por las empresas, un 47% consistió en la reducción del rendimiento laboral de los trabajadores; un 18% en daños materiales; un 16% en daños relativos a la propiedad intelectual o industrial (incluidas las infracciones al deber de confidencialidad respecto de datos de terceros); un 11% en daños a la imagen o reputación de la compañía; y un 8% en daños personales (injurias, acoso, pornografía infantil, etc.). A este respecto es interesante tener en cuenta que la percepción de la gravedad de una conducta puede variar no solo en función de la cultura de empresa en cada caso, sino también en función del país en el que se encuentren las personas que deben tomar la decisión disciplinaria. Así, en grupos empresariales internacionales no es infrecuente que se produzcan valoraciones significativamente distintas de un mismo hecho desde la empresa filial y la matriz. 5.5. Perfiles de los trabajadores infractores El grupo de trabajadores con mayor tendencia a cometer infracciones es el de aquellos que gozan de un elevado nivel de autonomía, seguidos de los mandos intermedios, los trabajadores con escaso nivel de autonomía, los trabajadores eventuales y los que son externos a la empresa. Lógicamente, los directivos ocupan el último lugar, al tener una menor representación (vid. gráfico relativo a la pregunta 34). 5.4. Tipología de incumplimientos detectados, origen de la detección y sus consecuencias A este respecto, Gerard Mars describió, en función de las variables relativas a las características del tipo de trabajo (grid dimension) y a la integración en el grupo (group dimension), cuatro tipos de perfiles criminológicos en el lugar de trabajo. La proclividad delictiva derivada de la clasificación que propuso en su obra Cheats at Work. An (i) Tipología de infracciones. Un 90,5% de las empresas manifestó haber detectado casos de absentismo o pérdida de tiempo (uso para fines particulares de medios profesionales). En cuanto al resto de los incumplimientos detectados, los porcentajes son sensiblemente inferiores: infracciones de la propiedad intelectual, como descargas ilegales (40,5%); IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose José R. Agustina 19 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp ¿Cómo prevenir conductas abusivas y delitos tecnológicos en la empresa? Gráfico 4. ¿Qué tipo de trabajadores han cometido los incumplimientos? 30 25 20 15 Más de 30 ocasiones En muchas ocasiones (más de 10 ocasiones) 10 En ocasiones (5-10 ocasiones) Puntualmente (1-4 ocasiones) En ninguna ocasión 5 Anthropology of Workplace Crime (1982) ilustra la relación existente entre tipos de trabajadores y clases de conductas abusivas o delictivas, y, por lo que aquí respecta, puede dar cuenta también de la clase de riesgos delictivos derivados del acceso a información, de la autonomía del trabajador y del acceso facilitado a las TIC en el entorno laboral: (1) Contornos difusos individualmente y vínculos débiles desde un punto de vista grupal (weak-grid and weak–group). En primer lugar, describe a aquellas personas que ocupan puestos de trabajo caracterizados por una gran autonomía organizativa, con tendencia al individualismo en el modo de funcionar y un nivel alto de competitividad por el tipo de trabajo que llevan a cabo. El control que ejercen sobre otras personas es muy superior al que se lleva a cabo sobre este IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose José R. Agustina Trabajadores externos a la empresa Trabajadores eventuales Trabajadores con escaso nivel de autonomía Trabajadores con un nivel de autonomía elevado Mandos intermedios Directivos 0 tipo de profesionales. En este tipo de puestos de trabajo, es especialmente valorada la iniciativa personal y el espíritu emprendedor, la discrecionalidad para negociar con autonomía. En un primer momento, Mars sitúa en este grupo de trabajadores (a los que denomina hawks) a directivos de empresa, académicos que han alcanzado cierto nivel de éxito profesional y a pequeños empresarios que han creado su propia empresa. Sin embargo, el perfil profesional que caracteriza a este tipo de profesionales no se limita a las categorías sociales de más alto nivel: en cierto modo, también entrarían el taxista que es propietario del automóvil que emplea para su trabajo, o el camarero que goza de cierta autonomía y experiencia. El carácter competitivo como rasgo dominante en esta clase de profesionales, junto a los débiles vínculos que se generan entre sus iguales, conlleva que las alianzas entre hawks tiendan a cambiar con relativa 20 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp ¿Cómo prevenir conductas abusivas y delitos tecnológicos en la empresa? frecuencia y que el clima que se respire entre los miembros del grupo esté dominado más por la sospecha más que por la confianza mutua.19 (2) Contornos bien delimitados individualmente y vínculos débiles en grupos (strong-grid and weak-group). En segundo lugar, describe a aquellas personas que ocupan puestos caracterizados por el aislamiento y la subordinación (donkey). El ejemplo paradigmático de este tipo de profesiones o puestos de trabajo son los skivvies, aquellos sirvientes personales en el ámbito familiar, que era común tener en los hogares en el siglo xix (Douglas, 1978). Los donkeys se hallan en una paradójica posición, entre una extrema fragilidad y un enorme poder. Pueden llegar a gozar de enorme poder, en el sentido de que, cuando se los rechaza (o no se los acoge debidamente), los efectos que pueden llegar a provocar podrían suponer un trastorno importante. Es relativamente frecuente que este tipo de trabajos generen resentimiento. Y, por tanto, no es inusual que haya un alto nivel de rotación en tales oficios o que el trabajador busque otras alternativas para escapar de la desagradable realidad laboral en que convive mediante el recurso al absentismo o la enfermedad. También pueden darse diferentes formas de sabotaje, especialmente cuando los límites y controles son de naturaleza mecánica (Taylor and Watson, 1971).24 De este modo, el carácter independiente, la tendencia dinámica a la búsqueda de nuevas oportunidades, la capacidad de adaptación…, todas las características presentes en tales perfiles laborales inducen a este tipo de profesionales a abrirse su propio camino y a aprovechar las ventajas y la flexibilidad que define su puesto de trabajo. En parte, esta forma flexible de convivencia junto con las ventajas adicionales a una autonomía y ausencia de controles pueden explicar cómo y por qué funciona el sistema.20 Los hawks están a menudo protegidos frente a cualquier forma de control, por razón de su estatus y de su statelessness (condición de apátrida, en cuanto a la ausencia de vínculos respecto de cualquier grupo).21 Mars describe algunas situaciones en las que un profesional de estas características puede ver peligrar su posición: cuando su jefe inmediato deja el cargo y tiene que renegociar de nuevo sus condiciones contractuales, cuando organizaciones que deberían basarse en el instinto emprendedor se ven aplastadas por una burocracia paralizante, o cuando un directivo es rebajado de nivel y se le retira de un cargo. En tales situaciones, los hawks no pueden explotar sus mejores cualidades y se ven capitidisminuidos. Sin embargo, saben sobreponerse y sortear los obstáculos que limitan su potencial, y se reafirman en otros campos en los que sí pueden gozar de libertad de movimientos.22 (3) Contornos bien delimitados individualmente y vínculos fuertes en grupos (strong-grid and strong-group). Se refiere a aquellos tipos de trabajo tradicionales de las clases trabajadoras (traditional working-class occupations), tales como los obreros en el sector de la minería o los estibadores portuarios. Estos grupos de trabajadores se basan en la mutua interdependencia y en la definición de funciones o roles estratificados (wolves). En ocasiones, el trabajo y la vida en grupo se fusionan en instituciones omniabarcantes como la convivencia laboral en prisiones, hospitales o algunos hoteles. En tales entornos, el control que ejerce el grupo sobre el individuo puede llegar a ser considerable, y exigir la dedicación de tiempo y la definición de lealtades. El tipo de trampas (fiddles) a las que recurren los hawks son parte de la propia elasticidad que configura su clase de puestos de trabajo. En este sentido, las inclinaciones a aprovecharse de las circunstancias mediante recompensas ilícitas son intrínsecas al tipo de trabajo, y no extrínsecas. Si a un donkey (vid. al respecto infra) le remueves las condiciones que le permiten aprovecharse del sistema y crearse ventajas paralelas o recompensas, no alterará su forma de trabajar: no suele ocurrir así cuando le quitas a un hawk las recompensas paralelas en su trabajo.23 (4) Contornos poco delimitados individualmente pero con vínculos fuertes en cuanto al grupo, aunque sean a menudo latentes (weak-grid and strong-group). En último lugar, se 19.G. Mars (1982, pág. 29). 20.Estos factores pueden explicar por qué, por ejemplo, algunos cirujanos de prestigio permanecen en el National Health Service, donde los salarios son formalmente más bajos, o algunos cerebros tecnológicos no siempre se van al extranjero: Ibid., pág. 42 y ss. 21. Ibid., pág. 54. 22.En el contexto de tal cambio de circunstancias, menciona dos casos prototípicos de la flexibilidad y adaptabilidad del hawk: la tendencia al pluriempleo (moonlighters) y las tensiones entre el control y el fomento de la creatividad de los trabajadores para evitar que se vayan a la competencia (breakaways). Ibid., pág. 61 y ss. 23.Ibid., pág. 65. Así, si se implementan mecanismos para prevenir que una dependienta de un supermercado no cometa pequeñas sustracciones de la caja registradora, esa medida no alterará la forma de trabajar de este tipo de trabajadores. 24.Ibid., pág. 31. IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose José R. Agustina 21 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp refiere a aquellos tipos de trabajo que ofrecen una considerable autonomía y libertad de movimientos, pero en los que tal libertad está sujeta a un control burocrático por clases que lleva a uniformizar a los trabajadores, y los clasifica en distintas unidades y, por tanto, generan un sentimiento colectivo. Los trabajadores se sienten miembros de un grupo junto a sus compañeros de trabajo para algunos propósitos determinados, mientras que actúan de forma individualista y movidos por la competitividad en otros (vultures). No gozan de la libertad de los hawks, ni del encorsetamiento asfixiante que atenaza a los donkeys. Su pertenencia al grupo no tiene los efectos intrusivos y controladores propios de una manada de lobos (wolves). Entre tales tipos de trabajo se encuentran los agentes comerciales o los representantes de negocios. Los repartidores ejemplifican bien el grado de unidad en las condiciones laborales y las tareas profesionales, y en la discrecionalidad y la considerable libertad de cada miembro en el día a día de su trabajo.25 Como conclusión, se puede afirmar, en líneas generales, que el conocimiento de la psicología individual y colectiva en torno a cada tipo de trabajo resulta de utilidad para definir las estrategias de prevención y adaptar el necesario control a las características y circunstancias particulares; así se encuentra el punto de equilibrio entre confianza y control. Aunque no se puedan establecer reglas generales que definan el modo en que interaccionan (cuando menos, a efectos criminológicos) los rasgos personales y las características del entorno laboral, se puede tratar de identificar algunos nexos de unión entre tipos de trabajo y características de los delitos más comunes, sus condiciones y lugares de ejecución (fiddle factors and fiddle-proneness).26 Así, el empresario debería conocer ex ante con mayor profundidad la potencialidad delictiva del entorno en que coloca a cada trabajador. Ciertamente, desde el punto de vista jurídico-penal será difícil que pueda asumir parte de responsabilidad si puso su confianza en una persona que no la merecía (culpa in eligendo), o si al otorgarle sus funciones y capacidades (tal vez por un exceso de confianza) omitió un sistema de vigilancia o de reducción de las oportunidades delictivas (culpa in vigilando). Sin embargo, la relevancia penal no es el único análisis posible respecto de una negligente estrategia preventiva. ¿Cómo prevenir conductas abusivas y delitos tecnológicos en la empresa? 5.6. A propósito de la opacidad de lo que ocurre en el interior de la empresa El trabajo de James W. Williams ayuda a comprender cómo una de las primeras razones que aducen los ejecutivos empresariales para dejar de denunciar a la policía casos relativos a irregularidades financieras es que pierden el control sobre el problema y sacrifican, de esta manera, algunos de los bienes más altamente valorados por las empresas: la discreción, la confidencialidad y el control (secrecy, discretion and control). La importancia del control de la situación por parte de la empresa en tales casos pivota sobre tres cuestiones relacionadas entre sí: a) Efectos en la imagen corporativa La primera, y tal vez la más importante, se refiere a los efectos en la imagen de la empresa derivados de la publicidad del caso (dimensión corporativa). Tal y como apunta Williams, los directivos desean evitar a toda costa la embarazosa situación y la publicidad negativa como consecuencia de este tipo de incidentes. Si estos trascienden y llegan a ser de conocimiento público, las acusaciones de fraude podrían tener efectos devastadores en la reputación y en el valor bursátil de la compañía. Esta apreciación es especialmente certera si el núcleo del negocio de la empresa depende de la confianza pública relativa a la integridad de los mecanismos de control y sistemas de dirección, como es el caso del sector bancario y de las compañías de seguros, o si puede dar lugar a una sospecha en cuanto a la complicidad corporativa en el incidente. En este sentido, el problema de acudir a la policía (incluso en el mejor de los escenarios posibles) es que la empresa pierde el control sobre la medida en que el asunto llega a convertirse en un conocimiento público. Por el contrario, es precisamente la preservación del secreto y la confidencialidad, así como la capacidad de limitar la visibilidad pública de un incidente, lo que proporciona a la investigación privada (FACI) una ventaja estratégica y un factor clave.27 b) Efectos en la dimensión personal La segunda razón aducida por Williams se refiere a que los directivos no solo quieren tener la capacidad de controlar si el caso se hace público y en qué manera para no deteriorar la imagen de la empresa, sino que también desean determinar qué aspectos del caso exactamente van a ser investigados (dimensión personal). Este hecho aporta un valor añadido 25.Ibid., págs. 32-33. 26.Ibid., pág. 136 y ss. 27. J. W. Williams (2005). IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose José R. Agustina 22 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp de gran importancia, sin duda carente de legitimidad, ya que al acudir a los servicios de una empresa privada (FACI) se garantiza que las líneas de investigación de posibles responsabilidades personales u organizacionales derivadas de un supuesto fraude pueden ser llevadas a cabo de forma restrictiva, con la finalidad de limitar la responsabilidad de otras personas potencialmente implicadas o de la compañía en su conjunto. Este factor es especialmente relevante para los directivos del más alto nivel, en tanto que podrían tener que someterse a formas adicionales de registro y control si las pesquisas en la investigación del respectivo fraude acaban conduciendo a los investigadores «hasta la puerta de su propio despacho».28 c) Efectos imprevisibles derivados Un tercer aspecto nada despreciable relacionado con el control de la situación es la misma imprevisibilidad de las consecuencias como resultado de una investigación oficial. En el momento en que la policía inicia una investigación en el interior de la empresa, pueden aflorar otras prácticas irregulares no del todo relacionadas con el caso: anteriores tramas delictivas vinculadas tan solo tangencialmente o de forma secundaria a la investigación principal.29 En la medida en que la policía tiene el derecho y la autoridad para investigar, en ese contexto, cualquier faceta relacionada con la actividad empresarial, el alcance de la investigación policial puede descubrir y desvelar también irregularidades no conocidas por la misma dirección de la empresa, o prácticas bien conocidas pero de las que se ignoraba su ilicitud. 6. Conclusiones y sugerencias para futuras investigaciones Del análisis anterior, y con las obvias limitaciones derivadas del número de respuestas obtenidas, entendemos que se puede llegar a varias conclusiones. La más importante es, sin duda, que las empresas no están aprovechando el margen legal que la reciente jurisprudencia del Tribunal Supremo les concede para controlar el uso de las nuevas tecnologías en la empresa. Como hemos visto, existen todavía empresas de gran tamaño que no disponen de política de uso, cosa que impide ¿Cómo prevenir conductas abusivas y delitos tecnológicos en la empresa? en buena medida la posibilidad de llevar a cabo un control razonable del uso de los medios informáticos proporcionados a los trabajadores. Por otro lado, la inmensa mayoría de las empresas que disponen de esa política de uso no han implementado mecanismos técnicos de prevención ni sancionan debidamente la infracción. En este contexto, sorprende que un 44% de las empresas encuestadas consideren que detectan prácticamente todos o la mayoría de los incumplimientos que se producen en la empresa. Estos resultados se podrían explicar porque la mayoría de las empresas continúan pensando que el daño que se les puede ocasionar por el mal uso de los sistemas de información por parte de los empleados es bajo. Más concretamente, la mayoría de las empresas españolas trabajarían sobre la base de que el único daño al que están expuestas por este motivo es a una bajada de la productividad de determinados empleados. Si la empresa trabaja sobre estas premisas, es probable que tenga la sensación de que controla la mayoría de las infracciones, no porque disponga de los medios técnicos necesarios (de los que efectivamente no dispone), sino porque percibiría una bajada de rendimiento del trabajador por otros medios e identificaría el mal uso de los sistemas de información como causa de esa bajada. Sin embargo, de acuerdo con estas mismas empresas, «solo» un 47% de los daños consisten en la reducción del rendimiento laboral del trabajador, dividiéndose el 53% restante entre daños materiales o a la propiedad intelectual, industrial o know-how, entre otros. Llevando a cabo una visión de conjunto, entendemos que hay que llegar a la conclusión de que un número significativo de empresas encuestadas (el citado 44% de empresas que consideraban que detectan prácticamente todos o la mayoría de los incumplimientos) no han hecho un estudio riguroso de los riesgos a los que están expuestas como consecuencia del uso de los sistemas de información por parte de los empleados. Esta conclusión se puede generalizar todavía más si sumamos a aquellas empresas que consideran que han detectado solo los casos más graves, teniendo en cuenta que de forma 28.Ibid., pág. 328. A este respecto, es especialmente ilustrativa la estrategia seguida en el control de los tiempos y de las formas en el reciente caso Société Générale, a la luz de las noticias aparecidas en la prensa (véase al respecto la noticia publicada en La Vanguardia el 24 de enero de 2008). 29.«The problem is when you start with the police you have no control» (cfr. Former Police Officer 5: 6-7). Si se tratara de una investigación o consultoría privada, el alcance de las pesquisas se limitaría por la misma causa por la que se han contratado los servicios (Ibid., 45, pág. 328). IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose José R. Agustina 23 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp ¿Cómo prevenir conductas abusivas y delitos tecnológicos en la empresa? Quizás es todavía más importante llamar la atención sobre la falta de sensibilidad frente a la posibilidad de incurrir en otro tipo de daños inmateriales. Sin entrar en detalles sobre la diferente casuística, parece evidente que los daños por perder a un cliente, no ganar un contrato o, ya en casos más extremos, divulgar determinada tecnología deben superar ampliamente a los que se puedan derivar de una reducción de la productividad del trabajador. mayoritaria las empresas encuestadas han valorado los daños causados por cada incidente en menos de tres mil euros. Así, un 74% de las empresas encuestadas consideran que detectan, como mínimo, los casos más graves, que en ningún caso superan los tres mil euros por incidente. En nuestra opinión, lo que las respuestas ponen de manifiesto es una falta de análisis profundo de los riesgos asociados al uso de las nuevas tecnologías. Esta falta de análisis no se debería a un desconocimiento de los riesgos en sí, sino a una indebida (posiblemente inexistente) evaluación de los daños que se podrían producir. Es esta falta de conciencia de los daños que se han producido y de los que se pueden producir la que, a nuestro entender, está condicionando el tratamiento preventivo y reactivo de las empresas. Es evidente que la evaluación de muchos de los activos inmateriales de las empresas es una asignatura pendiente, y no es la menor de las razones para esto la dificultad intrínseca de este ejercicio. Sin embargo, a diferencia de otros ámbitos (como en el contable o el fiscal), la aplicación de medidas de control en el uso de los sistemas de información no requiere de una valoración detallada, pero sí de un ejercicio de priorización y sensibilización, sin el cual las empresas se instalarán en la falsa sensación de tener controlado el riesgo. La aplicación de un sistema de control de los sistemas de información debe partir de una análisis de lo que la empresa desea proteger por considerarlo más valioso. En determinados sectores, es posible que lo que tenga más valor en la empresa sea el tiempo de los empleados. Sin embargo, hemos podido observar que en apenas un 10% de los casos se discrimina el control por salario o por posición jerárquica. En el mismo sentido, si el gran valor de la empresa fuesen sus empleados, tendría sentido diferenciar el control ejercido sobre aquellas posiciones cuya retribución va en mayor medida ligada a resultados concretos, del que se debería ejercer sobre empleados con salarios fijos proporcionalmente más importantes. A la vista del estudio realizado y de las conclusiones que se acaban de exponer, sintetizamos en el siguiente cuadro las principales orientaciones prácticas que deberían implementar las empresas para el buen gobierno de las TIC. Decálogo para empresas: orientaciones prácticas para el buen gobierno de las TIC 1. Evalúe adecuadamente los distintos tipos de daños que se le pueden ocasionar a la empresa a través de los sistemas de información. 2. Delimite claramente el ámbito de lo permitido. 3. Distinga adecuadamente las necesidades de control de cada tipo de trabajador y cada tipo de riesgo. 4. Supervise periódicamente las e-policies, y establezca sanciones o medidas efectivas. 5. A ctualice las e-policies en función de los incidentes producidos. 6. D isponga de instrumentos técnicos necesarios para detectar los incumplimientos y establezca protocolos de actuación. 7. E valúe adecuadamente las estrategias de reacción. 8. En todo el proceso, mantenga el debido asesoramiento jurídico. 9. Informe periódicamente a los trabajadores del impacto económico de los incumplimientos habidos. 10. Demuestre con hechos que las políticas de control no están reñidas con unas relaciones laborales basadas en la confianza, pero también en la responsabilidad. IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose José R. Agustina 24 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp ¿Cómo prevenir conductas abusivas y delitos tecnológicos en la empresa? Bibliografía AGUSTINA, J. R. (2009a). El delito en la empresa. Barcelona: Atelier. AGUSTINA, J. R. (2009b). El delito de descubrimiento y revelación de secretos en su aplicación al control del correo electrónico del trabajador. Madrid: La Ley. AGUSTINA, J. R. (2009c). «Expectativa de privacidad en el correo electrónico laboral y prevención del delito (Reflexiones en torno a la Sentencia del Tribunal Supremo de 26 de septiembre de 2007)». La ley penal: revista de derecho penal, procesal y penitenciario. N.º 63. AGUSTINA, J. R. (2009d). «El factor confianza y la lógica del control en la empresa: algunas reflexiones ético-jurídicas a propósito de las estrategias de prevención del delito de los trabajadores». Revista Empresa y Humanismo, XII. N.º 2, págs. 13-60. AGUSTINA, J. R. (2010). «Fenomenología del “employee crime”: bases para definir estrategias de prevención del delito intraempresarial». Política Criminal. Revista Electrónica Semestral de Políticas Públicas en Materias Penales, 5. N.º 10, págs. 352-409. BAYLOS GRAU, A.; TERRADILLOS BASOCO, J. (1997). Derecho penal del trabajo. (2.ª ed.) Madrid: Trotta. BUSSMANN, K. D. (2003). «Causes of Economic Crime and the Impact of Values: Business Ethics as a Crime Prevention Measure». En: Swiss Conference on Coping with Economic Crime. Zúrich: Risks and Strategies. FRIEDRICHS, D. O. (2002). «Occupational crime, occupational deviance, and workplace crime: Sorting out the difference». Criminal Justice. Vol. 2, n.º 3, págs. 243-256. GREEN, G. S. (1997). Occupational Crime (2. ed.). Chicago: Nelson Hall. BLOUNT, E. C. (2003). Occupational Crime. Deterrence, Investigation, and Reporting in Compliance with Federal Guidelines. Nueva York: CRC Press. MARS, G. (1982). Cheats at Work. An Anthropology of Workplace Crime. Londres-Boston: Allen & Unwin. PRICE WATERHOUSE COOPER’S 4TH BIENNIAL GLOBAL ECONOMIC CRIME SURVEY (2007). Economic crime: people, culture and controls. SÁNCHEZ ÁLVAREZ, M. (1986). Los delitos societarios. Pamplona: Aranzadi. SNIDER, L. (2001). «Crimes against capital: Discovering theft of time». Social Justice. Vol. 28, n.º 3, págs. 105-120. SOLIVETTI, L. M. (1987). «La criminalità di impresa: alcuni commenti sul problema delle cause». Sociologia del Diritto, Nº 1, pág. 65. SUTHERLAND, E. H. (1939). Principles of Criminology. Nueva York: Rowman & Littlefield. WECKERT, J. (2002). «Trust, corruption, and surveillance in the electronic workplace». En Klaus Brunnstein and Jacques Berleur (eds.), Human Choice and Computers: Issues of Choice and Quality of Life in the Information Society, Kluwer, Boston, 17th IFIP World Computer Congress, Montreal. Págs. 109-120. WILLIAMS, J. W. (2005). Reflections on the private versus public policing of economic crime. British Journal of Criminology, 45. Págs. 327–328.> IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose José R. Agustina 25 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp ¿Cómo prevenir conductas abusivas y delitos tecnológicos en la empresa? Cita recomendada AGUSTINA, JOSE R. (2013). «¿Cómo prevenir conductas abusivas y delitos tecnológicos en la empresa?». IDP. Revista de Internet, Derecho y Política. Número 16, pág. 7-26. UOC. [Fecha de consulta: dd/mm/aa] <http://idp.uoc.edu/ojs/index.php/idp/article/view/n16-agustina/n16-agustina> DOI: http://10.7238/idp.v0i16.1806 Los textos publicados en esta revista están –si no se indica lo contrario– bajo una licencia Reconocimiento-Sin obras derivadas 3.0 España de Creative Commons. Puede copiarlos, distribuirlos y comunicarlos públicamente siempre que cite su autor y la revista y la institución que los publica (IDP. Revista de Internet, Derecho y Política; UOC); no haga con ellos obras derivadas. La licencia completa se puede consultar en http://creativecommons.org/ licenses/by-nd/3.0/es/deed.es. Sobre el autor Jose R. Agustina jragustina@uic.es Profesor contratado doctor de la Universitat Internacional de Catalunya http://www.uic.es/es/es/personal-page?id_user=jragustina Facultad de Ciencias Jurídicas y Políticas Universitat Internacional de Catalunya C/ Immaculada, 22 08017 Barcelona IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose José R. Agustina 26 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp ARTÍCULO Las redes sociales a la luz de la propuesta de reglamento general de protección de datos personales.1 Parte dos Antonio Troncoso Reigada Profesor titular de Derecho Constitucional de la Universidad de Cádiz Fecha de recepción: octubre de 2012 Fecha de aceptación: octubre de 2012 Fecha de publicación: junio de 2013 Resumen El estudio analiza los tratamientos de datos personales que llevan a cabo las empresas que prestan servicios de red social, teniendo en cuenta el nuevo marco jurídico que supone la propuesta de Reglamento general de protección de datos personales de la Unión Europea, que ha presentado en enero de 2012 la Comisión. El estudio analiza a quién le corresponde la responsabilidad del tratamiento y la aplicación de la excepción de las actividades personales o domésticas. Se abordan las dificultades para aplicar la Directiva 95/46/CE a las corporaciones internacionales que tienen su sede fuera de la Unión Europea y la regulación que en este punto hace la propuesta de Reglamento general de protección de datos personales. Igualmente se analiza la información, el consentimiento del interesado para el tratamiento y para las cesiones, el principio de calidad en el servicio de red social, la conservación de la información, las medidas de seguridad y los derechos de las personas, en especial el derecho al olvido en internet a la luz de la propuesta de Reglamento general de protección de datos personales. 1.Este texto recoge mis intervenciones en el VIII Congreso Internet, Derecho y Política, organizado por la Universitat Oberta de Catalunya y dedicado a «Retos y oportunidades del entretenimiento en línea», y en el Curso de Verano de la Universidad Complutense de Madrid-San Lorenzo de El Escorial sobre «Policía 3.0: Redes sociales en la nueva dimensión de la seguridad», organizado por la Dirección General de la Policía del Ministerio del Interior, ambos celebrados en julio de 2012. Una primera reflexión sobre las redes sociales la realicé en la Conferencia Europea de Protección de Datos, celebrada en Edimburgo el 24 de abril de 2009, y en el Seminario «Privacidad del menor en las redes sociales», organizado por la Fundación Solventia y el Colegio de Abogados de Madrid en junio de 2009. Este trabajo se enmarca dentro del proyecto de investigación «Transparencia administrativa y protección de datos personales» –DER2012-39629– del Ministerio de Economía y Competitividad. IDP Número 16 (Junio, 2013) I ISSN 1699-8154 Eloi EloiPuig PuigTroncoso Reigada Antonio 27 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Las redes sociales a la luz de la propuesta de reglamento general… Parte dos Palabras clave redes sociales, derecho a la protección de datos personales, derecho a la privacidad, Reglamento general de protección de datos Tema social networking services, redes sociales Social networks in light of the General Data Protection Regulation proposal. Part 2 Abstract This paper examines how personal data is processed by companies offering social network services in the context of the new legal framework entailed in the EU’s proposal for the General Data Protection Regulation presented by the European Commission in January 2012. The paper examines who is responsible for data processing and applying the exclusion of personal or domestic activities. An attempt is made to dissect the difficulties in applying Directive 95/46/CE to International Corporations based outside of the EU and how the proposal for the General Data Protection Regulation aims to regulate this matter. The data, the consent of interested parties for data processing and transfers, the principle of quality in social network services, data storage, security measures and the rights of individuals, in particular, the right to be forgotten on the Internet, are analysed in the context of the proposal for the General Data Protection Regulation. Keywords social networks, right to protection of personal data, right to privacy, General Data Protection Regulation Subject social networking services, social networks IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Antonio R. Agustina Troncoso Reigada 28 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp (continuación) 4. El principio de calidad en el servicio de red social, la conservación de la información y las medidas de seguridad. Las obligaciones que la propuesta de Reglamento general de protección de datos personales fija al responsable del tratamiento: los privacy impact assessment (PIA) Las redes sociales deben cumplir el principio de calidad como principio de finalidad –art. 4 de la LOPD–. Estas plantean riesgos potenciales de utilización de la información para otras finalidades –por ejemplo, para el marketing personalizado–, lo que no puede hacerse sin la información y el consentimiento del interesado. No siempre es fácil evitar los tratamientos de datos personales excesivos, sobre todo cuando el interesado es el que quiere y decide que aparezcan en su perfil personal. En todo caso, como hemos señalado, el servicio de red social no debe exigir ningún dato personal excesivo en la solicitud de inscripción en la red social, y debe indicar claramente qué datos son obligatorios y cuáles facultativos. La información en la red social frecuentemente no se encuentra actualizada –porque el usuario no lo hace–. Es importante que los datos personales sean cancelados cuando hayan dejado de ser necesarios, lo que impone un conjunto de obligaciones al proveedor del servicio en relación con la conservación de la información. La conservación de las copias por un tiempo indeterminado no es aceptable.2 Como regla general, el responsable de la red social no puede conservar copias archivadas de los perfiles de los usuarios que han abandonado la red social para sus propias finalidades y mucho menos por un tiempo indeterminado. Igualmente, Las redes sociales a la luz de la propuesta de reglamento general… Parte dos la información suprimida por el usuario al actualizar su página personal no debe conservarse por el proveedor de servicio de red social para sus propios fines. En esta dirección, algunas exigencias incluidas en el Dictamen 5/2009 del Grupo de Trabajo del Artículo 29 que establecen límites a la conservación de la información por las redes sociales en supuestos de no utilización del servicio por el usuario van encaminadas a facilitar el control de la propia información personal.3 Por ello, los responsables de las redes sociales solo están facultados para conservar esta información bloqueada durante el tiempo necesario para la persecución de infracciones penales o administrativas; más allá de este plazo la información debe ser suprimida. Existen supuestos donde el responsable de la red social conserva alguna información de los usuarios que han abandonado la red social como instrumento de autorregulación. Así, el Dictamen 5/2009 antes citado señala que algunos servicios de red social conservan los datos de identificación de los usuarios suspendidos del servicio, con el fin de garantizar que ya no podrán registrarse de nuevo, y debe informarse al interesado de que se realiza este tratamiento. Para el Grupo de Trabajo del Artículo 29, la única información que puede conservarse es la información de identificación y no las razones por las que se suspendió a estas personas y esta información no deberá conservarse durante más de un año. Sin embargo, este planteamiento supone un límite a las facultades de autorregulación –que también pueden garantizar el derecho fundamental a la protección de datos personales–, además de no dejar de ser un supuesto de conservación de la información «para los fines para los que fueron recogidos» –art. 6.1 de la Directiva 95/46/CE– entre los que estaría la propia autorregulación. No parece razonable exigir unas obligaciones de mantener limpia la red social al proveedor del servicio al mismo tiempo que se dificulta la penalización de las conductas infractoras o su persecución en el futuro. La regulación que la propuesta de Reglamento general de protección de datos personales hace de los principios relativos al tratamiento de datos personales y que se desarrolla 2.El Grupo de Trabajo del Artículo 29, en su Dictamen 1/2008 sobre cuestiones de protección de datos relacionadas con motores de búsqueda, emitido el 4 de abril de 2008, señala que la retención de datos personales por estos no debía superar los seis meses. Esta es una cuestión que hemos analizado en «Transparencia administrativa y protección de datos personales», loc. cit. págs. 67-75. 3.Así, se señala que cuando un usuario no utiliza el servicio durante un período determinado, el perfil debería desactivarse, dejando de ser visible para otros usuarios o para el exterior, y, después de otro periodo, los datos de la cuenta abandonada deberían suprimirse. En todo caso, los servicios de redes sociales antes de proceder a esta cancelación deben informar a los usuarios a través de los medios de que dispongan. Otro caso distinto es que los datos personales comunicados por un usuario cuando se registra en un servicio de red social deban suprimirse en cuanto el usuario o el proveedor de servicios de red social decidan suprimir la cuenta. IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Antonio R. Agustina Troncoso Reigada 29 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp en el capítulo II –arts. 5-10– no aporta una especial novedad,4 tampoco en lo que respecta al principio de calidad y de finalidad. En todo caso, precisa el principio de prohibición de exceso –un principio de minimización de datos, en términos de la Comisión–, que obliga a que «los datos sean limitados al mínimo necesario en relación a los fines para los que se traten» y «solo se tratarán si y siempre que estos fines no pudieran alcanzarse mediante el tratamiento de información que no implique datos personales» –art. 5.c) de la propuesta de Reglamento–.5 De esta forma, los prestadores de servicios de internet como las redes sociales tienen la obligación de limitar la recogida de datos al mínimo necesario.6 La propuesta de Reglamento sí fija un conjunto de obligaciones al responsable del tratamiento –capítulo IV, arts. 22 al 37–, que no estaban en la Directiva 95/46/CE y que son aplicables a los servicios de red social, como la documentación del respeto a los principios y derechos en el tratamiento de datos personales,7 el cumplimiento de requisitos en materia de autorización o consultas previas con la autoridad de control o la realización de una auditoría independiente externa o interna de la observancia de la normativa y no limitada a las medidas de seguridad. La propuesta de Reglamento introduce como obligación del responsable la realización con carácter previo de una evaluación de impacto relativa a la protección de datos –los privacy impact assessment (PIA)–, cuando los tratamientos entrañen riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance o fines –art. 33–, y se establece incluso en estos supuestos la necesidad de que el responsable o el encargado obtenga con carácter previo al tratamiento de estos datos una autorización o lleve a cabo una consulta a la autoridad de control –art. 34–. La evaluación de impacto sería necesaria porque los servicios de red social llevan a Las redes sociales a la luz de la propuesta de reglamento general… Parte dos cabo un tratamiento a gran escala de datos de aficiones, de datos especialmente protegidos –de vida sexual o de salud cuando los incluye el usuario–, de menores y suponen una evaluación indirecta de aspectos personales o de las preferencias personales de los usuarios, sin perjuicio de que los servicios de red social no vayan a tomar medidas que produzcan efectos jurídicos o afecten significativamente a las personas.8 La propuesta de Reglamento incluye también la obligación de designar un delegado de protección de datos personales –data protection officer– con la función de velar por el cumplimiento de la normativa de protección de datos personales en el ámbito interno del responsable cuando la actividad principal del responsable consista en operaciones de tratamiento que, en razón de su naturaleza, alcance o fines requieran un seguimiento periódico y sistemático de los interesados –art. 35.1.c)–, algo que se aplica a las empresas que prestan servicios de red social. La Directiva 95/46/CE dejaba un amplio margen de maniobra a los Estados a la hora de implementar la seguridad de los tratamientos de datos personales. La propuesta de Reglamento regula la seguridad entre las obligaciones del responsable y del encargado del tratamiento. Una de las novedades que presenta la regulación de la seguridad de los datos en la propuesta de Reglamento es la necesidad de realizar una evaluación de riesgos, que permita adoptar las medidas para proteger los datos contra su destrucción accidental o ilícita, su pérdida accidental o cualquier tratamiento ilícito como la comunicación, la difusión, el acceso no autorizado o la alteración de los datos personales. Existe una preocupación específica no solo por impedir cualquier acceso no autorizado sino también por evitar cualquier forma no autorizada de comunicación, lectura o copia. Además, se establece la obligación de notificación de la 4.De hecho, el considerando 7 de la Propuesta de Reglamento, recogiendo el parecer de las consultas previas a las partes interesadas, señala que los principios generales de la Directiva 95/46/CE «siguen siendo válidos y actuales». 5.Estos criterios también se aplican a los tratamientos para fines de investigación histórica, estadística o científica –art. 83 de la propuesta de Reglamento–. El principio de calidad como principio de prohibición de exceso lo hemos analizado en «El principio de calidad de los datos», A. Troncoso Reigada (dir.), Comentario a la Ley Orgánica de Protección de Datos de Carácter Personal, cit. págs. 344-360. 6.De hecho, la propuesta de Reglamento establece como novedad que el responsable del tratamiento no está obligado a obtener información adicional para identificar al interesado con la única finalidad de cumplir las disposiciones del Reglamento –art. 10. 7.Establece que el responsable del tratamiento de datos «para cada operación de tratamiento, garantizará y demostrará el cumplimiento de las disposiciones del presente Reglamento» –art. 5.f)–, lo que transforma las obligaciones del responsable del capítulo IV en un principio general de responsabilidad. 8.La exposición de motivos de la propuesta de Reglamento prevé que la evaluación de impacto abarque aplicaciones o plataformas comunes de tratamiento o cuando se plantee introducir una aplicación o un entorno de tratamiento común en un sector para una actividad horizontal de uso generalizado –considerando 72–. Este informe de evaluación de impacto en la privacidad debe contener la descripción general del tratamiento, los riesgos para los derechos y libertades de los interesados y las medidas contempladas para hacer frente a los riesgos y para garantizar el cumplimiento de la normativa y el respeto de los derechos e intereses legítimos de las personas afectadas. IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Antonio R. Agustina Troncoso Reigada 30 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Las redes sociales a la luz de la propuesta de reglamento general… Parte dos violación de los datos personales a la autoridad de control y su comunicación al interesado –arts. 31-32–, más conocida por brechas de seguridad –las llamadas «BCR»–. La propuesta de Reglamento no incluye una referencia a niveles de seguridad ni tampoco un conjunto de medidas de seguridad que se deban implementar sino que, al igual que el artículo 9 de la LOPD que prevé su desarrollo reglamentario, y a diferencia de la Directiva, faculta a la Comisión para realizar los actos normativos necesarios para especificar las medidas técnicas y organizativas, lo que incluye la referencia a sectores específicos y situaciones de tratamiento de datos específicas –entre los que están, sin duda, los servicios de red social–, teniendo en cuenta no solo la evolución de la tecnología, sino también las soluciones de privacidad desde el diseño y la protección de datos por defecto. Hasta que entre en vigor la propuesta de Reglamento y su desarrollo normativo, las redes sociales tienen que implantar las medidas de seguridad establecidas en las legislaciones nacionales, en virtud de la tipología de datos personales sometidos a tratamiento, algo especialmente importante en nuestro país ya que desde el año 1999 la normativa obliga a establecer unas concretas medidas de seguridad –artículo 9 de la LOPD, desarrollado primero por el Real Decreto 994/1999, de 11 de junio, ya derogado, y ahora por el Real Decreto 1720/2007, de 21 de diciembre–. Inicialmente puede parecer que las redes sociales deben adoptar medidas de seguridad de nivel medio ya que son tratamientos que ofrecen un perfil de las personas y permiten evaluar aspectos de su personalidad. Sin embargo, a nuestro juicio es necesario implantar medidas de seguridad de nivel alto ya que en muchas ocasiones se tratan datos de origen racial, ideología, orientación sexual, lo que implicaría, entre otras cosas, la existencia de un registro de accesos y la encriptación de las comunicaciones. Hay que señalar que la voluntad del titular de los datos de compartir una determinada información con un círculo de personas significa la determinación de excluir al resto de los miembros de la red social del conocimiento de esta información, lo que obliga a establecer herramientas que garanticen esta confidencialidad. Evitar los accesos indebidos a la información de los perfiles debe constituir una de las principales preocupaciones de las redes sociales. En todos los ámbitos de la sociedad de la información –comercio electrónico, administración electrónica, redes sociales virtuales–, la seguridad de la información es un elemento esencial para la confianza de los usuarios y para el desarrollo de la economía digital. 5. Los derechos de las personas y las vías de reclamación. El derecho al olvido en internet y a la portabilidad de los datos en la propuesta de Reglamento general de protección de datos personales. La protección de los menores. La autorregulación El derecho de acceso permite al interesado conocer sus datos personales sometidos a tratamiento, el origen de ellos y las comunicaciones realizadas o que se prevé hacer a terceras personas –art. 15 de la LOPD–. Igualmente, el interesado tiene derecho a rectificar sus datos si son inexactos o incompletos y a cancelarlos –art. 16 de la LOPD–. El titular de los datos también puede revocar el consentimiento para el tratamiento, así como ejercer el derecho de oposición –art. 6 de la LOPD–, notificándoselo al responsable. En especial, los responsables de los servicios de red social tienen que respetar el ejercicio del derecho de cancelación cuando los usuarios desean hacer desaparecer parte de la información que han publicado en su perfil personal o darse de baja de la propia red social,9 sin perjuicio de las obligaciones de bloqueo que tiene el responsable o de la necesidad de conservar determinada información a efectos de autorregulación, como antes hemos señalado. También el responsable del servicio de red social tiene que respetar el derecho de oposición del usuario a determinados tratamientos de datos personales –por ejemplo, para finalidades comerciales, o cuando desea modificar el nivel de acceso a su perfil personal para restringirlo o para impedir la indexación por los buscadores–. Lógicamente, el ejercicio de estos derechos no se limita a los usuarios de la red social sino también a todas las personas cuyos datos personales son sometidos a tratamiento, entre los que pueden estar personas que 9.El responsable del servicio de red social debe resolver la solicitud de cancelación y hacerla efectiva en un plazo máximo de diez días a contar desde su recepción. Transcurrido este plazo sin que se responda a la petición de manera expresa, esta puede entenderse desestimada. En el caso de que el responsable no disponga de datos de carácter personal del afectado deberá igualmente comunicárselo en el mismo plazo –art. 32 del RPDP. IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Antonio R. Agustina Troncoso Reigada 31 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp no son miembros de la red social. Los responsables de los servicios de red social no deben limitarse a garantizar estos derechos sino que deben facilitar su ejercicio, aunque no sea a través del procedimiento previsto expresamente por el responsable –incluso a través de los servicios de atención al público y de reclamaciones–, adoptando las medidas oportunas para que todas las personas de su organización informen al interesado del procedimiento que ha de seguir para ejercer sus derechos –art. 24 del RPDP–. Así, como señala el Dictamen 5/2009, del Grupo de Trabajo del Artículo 29, «como mínimo, en la página inicial de los SRS debería figurar un enlace hacia una oficina de reclamaciones, tanto para miembros como para no miembros, que cubra cuestiones de protección de datos». Lógicamente, el ejercicio de estos derechos de acceso, rectificación, cancelación y oposición se realiza ante el responsable del tratamiento, que serán las empresas proveedoras del servicio de red social,10 no ante el resto de usuarios de la red social, salvo que estos tengan también el carácter de responsables del tratamiento. Sin embargo, como ya hemos señalado, en muchas ocasiones el interesado detecta el tratamiento de sus datos personales –por ejemplo, su fotografía– por parte de otros usuarios sin su consentimiento. Las redes sociales tienen procedimientos de denuncia para oponerse al tratamiento de datos personales por parte de otros usuarios.11 Si bien estos tratamientos se encuentran excluidos del ámbito de aplicación de la LOPD al tratarse de ficheros personales o domésticos, los usuarios deben respetar en todo caso los derechos a la intimidad, al honor o a la propia imagen de otras personas. Comentarios de naturaleza injuriosa o calumniosa sobre la vida profesional, publicación de fotografías íntimas, creación de perfiles falsos, por poner solo algunos ejemplos, pueden ser delitos o faltas tipificados en el Código Penal –arts. 205 y 208–12 o dar lugar a una responsabilidad civil por vulneración del derecho al honor, a la intimidad personal y familiar y a la propia imagen, desarrollados en la Ley Orgánica 1/1982, de 5 Las redes sociales a la luz de la propuesta de reglamento general… Parte dos de mayo. En todo caso, hay que señalar que los titulares de redes sociales tienen una gran dificultad técnica para llevar a cabo una cancelación efectiva de los datos personales. Así, si bien las redes permiten dar de baja el perfil o borrar parte de la información, persisten en los perfiles de los demás usuarios los comentarios, los mensajes cruzados o los etiquetados de fotografías, por lo que la cancelación de datos personales es difícil de implementar. El principio de transparencia que introduce la propuesta de Reglamento general de protección de datos personales –la obligación del responsable de ofrecer una información transparente y de fácil acceso y comprensión– tiene consecuencias en el ejercicio del derecho de acceso, también en el ámbito de las redes sociales. Cuando el interesado solicite el ejercicio del derecho de acceso, el responsable tendrá ahora que facilitar información sobre el plazo durante el cual se conservarán los datos personales –plazo para la supresión que también está sometido a una obligación de documentación en virtud del art. 28.2.g)– y el derecho a presentar una reclamación ante la autoridad de control. La propuesta de Reglamento también mejora el ejercicio de los derechos de acceso, rectificación y cancelación de datos personales en el ámbito europeo, fijando plazos de respuesta a las peticiones de las personas afectadas, autorizando el ejercicio de estos derechos por vía electrónica y obligando a motivar las denegaciones –arts. 11-15–.13 La propuesta de Reglamento general de protección de datos personales se preocupa específicamente de dar respuesta a algunos problemas que tienen los interesados para el control de sus datos personales frente a los tratamientos que llevan a cabo empresas que prestan servicios en internet, como los servicios de redes sociales. Así, ante las dificultades que tienen los interesados para suprimir o para recuperar sus datos personales, se reconoce expresamente el derecho al olvido en internet y el derecho a la portabilidad de los datos –arts. 17 y 18–.14 Se atribuye al interesado el derecho a que el responsable suprima los datos personales que le 10.Las dificultades que plantea la cancelación de la información personal en internet han sido analizadas en «Transparencia administrativa y protección de datos personales», loc. cit. págs. 67-75. 11.Basta que el afectado se oponga a la publicación de su dato personal para que esta deba ser cancelada. 12.La Policía dispone de una unidad de delitos tecnológicos que sigue los rastros que estas conductas dejan en internet. Cfr. Presente y futuro de la seguridad en la sociedad de la información, Fundación Policía Española 2004, págs. 101-159. 13.Tanto la información como el ejercicio de los derechos son gratuitos, salvo que la solicitud sea tan claramente excesiva por su carácter repetitivo, que justifique, en su caso, la aplicación de una tasa, en cuyo caso el responsable asume la carga de la prueba de la demostración del carácter excesivo de la solicitud. 14.El derecho al olvido en internet es una cuestión que hemos analizado recientemente en «Hacia un nuevo marco jurídico europeo de protección de datos personales», cit. IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Antonio R. Agustina Troncoso Reigada 32 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Las redes sociales a la luz de la propuesta de reglamento general… Parte dos electrónica en un formato estructurado y comúnmente utilizado –también cuando el interesado los haya facilitado con su consentimiento y en virtud de un contrato–, el interesado tiene derecho a obtener del responsable una copia de los datos en un formato electrónico que le permita seguir utilizándolos. De esta forma, el reconocimiento que hace la propuesta del Reglamento de la portabilidad de los datos supone el derecho de los interesados a retirar sus datos –fotos o una lista de amigos– de una aplicación o un servicio y transferirlos a otra aplicación sin que los responsables del tratamiento inicial puedan bloquearlo. conciernan y se abstenga de utilizarlos cuando el interesado retira el consentimiento o se oponga al tratamiento. De esta manera, se reconoce el derecho de los usuarios de redes sociales a exigir a los proveedores de estos servicios de internet que borren completamente sus datos personales cuando el cliente se dé de baja en el servicio o cuando dejen de ser necesarios para los fines para los que se recabaron. Además, se establece expresamente que cuando el responsable haya hecho públicos los datos personales, este esté obligado a adoptar las medidas razonables –incluidas las técnicas– en lo que respecta a los datos de cuya publicación sea responsable, con miras a informar a los terceros que están tratando dichos datos de que un interesado les solicita que supriman cualquier enlace a estos datos personales, o cualquier copia o réplica de ellos. Así, la propuesta de Reglamento establece una obligación del responsable no solo de suprimir los datos personales sino de comunicar a terceros que el interesado solicita que se suprima cualquier enlace, copia o réplica de ellos, relacionando una cosa con la otra.15 Además, se establece que cuando el responsable del tratamiento haya autorizado a un tercero a publicar datos personales, será considerado responsable de la publicación. Así, frente a quienes han mantenido que el derecho al olvido en internet debía pivotar sobre el derecho de oposición ejercido sobre los motores de búsqueda como responsables de sus propios tratamientos –esta sería la posición de la AEPD en las Resoluciones de tutela de derechos frente a Google–, la propuesta de Reglamento construye el derecho al olvido en internet sobre las obligaciones del responsable principal –de la web máster– que ha hecho público los datos.16 También merece destacarse en la propuesta de Reglamento el reconocimiento del derecho a la portabilidad de los datos, de manera que cuando se traten datos personales por vía El interesado al que se le deniegue total o parcialmente el ejercicio de estos derechos tiene una acción de tutela ante la Agencia Española de Protección de Datos –art. 18 de la LOPD–. Hay que recordar que cualquier vulneración de la legislación de protección de datos personales debe ser denunciada ante la Agencia Española de Protección de Datos; están tipificadas un conjunto de infracciones en el artículo 44 de la LOPD a las que se les aplica las sanciones establecidas en el artículo 45 de la LOPD.17 La propuesta de Reglamento general de protección de datos personales refuerza tanto la independencia como la capacidad coercitiva de las autoridades administrativas de protección de datos personales, mejorando los poderes de investigación y de sanción, lo que incluye importantes sanciones económicas. Además, la propuesta de Reglamento es más exigente con quien, como las empresas que prestan servicio de redes sociales, tiene los tratamientos de datos personales como actividad principal de carácter comercial –valorando también su volumen de negocios en el ámbito mundial, como hacía la LOPD– y es, en cambio, más flexible con la mayoría de las pequeñas y medianas empresas que no llevan a cabo 15.El artículo 13 de la propuesta de Reglamento establece también la obligación del responsable del tratamiento de informar a los destinatarios a los que haya comunicado sus datos –incluyendo al encargado del tratamiento–, de cualquier rectificación o supresión de datos en virtud del ejercicio de los derechos de los interesados, lo que tiene gran importancia en relación con el derecho al olvido en internet. 16.Esta es la posición que hemos mantenido desde el año 2008 en nuestros trabajos «Transparencia administrativa y protección de datos personales», loc. cit. págs. 23-188, esp. págs. 101-112. Lógicamente, la Comisión está a la espera de que el Tribunal de Justicia resuelva la cuestión prejudicial ya citada planteada por la Audiencia Nacional en relación con las Resoluciones de tutela de derechos frente a Google. 17.C. Vela Sánchez-Merlo, abogada del Departamento de Nuevas Tecnologías de Ernst & Young, recuerda que «para poder efectuar correctamente la denuncia y aportar pruebas suficientes, es importante recoger toda la información y todas las evidencias del tratamiento de nuestros datos. Por ejemplo, una impresión de las pantallas del sitio web donde se publica nuestra información personal, los e-mails de comunicación que este portal o página web tenga con nosotros, desde la confirmación de haber creado una cuenta, los e-mails publicitarios recibidos o cualquiera de nuestras interacciones con el portal web, así como otros e-mails, comunicaciones, etc. que creamos que pueden estar relacionados y contengan datos personales nuestros o indicios de que conocen nuestra información personal, y que no hayan sido directamente recibidos del propio portal web. De esta manera tendremos gran parte de la información del tratamiento y podremos demostrar las presuntas finalidades con las que se están usando nuestros datos, y con ello dispondremos de las pruebas suficientes para poder iniciar una acción contra el vulnerador que está infringiendo nuestros datos personales» –loc. cit. págs. 266-267. IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Antonio R. Agustina Troncoso Reigada 33 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp tratamientos de datos personales como actividad principal. La propuesta de Reglamento refuerza a las autoridades de protección de datos y equipara sus poderes. De esta forma, elimina las diferencias normativas existentes entre las distintas leyes nacionales que indudablemente perjudicaban a las empresas sometidas en algunos Estados a un más intenso control y régimen sancionador, con lo cual suprime una de las disfunciones principales que existían para un correcto funcionamiento del mercado interior. Los tratamientos de datos personales en los servicios de redes sociales tienen un carácter transnacional. Hemos analizado anteriormente cómo la propuesta de Reglamento aborda el ámbito de aplicación territorial y, en especial, la problemática de ley aplicable que plantean las corporaciones internacionales que ofrecen servicios de red social y tienen su sede fuera de la Unión Europea –Facebook, MySpace–. La propuesta de Reglamento aclara también cuestiones de competencia y jurisdicción de autoridades de control cuando el tratamiento de datos personales sea llevado a cabo por un responsable o encargado en varios Estados miembros, y señala como competente la autoridad donde esté situado el establecimiento principal.18 Además, trata de fortalecer la cooperación y la coherencia entre autoridades de control de la Unión Europea entre sí y con la Comisión, una cuestión a la que dedica todo el capítulo VII –arts. 55-72–, que contiene una regulación muy novedosa que no existía en la Directiva. 19 La propuesta materializa la cooperación entre autoridades de control en un conjunto de deberes de asistencia mutua –como facilitarse información útil– y medidas de control como solicitudes de autorización y consulta previa, inspecciones, comunicación rápida de información sobre la apertura de expedientes, lo que incluye medidas represivas para que se proceda al cese o a la prohibición de las operaciones de tratamiento, todo ello dentro de plazos concretos y prohi- Las redes sociales a la luz de la propuesta de reglamento general… Parte dos biendo la negativa a las solicitudes de asistencia. De esta forma, se introducen normas explícitas sobre asistencia recíproca obligatoria, que incluyen las consecuencias del incumplimiento de la solicitud de otra autoridad de control –art. 55–. También se prevén operaciones conjuntas –investigaciones, medidas represivas– en las que participen autoridades de control de distintos Estados miembros, y se establece una interesante regulación sobre la relación entre las autoridades de control del país de origen y del país de acogida, especialmente en relación con la presencia del personal de la primera autoridad, sus inspecciones y la responsabilidad sobre sus actos –art. 56–. La propuesta de Reglamento no se queda en la cooperación sino que fija un marco de mecanismos de coherencia, que trata de facilitar la libre circulación de datos personales en el territorio de la Unión al mismo tiempo que se respeta la protección de datos personales, y establece herramientas que aproximen las divergencias entre autoridades de control. La propuesta de Reglamento incluye también mecanismos de coordinación entre órganos jurisdiccionales, de manera que si un órgano jurisdiccional competente de un Estado miembro tiene motivos razonables para creer que se están llevando procedimientos judiciales paralelos en otro Estado miembro, se ponga en contacto con el órgano jurisdiccional competente y pueda suspender el procedimiento –art. 75. Muchos de los usuarios de las redes sociales son menores por lo que estos servicios deben respetar especialmente la legislación de protección jurídica de los menores. El RPDP señala que «podrá procederse al tratamiento de los datos de los mayores de catorce años con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de catorce años se requerirá el consentimiento de los padres 18.Esta solución es calificada por la exposición de motivos de la propuesta de Reglamento como «principio de ventanilla única», con la finalidad de velar por una aplicación uniforme. 19.Buena muestra de las discrepancias en la aplicación de las normas de protección de datos personales en los diferentes Estados miembros ante el mismo supuesto de hecho y la necesidad de actuar de manera coordinada ha sido el caso de Google Street View, que ha sido sometido a exigencias de privacidad más duras en Alemania que en otros Estados miembros. Como es sabido, entre mayo de 2007 y mayo de 2010 Google recopiló los datos de redes wifi en muchos países como parte de su proyecto Street View, que ofrece a los usuarios de Google Maps y Google Earth la posibilidad de ver a nivel de calle las imágenes de las estructuras y los terrenos adyacentes a las carreteras y autopistas. Sin embargo, Google también recogió las contraseñas, historial de uso de internet y otros datos personales sensibles que no eran necesarios para su proyecto, según advirtió la Comisión Federal de Comunicaciones (FCC) de los Estados Unidos de América. Google reconoció públicamente en mayo de 2010 que los coches que utilizaban para tomar las fotos para Street View habían recogido datos privados, la mayoría de ellos fragmentados. Ello dio lugar a una investigación de la FCC acerca de si se había violado la Ley de Comunicaciones. IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Antonio R. Agustina Troncoso Reigada 34 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Las redes sociales a la luz de la propuesta de reglamento general… Parte dos o tutores».20 No tiene sentido elevar la edad para permitir a los jóvenes integrarse en una red social porque a partir de los 14 años el menor tiene capacidad de obrar para muchas cosas, incluso para emanciparse, si bien es a partir de los 16 años cuando los jóvenes tienen una mayor capacidad de decisión en ámbitos como el educativo, el sanitario o los servicios sociales. No podemos caer en un exceso de paternalismo que suprima la autonomía de los menores, algo necesario para el libre desarrollo de la personalidad. No obstante, parece razonable obligar a las redes sociales a restringir al máximo grado de privacidad el acceso a los perfiles de los menores, y limitar, además, el número de «amigos». Hay que tener en cuenta que el 95% de los pederastas conocen a sus víctimas a través de los chats o de redes sociales.21 Además, cuando las redes sociales vayan a registrar datos de menores de edad deben expresar la información prevista en el artículo 5 de la LOPD en un lenguaje fácilmente comprensible –art. 13.3 del Reglamento–. Tradicionalmente las redes sociales, si bien requerían el dato de la edad, no establecían ninguna medida para la verificación de esta o de la autenticidad del consentimiento prestado por los padres o tutores. El artículo 13.4 del Reglamento obliga al responsable del tratamiento a articular los procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en su caso, por los padres, tutores o representantes legales. Es, por ello, necesario que se establezcan medidas que permitan el control de la edad o del consentimiento de los padres o tutores, si bien hay que evitar un tratamiento masivo de datos identificativos por los servicios de redes sociales, que puede ocasionar un problema mayor.22 El Dictamen 5/2009 del Grupo de Trabajo del Artículo 29 establece un conjunto de directrices relativas a los tratamientos de datos personales de menores por parte de las redes sociales: no pedir datos sensibles en el formulario de registro, no realizar comercialización directa destinada específicamente a los menores, establecer grados adecuados de separación lógica entre las comunidades de niños y de adultos, etc. La propuesta de Reglamento general de protección de datos personales que ha presentado recientemente la Comisión incluye una regulación relativa a los tratamientos de datos personales de los niños. Así, en el apartado de definiciones considera niño a toda persona menor de 18 años, lo que está en contradicción, como acabamos de señalar, con el artículo 13 del RPDP, que acertadamente permitía el tratamiento de los datos de los mayores de 14 años con su consentimiento, sin perjuicio de los casos en los que la Ley exija la asistencia de los titulares de la patria potestad o tutela, y con la legislación que reconoce el ejercicio de los derechos y la autonomía de la voluntad del menor maduro, también en el ámbito sanitario. No obstante, la propuesta de Reglamento incluye también una regulación específica de los tratamientos de los datos personales relativos a los niños –art. 8– que contiene una excepción a esta mayoría de edad de 18 años en relación con la oferta directa de servicios de la sociedad de la información, que permite que el consentimiento o la autorización del padre o tutor solo sea necesaria en los tratamientos de datos personales relativos a niños menores de 13 años, lo que facilita el funcionamiento de las redes sociales virtuales, que tienen fijada la edad en 14 años –Tuenti– o 13 años –Facebook–.23 Existen otras previsiones en la propuesta de Reglamento de la Comisión que tratan de proteger a los menores: la necesidad de que el responsable facilite especialmente cualquier información dirigida a niños de manera inteligible, sencilla, clara y adap- 20.La redacción de este precepto, obra de Piñar Mañas, ha sido especialmente feliz. Igualmente, los derechos de acceso, rectificación, cancelación y oposición son personalísimos y deben ser ejercidos por el afectado, salvo que se encuentre en una situación de minoría de edad que le imposibilite el ejercicio personal de ellos, en cuyo caso podrán ejercitarse a través de su representante legal. La problemática del consentimiento para el tratamiento otorgado por los menores y el ejercicio de los derechos por estos y por sus padres han sido analizados en A. Troncoso Reigada, «Introducción y Presentación» en Protección de datos personales en centros educativos públicos, cit. págs. 61-67 y 81-85; y «La confidencialidad de la historia clínica«, Cuadernos de Derecho Público, núm. 27, 2006, págs. 119-130. 21. Cfr. el informe sobre «Protección legal de los menores en el uso de Internet», del Instituto Nacional de Tecnologías de la Información, cit. 22.El artículo 13.4 del RPDP ha sido analizado en la sentencia de la Sala de lo Contencioso-Administrativo del Tribunal Supremo, de 15 de julio de 2010 –Sección Sexta–, y se ha confirmado su legalidad. La AEPD tiene un acuerdo con Tuenti para que solicite el DNI a los usuarios respecto de los que sospeche o tenga indicios de que su edad es inferior a 14 años. También ha acordado con Facebook que no inscribirá a menores de 14 años. Cfr. las notas de prensa sobre las reuniones que la Agencia Española de Protección de Datos ha mantenido con representantes de Facebook –el 26 de marzo de 2009– y de Tuenti –2 de abril de 2009– en www.aepd.es. 23.Téngase en cuenta que la Children’s Online Privacy Protection Act (COPPA) de EE. UU. considera menores únicamente a aquellos que no han cumplido todavía 13 años. IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Antonio R. Agustina Troncoso Reigada 35 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp tada a interesado –art. 11–;24 el reconocimiento especial del derecho al olvido en internet y a la supresión de los datos proporcionados siendo niño –art. 17–; la toma en consideración de que el interesado sea un niño en la ponderación entre la satisfacción del interés legítimo del responsable del tratamiento y los derechos y libertades fundamentales que requieran la protección de los datos personales –art. 6– o la exigencia de que el responsable de tratamientos de datos personales en ficheros a gran escala relativos a niños, al igual que en el caso de los datos biométricos o genéticos, lleve a cabo una evaluación de impacto en la protección de datos personales –art. 33. Las redes sociales, salvo la española Tuenti, radican –o se extienden– en EE. UU. o en otros países donde no es fácil la aplicación de la normativa europea de protección de datos personales. Por ello, cobra especial relieve la autorregulación de las propias empresas, especialmente mientras no estén aprobados unos estándares internacionales sobre protección de datos personales. En muchas ocasiones, dadas las dificultades existentes para aplicar la normativa de protección de datos personales o la demora de una resolución estimatoria en un procedimiento administrativo o jurisdiccional –consecuencia de la necesidad de respetar unos plazos para hacer efectivo el principio de contradicción o la práctica de la prueba–, lo más efectivo para hacer desaparecer una intromisión ilegítima en los derechos de las personas es acudir a los propios canales de denuncia de las redes sociales o de los sitios webs. Estas frecuentemente suprimen un comentario si se trata de un insulto, si hay sexo explicito o si tiene un contenido xenófobo, o cancelan una fotografía si no existe consentimiento por el interesado. A las propias empresas privadas les supone una ventaja competitiva el buen funcionamiento de los canales de denuncia. Por ello, las redes sociales deben facilitar estos canales de denuncias, garantizando la respuesta a las solicitudes en un plazo breve de tiempo y eliminando el comentario o la fotografía lesiva con la intimidad de las personas o sobre la que se ha ejercido un derecho de oposición. Las redes sociales deben también sancionar en el ámbito de Las redes sociales a la luz de la propuesta de reglamento general… Parte dos su comunidad virtual a aquellas personas que vulneren la intimidad o la protección de datos personales de terceros, publicando fotografías o vídeos de otras personas con su oposición o realizando comentarios que sean poco respetuosos con terceras personas. Es imprescindible facilitar a los usuarios medios de control de comentarios y sistema de bloqueo de cuentas de forma que puedan evitar insultos o comentarios inadecuados de aquellos usuarios con los que puedan tener conflictos. Si bien la responsabilidad civil les correspondería a los autores de la vulneración del derecho a la intimidad y a la protección de datos personales de terceras personas, las redes sociales también tendrían una responsabilidad al ser titulares del medio donde se publica la información, especialmente cuando no son diligentes en la cancelación de esta si ha sido solicitada previamente por el perjudicado.25 Las redes sociales deben tener en cuenta las exigencias de privacidad en el diseño de sus servicios y sistemas de información, estableciendo también políticas de privacidad que incluyan, por defecto, parámetros que sean más respetuosos con esta. Hay que tener en cuenta que la propuesta de Reglamento general de protección de datos que ha presentado la Comisión ha convertido en obligaciones para el responsable del tratamiento algunas medidas que hasta ahora estaban en el ámbito de la autorregulación, como es el caso de la privacidad por defecto y de la privacidad en el diseño. Así, la propuesta de Reglamento establece la obligación del responsable del tratamiento de establecer mecanismos que permitan que, por configuración inicial, solo sean objeto de tratamiento los datos necesarios para cada fin específico, de manera que no se recojan ni se conserven datos más allá del mínimo necesario para los fines, tanto en lo que respecta a la cantidad de los datos como a la duración de su conservación, y se establecen, asimismo, mecanismos que garanticen que, por defecto, los datos personales no sean accesibles a un número indeterminado de personas –art. 23–. La propuesta de Reglamento también establece la privacidad en el diseño o privacy by design, y señala la obligación de que la protección de datos 24.La propuesta de Reglamento de la Comisión introduce un conjunto de garantías para la protección de los datos de menores de edad que ya se encuentran en el art. 13 del RPDP, en especial, que la información sea comprensible y que existan procedimientos que garanticen que se ha comprobado de manera efectiva la edad del menor y la autenticidad del consentimiento de los padres o tutores. 25.Las fotografías suelen ser una fuente de conflictos, no solo por su publicación sin consentimiento de los usuarios sino también por la revocación del consentimiento prestado en su momento. Si bien la red social no deja de ser un canal neutral al que no corresponde la resolución de disputas entre sus usuarios, basta que exista una oposición de un interesado a la publicación de una fotografía para que esta deba ser cancelada por la empresa proveedora del servicio de red social de manera automática. IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Antonio R. Agustina Troncoso Reigada 36 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Las redes sociales a la luz de la propuesta de reglamento general… Parte dos personales sea tenida en cuenta en el momento del diseño del sistema de información; es decir, que las exigencias en materia de privacidad –especialmente frente a las amenazas más frecuentes– sean un elemento que se deba tener en cuenta en el diseño de los servicios en internet, también en los servicios de redes sociales. Por ello, las redes sociales deben avanzar en la privacidad en el diseño y en la privacidad por defecto en cuestiones como, por ejemplo, los niveles de acceso a los datos personales publicados en el perfil –uno de los principales parámetros de confidencialidad– o el establecimiento de canales de denuncia, como hemos analizado anteriormente. Así, es necesario que las redes sociales modifiquen sus configuraciones por defecto relativas al nivel de acceso a las páginas personales, evitando que la configuración inicial prevea que toda la información esté en abierto, limitando el nivel de publicidad para que la información sea accesible únicamente para los amigos y no para los amigos de estos. Téngase en cuenta que muy pocos usuarios modifican los parámetros establecidos por defecto. Si no se establecen restricciones al acceso, cualquier tercero puede acceder a los datos personales de los usuarios, no solo los miembros de la red social sino también no miembros a través de los motores de búsqueda –cuando el servicio de red social así lo prevea–. Con esta medida de privacidad por defecto, los usuarios se ven obligados a aceptar expresamente que personas distintas de sus contactos van a acceder al perfil, lo que reduce el riesgo para su privacidad.26 Sin embargo, en la actualidad la mayoría de las redes sociales establece por defecto la accesibilidad del perfil no solo para los amigos sino también para los amigos de los amigos –las personas que forman parte de la lista de contactos de los amigos–. Hay que tener en cuenta que en las redes sociales el consentimiento se ejerce habitualmente aceptando la política de privacidad establecida por defecto. La propuesta de Reglamento incide también en la importancia de los códigos de conducta, dirigidos a contribuir a la vigencia de este derecho fundamental en sectores de tratamiento específicos –art. 38–. Sería, pues, conveniente que las redes sociales aprobaran también un código de conducta que incluyera que los usuarios no pueden ceder datos de otras personas en la página personal –por ejemplo, fotografías o su etiquetado– sin su consentimiento, la protección de los niños, la transparencia de la información al interesado o la inclusión de los mecanismos de supervisión y garantía, como procedimientos extrajudiciales y de resolución de conflictos, que permitan resolver las controversias entre los responsables y los interesados, sin perjuicio de la posibilidad de acudir a las autoridades de control y a los tribunales. De hecho, el propio Grupo de Trabajo del Artículo 29, en su Dictamen 5/2009, aconsejaba también la aprobación de códigos de buenas prácticas de los proveedores de servicios de redes sociales que incluyeran medidas de ejecución eficaces y sanciones disciplinarias.27 Por último, hay que tener en cuenta que, en el caso de que sea difícil aplicar la normativa europea de protección de datos a una empresa que presta un servicio de red social, el incumplimiento de la política de su privacidad o del código de conducta al que está adherido representa la violación de un compromiso con el usuario que puede tener consecuencias legales graves para el responsable en muchos países –por ejemplo, en EE.UU.–.28 El Grupo de Trabajo del Artículo 29, en el Dictamen 5/2009 incluye otras recomendaciones dirigidas a las empresas proveedoras de servicios de red social. Entre estas destaca la implantación de tecnologías en defensa de la privacidad –PET– como los programas informáticos de verificación de la edad o que establezcan instrumentos de control de los padres sobre el acceso de los menores a internet o la aparición de venta- 26.Recientemente Google+ ha lanzado una nueva función para los usuarios de la red social, de forma que todos los usuarios que tengan una cuenta y utilicen el servicio de Google Contact para gestionar su libreta de direcciones puedan ver la información de sus contactos desde su perfil de la red social, integrándola dentro de ella. No obstante, en este caso esta información solo puede ser vista de forma privada por el usuario y no será un dato al que tengan acceso sus contactos de Google+. 27.El RPDP al regular los códigos tipo también incluye como garantía de su cumplimiento la existencia de procedimientos de supervisión y el establecimiento de un régimen sancionador adecuado, eficaz y disuasorio –art. 75. 28.Recientemente el presidente Obama ha presentado una Consumer Privacy Bill of Rights, que reconoce derechos a los consumidores y supone una modificación de la posición americana en este ámbito que pivotaba sobre la autorregulación. Este texto apuesta por la autorregulación vinculante y, en el caso de que esta no se cumpla, apuesta por la regulación. Cfr. Consumer Data Privacy in a Networked World: A Framework for Protecting Privacy and Promoting Innovation in the Global Digital Economy, 23 de febrero de 2012. Hemos analizado recientemente la comparación entre los distintos modelos de protección de datos en el ámbito internacional y la importancia que tiene en EE. UU. la autorregulación. Cfr. «El desarrollo de la protección de los datos personales en Iberoamérica desde una perspectiva comparada», y «Presentación» en Revista Internacional de Protección de Datos, núm. 1 (en prensa). IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Antonio R. Agustina Troncoso Reigada 37 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp nas emergentes de advertencia en fases sensibles. Llama la atención especialmente la recomendación relativa a un mejor cumplimiento del principio de adecuación, pertinencia y prohibición de exceso previsto en el artículo 6.1.c) de la Directiva 95/46/CE en relación con la posibilidad de permitir a los usuarios de redes sociales actuar bajo un seudónimo, una medida que se ha aconsejado tradicionalmente para preservar la privacidad en internet.29 En general, se echa Las redes sociales a la luz de la propuesta de reglamento general… Parte dos en falta un adecuado diseño de las plataformas de las redes sociales para reducir los problemas relacionados con la privacidad. Por ello, es imprescindible que las autoridades de control eviten las posiciones frentistas en relación con las redes sociales y sean capaces de generar entornos de colaboración, lo que no significa ceder ante la industria –que no deja de ser un stakeholder– sino de alcanzar un diálogo que permita la privacy by design. 29.«En este contexto, cabe señalar que el SRS puede tener necesidad de registrar algunos datos de identificación de sus miembros, pero no es preciso que publique su verdadero nombre en Internet. Por tanto, los SRS deberían considerar si pueden justificar el hecho de obligar a sus usuarios a actuar bajo su verdadera identidad en vez de bajo un seudónimo. Son argumentos de peso para que los SRS dejen la elección a este respecto a los usuarios, y es una exigencia legal al menos en un Estado miembro. Estos argumentos son especialmente sólidos cuando el SRS en cuestión tiene miembros en todo el mundo. El artículo 17 de la Directiva relativa a la protección de datos exige que el responsable del tratamiento aplique las medidas técnicas y de organización adecuadas para la protección de los datos personales. Tales medidas de seguridad incluyen, en particular, el control del acceso y mecanismos de autenticación que pueden aplicarse aunque se utilicen seudónimos». IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Antonio R. Agustina Troncoso Reigada 38 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Las redes sociales a la luz de la propuesta de reglamento general… Parte dos Cita recomendada TRONCOSO, A. (2013). «Las redes sociales a la luz de la propuesta de reglamento general de protección de datos personales. Parte dos». IDP. Revista de Internet, Derecho y Política. Núm. 16, pág. 27-39. UOC. [Fecha de consulta: dd/mm/aa] <http://idp.uoc.edu/ojs/index.php/idp/article/view/n16-troncoso/n16-troncoso> DOI: http://10.7238/idp.v0i16.1927 Los textos publicados en esta revista están –si no se indica lo contrario– bajo una licencia Reconocimiento-Sin obras derivadas 3.0 España de Creative Commons. Puede copiarlos, distribuirlos y comunicarlos públicamente siempre que cite su autor y la revista y la institución que los publica (IDP. Revista de Internet, Derecho y Política; UOC); no haga con ellos obras derivadas. La licencia completa se puede consultar en http://creativecommons.org/licenses/by-nd/3.0/es/deed.es. Sobre el autor Antonio Troncoso Reigada antonio.troncosoreigada@uca.es Profesor titular de Derecho Constitucional de la Universidad de Cádiz Es profesor titular de Derecho Constitucional de la Universidad de Cádiz. Ha sido director de la Agencia de Protección de Datos de la Comunidad de Madrid de 2001 a 2010, y fue designado para un segundo mandato por unanimidad de todos los grupos políticos y centrales sindicales. Ha tenido el primer Premio Nacional de Terminación de Estudios Universitarios y el premio extraordinario de licenciatura en la Universidad Complutense (1991). Es doctor en Derecho por la Universidad de Bolonia con la calificación summa cum laude. Ha obtenido el premio Nicolás Pérez Serrano a la mejor tesis doctoral de Derecho Público del año 1993. Ha recibido el Premio Nacional de Investigación del Ministerio de Justicia 2010 por el tratado La protección de datos personales: en busca del equilibrio, Tirant lo Blanch, Valencia, 2010. Es miembro del Consejo Consultivo de la Agencia Española de Protección de Datos en representación del Consejo de Universidades. Ha sido también director general de Calidad de los Servicios y del Instituto de Estadística de la Comunidad de Madrid en el Gobierno de Ruiz Gallardón, director del Gabinete Técnico de la Subsecretaría del Ministerio de Sanidad y Consumo y secretario general de la Universidad de Cádiz. Facultad de Derecho Universidad de Cádiz Avda. de la Universidad s/n Campus de la Asunción, 111405 JEREZ IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Antonio R. Agustina Troncoso Reigada 39 Revista de los Estudios de Derecho y Ciencia Política IDP Número 16 (Junio 2013) MONOGRÁFICO «Internet y redes sociales: un nuevo contexto para el delito» ISSN 1699-8154 http://idp.uoc.edu Universitat Oberta de Catalunya www.uoc.edu/idp INTRODUCCIÓN «Internet y redes sociales: un nuevo contexto para el delito» María José Pifarré Profesora de los Estudios de Derecho y Ciencia Política (UOC) Fecha de presentación: junio de 2013 Internet y, de manera muy especial, las redes sociales conforman un nuevo contexto social caracterizado, entre otras cosas, porque el alcance temporal y espacial de las comunicaciones a través de ellos crea proximidades «virtuales» antaño imposibles que han cambiado el modo en que nos relacionamos en sociedad. En este contexto, con sus particularidades y especificidades, han surgido conductas hasta ahora inéditas y ha tenido lugar una importante mutación de las convenciones sociales. La rapidez con que los comportamientos sociales cambian a causa de Internet, o con que nacen nuevas realidades en su seno, tiene pocos precedentes. Es evidente que las tecnologías de la información y la comunicación han simplificado extremadamente nuestra vida. Ya no hace falta desplazarse para comprar, ir al banco o realizar trámites con las administraciones públicas, el correo tradicional se ha visto superado en eficacia por la comunicación a través del correo electrónico y las redes sociales, la búsqueda de datos se ha vuelto instantánea sin necesidad de acudir directamente a las fuentes «reales». El ahorro de tiempo es indiscutible. Una parte importante de nuestras vidas transcurre en Internet. Esta realidad ha hecho que nuestra dependencia de los medios electrónicos que nos dan acceso a la red sea de una envergadura tal que si nos IDP Número 16 (Junio, 2013) I ISSN 1699-8154 Eloi EloiPuig Puig María José Pifarré vemos privados de la posibilidad de utilizarlos los daños ocasionados pueden ser muy graves tanto en el ámbito de la vida privada como en el de las empresas y entidades, ya que la mayor parte de la organización e información pasa a través de ellos. De ahí que, históricamente, la primera reacción del Derecho penal fuera la tipificación de los delitos informáticos, centrándose en aquellos que dañan los datos y los sistemas informáticos. Sin embargo, mucho ha llovido desde sus primeras proposiciones, y el tiempo ha hecho necesarios cambios sustanciales. A su análisis y al de su nueva regulación en Italia, aunque comparándola con el resto de las legislaciones europeas, incluida la española, se dedica el primer artículo de los propuestos en este dossier, que corre a cargo de Ivan Salvadori. El autor examina estos delitos, de difícil encaje en los delitos tradicionales de daños a las cosas, que han requerido de la creación de nuevos tipos penales al amparo de una legislación internacional que ha ido cambiado progresivamente. Paralelamente, el desplazamiento de la normal actividad social a la red ha conllevado el desplazamiento del delito tradicional al delito en la red, que es donde ahora se desarrolla la vida y en consecuencia donde hay oportunidad para el delito. Para adaptarse a la nueva realidad, el delito ha debido transformarse adoptando nuevas formas que lo hagan eficaz en este medio. Se ha generado un conjunto de nuevos comportamientos delictivos 40 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Internet y redes sociales: un nuevo contexto para el delito para que nada cambie, es decir, para poder conseguir los mismos objetivos que antes, pero a través de los nuevos medios. Pero también se han generado otros totalmente nuevos, que antes no se daban. Por otra parte, una de las consecuencias más importantes de este traslado de la vida cotidiana a Internet es la enorme cantidad de destinatarios potenciales de las acciones delictivas, que alcanza prácticamente el mundo entero, y que las convierte, por el mero hecho de que se cometan en la red, en más peligrosas y lesivas. cometidos en ese ámbito. De este tema se ocupa el tercer trabajo del dossier, a cargo de Lorenzo Picotti, que analiza la suerte que corren los derechos fundamentales en las redes sociales y cómo el Derecho penal trata de protegerlos, de manera que ofrece al lector algunos de los argumentos de más actualidad para tratar ciertos comportamientos peligrosos que llevan camino de consolidarse en el uso de las redes sociales. Estos últimos son solo algunos de los varios debates que se han abierto en la sociedad acerca de la bondad, aceptabilidad, oportunidad e incluso moralidad de muchas de las conductas realizadas en el ámbito de las nuevas tecnologías. También, naturalmente, acerca de su legalidad. Un ejemplo de nuevos comportamientos surgidos a raíz de esta «emigración» a Internet nos lo da el perfil criminológico del acosador, que en general es distinto cuando su actividad de acoso se desarrolla solo en la red. Mientras que en el mundo real el acosador se enfrenta a su víctima principalmente de manera directa y por tanto se suele tratar de una persona con un perfil fuerte, la persona que solo acosa a través de la red suele obedecer a un patrón más apocado, que sería incapaz de realizar la misma conducta en el mundo real, y se ampara en el anonimato y la distancia que le proporciona la red. El segundo artículo del dossier, a cargo de Fernando Miró, parte de esta realidad. Parte del análisis criminológico del ciberacoso para seguir con el análisis del tratamiento que le ha dado la jurisprudencia en España, y por último perfila los tipos penales tradicionales con los que se puede contar para su persecución teniendo en cuenta que no existe un tipo específico unitario para esta realidad y que su castigo pasa a través de tipos penales tradicionales. En este debate se enmarcan los artículos de este dossier monográfico, que tratan aspectos bien distintos de las relaciones entre Internet y redes sociales con el Derecho penal, desde puntos de vista diversos y con metodología diferente. Con esta selección se ha pretendido que cada aportación valore un aspecto distinto de esta múltiple realidad, pero sobre todo se le ha querido dotar de una importante valencia internacional en el convencimiento de que la transnacionalidad de estos fenómenos exige abrir una vía hacia la fundamental dimensión internacional que debe asumir la reflexión y búsqueda de posibles soluciones, principalmente porque Internet no tiene y no entiende de fronteras. Toda solución que no tenga en cuenta este elemento será estéril. Sin embargo, el cambio profundo más reciente lo constituye, sin duda alguna, el desarrollo de las redes sociales. Su uso masivo ha comportado, entre muchas otras consecuencias positivas y negativas, una innegable relajación de la autotutela de la intimidad de una gran parte de la sociedad, que utiliza la red como una vitrina permanente de su vida y su actividad tanto privada como pública, sin acabar de comprender ni controlar el alcance de lo que vierte en ella. La entrada de los menores en este mundo constituye un ulterior problema de grandes dimensiones, porque son sujetos todavía no enteramente capaces de comprender el alcance actual y futuro de sus actos, lo que plantea el interrogante de cómo afrontar la natural desprotección de los menores en Internet, entorno que a menudo sus padres y educadores conocen de manera insuficiente y en el que no son capaces de protegerles ni de enseñarles a autoprotegerse, creando así un espacio de riesgo de especial relevancia en un medio del que tanto podrían beneficiarse. Este tipo de comportamientos está exponiendo al ciudadano a convertirse, no solo en víctima, sino también en autor de muchos delitos IDP Número 16 (Junio, 2013) I ISSN 1699-8154 Eloi EloiPuig Puig María José Pifarré La inevitable globalidad del fenómeno, además, queda patente en el hecho de que en la mayoría de los países de nuestro entorno cultural se han dado normas penales que pretenden seguir las propuestas elaboradas en el seno de la Unión Europea o de los numerosos tratados internacionales en la materia, principalmente impulsados por la ONU. Esta aparente «homogeneidad» que su origen unitario debería imprimir, sin embargo, no hace que la internalización de estas normas se traduzca en la realidad en una uniformidad de tratamiento. Las particularidades culturales y de tradición legislativa de cada Estado han acabado dando formas muy diferentes que es interesante y conveniente estudiar. Conociéndolas seremos capaces también de dirigir una mirada más crítica a nuestro ordenamiento y podrá ayudarnos a encontrar mecanismos de respuesta y solución alternativos, porque conoceremos también los problemas que esas soluciones han planteado en otros países. Bajo todos estos puntos de vista Internet está ofreciendo uno de los mayores retos a quienes tienen como tarea 41 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp reflexionar acerca de los instrumentos penales adecuados para tratarlo, ya sean los investigadores universitarios, el legislador, tanto nacional como europeo e internacional, o los Cuerpos y Fuerzas de Seguridad del Estado, y en estos artículos se pueden encontrar elementos de juicio para esta reflexión. La necesidad de soluciones inmediatas es evidente, y la rapidez con que se suceden los cambios hace difícil una previa reflexión serena. Los poderes públicos tratan de reaccionar ante esta situación con medidas que adoptan de manera urgente, muchas veces con intención de que sean provisionales en tanto la «alarma social» provocada en ciertos sectores siga viva, y todo ello sin que la propia sociedad haya cerrado los distintos debates, o al menos llegado a un consenso suficiente en ellos. Efectivamente, uno de los instrumentos más utilizados por los poderes públicos ante estas «emergencias», porque el ciudadano lo suele percibir como solución inmediata, o al menos como que los poderes públicos toman medidas, es el Derecho penal, que además no comporta la asignación de una partida presupuestaria directa. Un claro ejemplo de ello es el recientísimo Proyecto de Ley de modificación del Código Penal presentado hace pocos días, este mismo mes de septiembre, cuando aún están frescas las reformas anteriores en materia de ciberdelitos. Algunas de las propuestas que contiene son ya fruto de la maduración de ciertos debates, pero otras constituyen medidas nuevas que será necesario analizar. En este último caso, la legislación penal en la materia que nos ocupa está asumiendo un papel de «concienciador» o «educador» de la sociedad, como lo es el caso de la propuesta tipificación de un delito de creación y mantenimiento de páginas de enlaces para evitar comportamientos lesivos de la propiedad intelectual. El Proyecto no es más que un ejemplo de la rapidez y profundidad con que se están sucediendo los cambios legislativos en este campo, algunos de los cuales dan respuesta a cuestiones puestas de relieve por los autores del dossier, IDP Número 16 (Junio, 2013) I ISSN 1699-8154 Eloi EloiPuig Puig María José Pifarré Internet y redes sociales: un nuevo contexto para el delito como la conveniencia o no de una regulación autónoma del sexting, o el ciberacoso, tratados por Fernando Miró y Lorenzo Picotti. El Proyecto, ciertamente, propone modificaciones de calado en la materia, como la creación de una circunstancia agravante específica al delito de incitación al odio o a la violencia racial cuando esta se cometa a través de Internet; el castigo de la creación y mantenimiento de páginas de enlaces; la creación de un delito de acoso dentro del capítulo de las coacciones que es perfectamente susceptible de ser cometido a través de Internet, conducta de la que psicólogos y sociólogos están advirtiendo desde hace ya tiempo; la creación de un nuevo delito contra de la intimidad para los casos de sexting, que durante el pasado año han trascendido a los medios de comunicación y han creado una importante alarma social (caso de la alcaldesa de Los Yébenes), de manera que se castigarían los casos en que se obtienen imágenes o grabaciones de otra persona dentro de su ámbito íntimo con su consentimiento pero se divulgan contra su voluntad con lo que se vulnera gravemente su intimidad; se sancionaría también el acceso voluntario a pornografía infantil en Internet y a quien en este ámbito contacte con menores con fines sexuales. En este caso, además, prevé una norma de extensión de aplicación de la ley penal española a los delitos contra la libertad e indemnidad sexual de los menores cometidos en Internet siempre que los contenidos en cuestión sean accesibles desde territorio español, independientemente del lugar donde estas actividades tengan su base. Por otra parte, para muchos de estos delitos prevé la retirada de contenidos y la posibilidad de bloqueo del portal de acceso. Estas propuestas ministeriales, algunas de las cuales dan respuesta a necesidades puestas de relieve en los artículos que forman este dossier, nos dan nuevos motivos para la lectura de estos artículos. Confiamos en que susciten el interés del lector y que contribuyan a la imprescindible discusión y análisis crítico de la normativa penal en materia de Internet y redes sociales tanto de lege lata como de lege ferenda. 42 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Internet y redes sociales: un nuevo contexto para el delito Cita recomendada PIFARRÉ, María José (2013). «Introducción». En: «Internet y redes sociales: un nuevo contexto para el delito» [monográfico en línea]. IDP. Revista de Internet, Derecho y Política. Número 16, pág. 40-43. UOC. [Fecha de consulta: dd/mm/aa] <http://idp.uoc.edu/ojs/index.php/idp/article/view/n16-pifarre/n16-pifarre> DOI: DOI: 10.7238/idp.v0i16.1985 Sobre la autora María José Pifarré mpifarre@uoc.edu Profesora de los Estudios de Derecho y Ciencia Política (UOC) Doctora en Derecho penal: Dottore di Ricerca in diritto penale, con mención de excelencia (Università degli Studi di Macerata, Italia, 2008), suficiencia investigadora (Universitat de Barcelona, 1997), Master en Derecho penal y Ciencias penales (Universitat de Barcelona, 1995) y licenciada en Derecho (Universitat de Barcelona, 1990) http://www.uoc.edu/webs/mpifarre/ES/curriculum/ IDP Número 16 (Junio, 2013) I ISSN 1699-8154 Eloi EloiPuig Puig María José Pifarré 43 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Monográfico «Internet y redes sociales: un nuevo contexto para el delito» ARTÍCULO Derecho penal, cyberbullying y otras formas de acoso (no sexual) en el ciberespacio Fernando Miró Llinares Profesor titular de Derecho Penal Universidad Miguel Hernández de Elche Fecha de recepción: mayo de 2013 Fecha de aceptación: mayo de 2013 Fecha de publicación: junio de 2013 Resumen Las redes sociales, en particular, e Internet en general, constituyen hoy en día un nuevo ámbito de desarrollo personal, un nuevo espacio vital en el que cada individuo pasa varias horas al día, se comunica con otros, crea relaciones, y en el que, por tanto, también se cometen ataques contra bienes individuales como el honor, la libertad, la intimidad o la propia dignidad personal. En el presente trabajo se analiza la respuesta del ordenamiento penal español a las distintas formas de acoso no sexual a menores realizado en el ciberespacio. A partir de la descripción y conceptualización de fenómenos como el cyberbullying, o los actos individuales de online harassment, se analiza la concreta incardinación de las distintas modalidades de acoso, continuado o no, a menores, en los diferentes tipos de la parte especial. Al no existir un precepto penal que regule expresamente la mayoría de estas conductas, y pese a haberse convertido el tipo básico de los delitos contra la integridad moral en el delito de referencia para los tribunales, son varios (amenazas, coacciones, injurias, etc.) los tipos penales que pueden aplicarse en conductas de acoso, generalmente entre iguales, que, como se verá por el amplísimo repertorio jurisprudencial, están comenzando a proliferar en el ciberespacio. Palabras clave cibercrimen, ciberacoso, cyberbullying, online harassment, cyberstalking Tema cibercrimen IDP Número 16 (Junio, 2013) I ISSN 1699-8154 Eloi EloiPuig Puig Miró Llinares Fernando 44 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Derecho penal, cyberbullying y otras formas de acoso (no sexual) en el ciberespacio Criminal law, cyberbullying and other forms of (non-sexual) harassment in cyberspace Abstract Social networks, in particular, and the Internet, in general, now represent a new ambit for personal development, a new life space where people spend hours of their day communicating with others and forming relationships, and where, thus, there are attacks on individuals and their honour, liberty, privacy or personal dignity. This article analyses the response of Spanish criminal law to the different forms of non-sexual harassment of minors in cyberspace. Following the description and conceptualization of phenomena such as cyberbullying or individual acts of online harassment, the article analyses the specific incorporation of different forms of harassment of minors, whether continuous or not, in the different types of the particular part of the law. There is no criminal precept that expressly regulates most of these acts (despite the basic type of crimes against moral integrity having been made the benchmark crime for the courts). The types of crime that can be applied to these harassing behaviours – generally among peers – which are starting to proliferate in cyberspace are varied (threat, coercion, slander, etc.), as can be seen in the wide range of jurisprudence. Keywords cybercrime, cyberbullying, online harassment, cyberstalking Subject cybercrime 1. Tipificar expresamente o no hacerlo, «he ahí la cuestión» La doctrina penal ha criticado en reiteradas ocasiones la tendencia del legislador a regular expresamente nuevos tipos penales que, sin embargo, venían a sancionar conductas que ya merecían un reproche penal anterior por medio de otros preceptos. Esto sucede especialmente con la aparición en la sociedad de nuevos conceptos correspondientes a realidades que ya existían, y que incluso podían estar reguladas penalmente, pero que no eran conocidas o, siéndolo, apenas estaban desvaloradas socialmente. Ante la aceptación social de nuevos términos, apenas conocidos para una mayoría de los ciudadanos en un determinado momento histórico, como el acoso sexual, el mobbing, el bullying o el stalking, surge, antes incluso que la duda de si tales conductas merecen un reproche penal o si ya lo tienen, la tentación de crear un tipo penal específico que cumpla con la función simbólica que, en las últimas décadas, protagoniza el sentido de la incriminación penal. Al fin y al cabo, con la tipificación se IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Fernando R. Agustina Miró Llinares logran los efectos deseados por el legislador: si la conducta no está recogida de forma íntegra en la regulación actual, se comunica a la sociedad el mensaje de que ahora lo está y, en el caso de que sí lo estuviera, cuando menos se refuerza la idea de que ese hecho se castiga y, sobre todo, de que el Estado interviene de forma eficaz frente a los problemas sociales existentes. Se olvidan, sin embargo, los múltiples problemas técnico-jurídicos que conlleva la creación ex novo de un precepto para la incriminación de conductas que ya podían sancionarse por otros. Cuando, por el contrario, surge a la luz pública un fenómeno criminal nuevo o que, habiendo existido durante muchos años, es ahora cuando nace acerca de él una preocupación social grave, y no existe un precepto penal específico que lo englobe, los problemas son otros. El principal estriba en la determinación de los preceptos penales adecuados para responder a las distintas conductas de nueva factura. Y este se acrecienta cuando la fenomenología de comportamientos es extremadamente variada, no solo en lo cuantitativo sino también en lo cualitativo. 45 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Derecho penal, cyberbullying y otras formas de acoso (no sexual) en el ciberespacio Esto es lo que ha sucedido en los últimos años con la respuesta penal a los distintos actos de acoso a menores en el ciberespacio que suelen identificarse conceptualmente, y no siempre de forma adecuada, con los términos –que no debieran entenderse como sinónimos– de ciberacoso a menores o de cyberbullying. Por una parte no hay un precepto penal titulado de ninguna de estas dos formas ni que se incorporase al texto punitivo tras la aparición de este tipo de fenómenos y con propósito de regularlos. Por otra, y quizás por la imprecisión que suele dar la inexistencia de un concepto jurídico expreso, bajo la vaguedad de los términos ciberacoso y ciberbullying cabe una infinidad de conductas realizadas sobre menores cuya gravedad difiere enormemente entre ellas. De hecho, esto ya le sucede a los propios conceptos de acoso o de bullying, que por no tener una regulación penal específica no solo no hay un consenso claro sobre su alcance, sino que engloban conductas de lesividad para los intereses en juego muy dispares entre sí. El presente trabajo aborda el análisis de la respuesta del Código penal a las distintas variedades de acoso no sexual a menores realizado en el ciberespacio. El objeto de estudio no es, por tanto, solo el cyberbullying, sino también el acoso de mayores a menores realizado a través de Internet y tanto si se realiza de forma continuada y sistemática como si se limita a la realización de acciones individuales de acoso que pueden enmarcarse en delitos contra el honor, la libertad o similares. Por ello, y previamente al análisis jurisprudencial y doctrinal de cómo responden las leyes penales a las distintas conductas, trataré de identificar estas partiendo del propio alcance que desde la psicología y la criminología se ha dado al término cyberbullying. Así no solo podremos identificar las distintas conductas sino también –lo que debe ser más importante para la posterior fijación del merecido reproche penal de cada una de ellas– su muy diferente gravedad para la dignidad, libertad, honor y otros bienes personalísimos de los menores que se ven puestos en peligro en la actualidad también en ese ámbito de intercomunicación personal que es el ciberespacio. 2. Fenomenología: cyberbullying, online harassment y otras nomenclaturas referidas al acoso a menores en el ciberespacio Desde que se empezara a estudiar el fenómeno del bullying en los años setenta,1 se ha discutido acerca de la idoneidad de cada uno de los elementos que deben formar parte de la definición,2 desde quién debe protagonizar la agresión (un grupo de compañeros o, por el contrario, puede ser suficiente con que el daño lo ejerza una sola persona) hasta la inclusión de las distintas formas de agresión (física, psicológica o verbal), pasando por la necesidad de que exista un desequilibrio de poder real o imaginario entre agresor y víctima, la repetición del daño durante un periodo prolongado, la intencionalidad del agresor, la autopercepción de la víctima y los efectos que estas conductas tienen sobre las personas que participan.3 Actualmente puede decirse que la definición más aceptada es la de Dann Olweus, quien entiende que hay victimización por bullying cuando «un alumno está expuesto repetidamente y a lo largo del tiempo a acciones negativas de otro o un grupo de estudiantes».4 Esta definición incluye los tres elementos que caracterizan el bullying: debe existir la intencionalidad de agredir a la víctima, la agresión debe ser repetida en el tiempo y debe existir un desequilibrio de poder entre agresor y víctima.5 Esta discusión sobre el contenido y alcance del bullying afecta también al concepto de cyberbullying, definido por Patchin e Hinduja como el «daño intencional y repetido infligido a través del medio del texto electrónico».6 Por su parte, Smith et al., además de los elementos intencionalidad, repetición y uso de las TIC, añaden el desequilibrio de poder, definiéndolo como «una acción agresiva e intencional, desarrollada por un grupo o un individuo, usando formas electrónicas de contacto, repetidas veces a lo largo del tiempo contra una víctima que no puede defenderse fácilmente».7 En lo que sí coincide la doctrina es en la multiplicidad de formas que 1.El primer estudio publicado data de 1969 y fue elaborado por el psiquiatra noruego Peter Paul Heinemann, quien describió el acoso al que era sometido un estudiante por un grupo de compañeros en el patio del colegio. 2.D. P. Farrington, 1993. 3.R. Ortega, R. del Rey, J. Mora-Merchán, 2001. 4.D. Olweus, 1994. 5.J. Calmaestra Villén, 2011. 6.J. W. Patchin, S. Hinduja, 2006. 7.P. K. Smith et al., 2008. IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Fernando R. Agustina Miró Llinares 46 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Derecho penal, cyberbullying y otras formas de acoso (no sexual) en el ciberespacio puede adoptar el maltrato, incluyéndose acciones como atormentar, amenazar, acosar, humillar, avergonzar, etc.,8 conductas que, como puede intuirse, no siempre van a tener encaje en los preceptos tradicionales del Código penal. trabajo. El segundo es el del online harassment, también denominado cyberharassment, que suele emplearse para referirse a actos concretos, y no continuados, de bullying o stalking en el ciberespacio.13 El cyberharassment, por tanto, incluiría todas las conductas de cyberbullying (y también de cyberstalking cuando se realiza sobre un adulto) cuando no son realizadas de forma continuada por el mismo sujeto o sujetos sobre la misma víctima, entre las cuales las más habituales son las siguientes: el envío de mensajes amenazantes o abusivos a través del correo electrónico, la mensajería instantánea o el chat; la publicación de información falsa sobre la víctima; la suplantación de identidad con fin de burla, de obtener información o de dañar de cualquier modo al sujeto; la intimidación o coacción a través de comunicación escrita o verbal por medio de Internet; el insulto o calumnia leve y grave; la incitación a otras personas al acoso o a proferir amenazas o a agredir a la víctima; el envío de software malicioso o de material pornográfico u ofensivo para dañar a la víctima, etc.14 Este entendimiento del bullying incide en la comprensión del cyberbullying, que puede entenderse como el abuso de poder continuado de un menor sobre otro realizado por medio del uso de las TIC. El cyberbullying seguiría caracterizándose por conductas centradas en atormentar, amenazar, humillar, hostigar o molestar al menor, pero estas ya no tienen como ámbito la escuela ni ningún otro espacio físico, sino el ciberespacio, lo cual, según el parecer de la mayoría de los autores que han analizado el fenómeno, también conlleva que cambien los autores, las causas y las consecuencias de esta forma de acoso.9 En este sentido entiende Calmaestra que para hablar de cyberbullying debemos seguir exigiendo los caracteres de «intencionalidad, repetición y desequilibrio de poder», si bien Internet añade matices diferenciadores a esta forma de bullying: el anonimato, el carácter público de la agresión o el que la misma se pueda cometer sin restricciones espaciales ni temporales.10 Hay que tener en cuenta, además, que en ocasiones el cyberbullying puede constituir un acoso autónomo realizado exclusivamente en el ciberespacio, pero en otras es una extensión del acoso realizado en el ámbito escolar, utilizándose Internet para reforzar el bullying ya emprendido en el horario escolar.11 Los menores, por tanto, pueden sufrir, por parte de compañeros o de adultos, una amplia gama de ataques que pueden afectar a su honor, intimidad, libertad o dignidad. Para valorar la adecuada respuesta a los mismos, dado que no existe un tipo penal que delimite expresamente qué actos de cyberbullying y cuáles de las conductas de cyberharassment merecen respuesta penal, habrá que atender a los distintos bienes jurídicos afectados por los ataques. Pero también habrá que tener en cuenta el carácter continuado de la agresión, que es lo que distingue al cyberbullying del online harassment a partir del argumento del mayor daño psicológico que produce en el menor el hostigamiento repetido, así como la gravedad extrema que algunos actos individualizados pueden entrañar.15 Esto es especialmente importante en el ciberespacio, que tiene la capacidad de El cyberbullying, pues, debe diferenciarse conceptualmente de dos fenómenos que también han adquirido significación en los últimos años. El primero es el cyberstalking,12 que englobaría las conductas de acoso u hostigamiento continuado a adultos en el ciberespacio, y que, precisamente por la edad del sujeto pasivo del ataque, no es objeto de interés en este 8.J. Pardo, 2010. 9.J. J. Marco, 2010. 10.J. Calmaestra, op. cit., pág. 104 y ss. 11.M. A. Hernández e I. M. Solano, 2007. 12.El cyberstalking ha sido definido como el uso de Internet u otra tecnología de comunicación para hostigar, perseguir o amenazar a alguien (S. Basu, R. Jones, 2007). Hace referencia a la modalidad online de stalking, término que surgió en los años 90 tras la muerte de dos famosas a manos de personas que las habían acosado y perseguido durante un tiempo (A. Smith, 2009). En la literatura se distinguen dos formas de definir el concepto cyberstalking (F. Miró, 2012): por un lado, los que consideran que el cyberstalking cumple los requisitos del stalking pero en el ciberespacio, como la que explican M. Pathé y P. E. Mullen (1997), que entienden que son los comportamientos en los que un individuo inflige a otro intrusiones o comunicaciones repetidas y no deseadas; y, por otro, los que prefieren definirlo como una suma de actos de cyberharassment (P. Bocij, L. McFarlane, 2002; o B. Henson 2010). 13.F. Miró, op. cit., pág. 91. 14.P. Bocij, 2003. 15.D. Olweus, 1993. IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Fernando R. Agustina Miró Llinares 47 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Derecho penal, cyberbullying y otras formas de acoso (no sexual) en el ciberespacio hacer perenne lo que en el espacio físico es caduco,1 y de convertir una broma en una humillación perpetua.2 3. Tratamiento penal del ciberacoso a menores 3.1. Introducción Ya hemos afirmado que el hecho de que el Código penal no contenga una regulación expresa del cyberbullying o el cyberharassment no supone un obstáculo a la hora de castigar muchos de los ataques que los menores pueden sufrir a través del ciberespacio. Como resulta lógico, la jurisprudencia ha reconducido a distintos tipos penales muchas de las conductas que, con poca precisión, podríamos denominar de «acoso a menores a través de Internet». Y lo ha hecho, como no podría ser de otra forma, a partir de los distintos bienes jurídicos de los menores dañados o puestos en riesgo por los distintos ciberataques. El honor, la libertad, la intimidad, entre otros bienes de los menores que pueden ser afectados, delimitarán la concreta respuesta jurídica. Así, el que, conforme a la conceptualización criminológica, determinados comportamientos puedan definirse como cyberbullying o como actos de cyberharassment, no influirá, en principio, en que exista una respuesta penal o no a los mismos. Será la afectación a los distintos intereses recogidos en el Código penal lo que delimitará la gravedad de la sanción penal. La entrada en juego, sin embargo, entre los intereses que pueden ser afectados por las conductas que merecen nuestra atención, del bien jurídico «integridad moral» conlleva que muchas de las conductas de cyberbullying, esto es, en las que el abuso de poder es continuado, se hayan reconducido a estos tipos penales. Realizaré, por tanto, el análisis diferenciando, en coherencia con la descripción fenomenológica previa, entre la calificación jurídica de los actos de acoso continuado y la que debe realizarse en el caso de los distintos actos concretos de acoso que pueden afectar a otros bienes jurídicos distintos a la integridad moral. 3.2. La punición del acoso continuado a menores a través de los delitos contra la integridad moral Aunque la doctrina apenas se ha ocupado hasta el momento de esta fenomenología de cibercrímenes, son muchos los casos de acoso continuado a menores en el ciberespacio enjuiciados por los tribunales. Especialmente conductas de cyberbullying, es decir, también perpetradas por menores. Y puede decirse que los tribunales, de forma mayoritaria, acuden a los delitos contra la integridad moral para sancionar este tipo de cibercrímenes sociales. Siguen, en este sentido, idéntico criterio al generalmente aceptado para la calificación del bullying tradicional.18 Es el bien jurídico integridad moral el que, cuando hay un acoso de estas características realizado de forma permanente o continuada en el tiempo, se verá afectado y dará lugar, por tanto, a la aplicación del art. 173 CP. Así lo establece con claridad meridiana la SAP de Ávila 146/2008, de 20 de octubre, que añade que el tipo básico de los delitos contra la integridad moral se aplicará en concurso con los correspondientes tipos penales «de lesiones, amenazas o coacciones, incluyendo cualesquiera de las infracciones previstas en los arts. 617 y 620 CP».19 16.F. Miró, 2011. 17.H. Vandebosch, K. van Cleemput, 2009; J. Calmaestra, op. cit., pág. 115. 18.En cuanto a la calificación jurídica del bullying, es paradigmática la resolución final del denominado caso Jokin (sentencia del Juzgado de Menores n.º 1 de San Sebastián, n.º 86/2005, de 12 mayo, que fue recurrida ante la AP de Guipúzcoa, resolviendo esta en sentencia n.º 178/2005, de 15 julio). Otros casos de bullying tratados recientemente por la jurisprudencia española son, entre otros, el enjuiciado en la SAP de Castellón, n.º 32/2010, de 2 de febrero, en la que también se condena por un delito contra la integridad moral; también en la SAP de Córdoba n.º 78/2008, de 4 de abril; la SAP de A Coruña n.º 459/2008, de 6 de noviembre; la SAP de Castellón n.º 159/2007, de 31 de julio; la SAP de Ávila, n.º 37/2006, de 22 de febrero, y la SAP de Castellón n.º 386/2007, de 3 de julio, en la que además se impone a las autoras una falta de injurias del art. 620.2 por insultar a la víctima. Aunque también se han resuelto en ocasiones los casos de bullying imputando la falta de amenazas y vejaciones, como ocurre en la SAP de Barcelona n.º 427/2009, de 8 de mayo, y en la SAP de Ávila n.º 146/2008, de 20 de octubre, en la que se precisa que no se considera probado que la conducta del acusado «fuera constante y repetitiva». Estima en este último caso el juzgador que la actitud del menor, aun siendo un episodio de vejación reiterado, no reviste el carácter de sistemático y diario, de modo que haya llegado a producir una «quiebra moral» en la víctima, ni la nota de gravedad que exige el tipo. 19.En el mismo sentido, también la SAP de Castellón n.º 159/2007, de 31 de julio. IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Fernando R. Agustina Miró Llinares 48 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Derecho penal, cyberbullying y otras formas de acoso (no sexual) en el ciberespacio Conductas, por tanto, como la publicación en un portal web de fotos de una menor en situaciones comprometidas, mostrando sus prendas íntimas, ofreciendo, además, a los visitantes de la página la posibilidad de que pudiesen valorar las fotografías exhibidas y efectuar los comentarios que quisieran otorgándoles puntuaciones, todo lo cual fue divulgado por el propio acusado entre el resto de los escolares y compañeros, convirtiéndolos en públicos y notorios, con la consiguiente humillación de la menor, han dado lugar a la aplicación del art. 173 CP.20 Y también otras, de aparente menor entidad, como la utilización de redes sociales, en este caso Tuenti, para insultar de forma constante a la víctima.21 Y es que son muchas las resoluciones que exigen una prolongación del acoso en el tiempo para entender la existencia de una afectación suficiente de la integridad moral.22 Reiteración que, sin embargo, puede no exigirse en el caso de que la entidad del ataque sea tal que, pese a realizarse en una única ocasión, conlleve ya una suficiente afectación a la integridad moral de la víctima. Así lo han interpretado algunas resoluciones, como la SAP de Valencia n.º 488/2009, de 10 de septiembre, que enjuicia un conflicto que tiene su origen en una conducta anterior de sexting,23 en el que la propia víctima consintió la grabación de un vídeo a un amigo que posteriormente lo difundió en Internet e informó de ello a sus compañeros con la intención de humillarla. Señala la resolución, para fundamentar la aplicación del delito del art. 173.1 y no la simple falta de vejaciones, que «no es necesario, como se apunta en alguno de los recursos, que se trate de una pluralidad de actos o exista una continuidad o persistencia en el tiempo. Basta con una sola acción que tenga la suficiente gravedad como para integrar los demás elementos del tipo, el ánimo de humillar y el efectivo padecimiento. En este caso y aunque la acción fuera una sola, sus efectos perduraron con la progresiva difusión de las imágenes y con ella, el sufrimiento de la víctima», concluyendo finalmente que los hechos probados tienen una «entidad suficiente» como para aplicar el delito del art. 173.24 Y en sentido similar podríamos citar la SAP de Cádiz n.º 23/2011, de 26 de enero, enjuiciando la conducta de un menor que abordó a otro menor con minusvalía psíquica obligándole a correr cuesta arriba con los cordones de las zapatillas atados y grabándolo con el teléfono para colgarlo en YouTube. La resolución se refiere a la jurisprudencia del TS25 conforme a la cual las conductas no graves exigen reiteración para ser sancionadas por este precepto y señala que para que una conducta sea punible por este tipo, o bien deberá ser habitual o bien deberá existir un riesgo para la integridad moral de la víctima. Sin entrar en una valoración específica de las citadas resoluciones, lo cierto es que anticipan una línea interpretativa sobre la entidad lesiva de la dignidad de algunos ataques en el ciberespacio especialmente acertada. Como ya he señalado en otro lugar, la configuración comunicativa del ciberespacio puede implicar que acciones cuyos efectos se producen de forma instantánea y caduca en el espacio físico, queden fijadas en el ciberespacio durante un tiempo indeterminado y sigan desplegando efectos, en este caso de afectación de la dignidad, aunque la ejecución solo fuese una y durase un instante.26 Si tenemos en cuenta esto y a ello añadimos que, tal y como acertadamente han señalado los tribunales, el tipo básico de los delitos contra la integridad moral no exige habitualidad sino menoscabo de la dignidad, creo que es posible afirmar que la difusión de determinadas imágenes o textos degradantes en el ciberespacio adquiere un «sentido lesivo» mucho mayor que el que las mismas podían conllevar en el espacio físico. Esto no significa, en todo caso, que cualquier comunicación o difusión en Internet realizada con ánimo de burla vaya a resultar delictiva: deberá exigirse una entidad suficiente para considerar que hay lesión de la integridad moral de la víctima. De hecho, son muchas las resoluciones que no aprecian, en casos de acoso continuado a menores en Internet, delito del art. 173 CP y reconducen la infracción a una falta de vejaciones. Así lo entienden varios tribunales en casos 20.SAP de Baleares n.º 125/2010, de 15 de marzo. 21.Como la resolución dictada recientemente por la AP de Cantabria, en la que acordaba continuar el expediente en relación con la comisión de un presunto delito del art. 173 CP, argumentando que en ese caso se encontraban «ante una situación prolongada en el tiempo, realizada presuntamente por varias menores, con un objetivo común: acosar y hostigar a otra menor» (AAP de Cantabria n.º 291/2012, de 25 mayo). 22.En este caso, la SAP de Baleares n.º 125/2010, de 15 de marzo, especifica que «los hechos se iniciaron posiblemente en el año dos mil cinco, pero continuaron los mismos con distintas facetas hasta que estallaron en mayo del 2007». 23.Acerca de la clara relación entre el sexting y el posterior acoso a menores, vid. J. R. Agustina, 2010. 24.SAP de Valencia n.º 488/2009, de 10 de septiembre. 25.STS 1218/2004, de 2 de noviembre. 26.F. Miró, op. cit., pág. 150. IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Fernando R. Agustina Miró Llinares 49 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Derecho penal, cyberbullying y otras formas de acoso (no sexual) en el ciberespacio de publicación de mensajes ofensivos,27 perfiles falsos con comentarios vejatorios,28 conductas calificadas como «hacerle la vida imposible» a la víctima29 o la difusión de imágenes trucadas de una menor,30 todos ellos llevados a cabo en la red social Tuenti.31 Y, por supuesto, corresponde la absolución en aquellos casos, como los enjuiciados por la SAP de Córdoba n.º 59/2009, de 26 febrero, en los que lo que se difunde son imágenes no ofensivas ni denigratorias o comentarios que lo sean pero de tan escasa relevancia que no merezcan una respuesta penal.32 En ocasiones, por otro lado, el cyberbullying puede ser, como se dijo en el análisis fenomenológico, una extensión en el ciberespacio de un bullying tradicional que se ejerce sobre la víctima.33 En ese caso, evidentemente, la entidad del acoso o ataque a la dignidad no debe valorarse teniendo en cuenta por separado lo ejecutado en cada uno de los ámbitos, sino la posible afectación de la dignidad moral que se puede producir por la unión de todos ellos.34 Por último, hay que precisar que gran parte de las formas de bullying continuado a menores contienen en sus dinámicas comisivas ataques suficientemente graves a otros bienes jurídicos como la libertad, la intimidad o el honor, como para ser sancionados, junto al posible atentado a la integridad moral, por medio de los diferentes tipos penales que protegen tales bienes jurídicos. La protección de tales intereses y la integridad moral tienen su nexo en art. 177 CP. Efectivamente, conforme al art. 177, si además del atentado a la integridad moral penado en el art. 173.1 se produjere lesión o daño a la vida, integridad física, salud, libertad sexual o bienes de la víctima o de un tercero, se castigarán los hechos 27.En este caso, la AP de Ourense hace responsable al menor por una falta continuada de vejaciones injustas (SAP Ourense n.º 318/2008, de 24 septiembre). 28.SAP de Segovia n.º 32/2011, de 24 mayo, que enjuicia un caso en el que se publicó el perfil falso, subiendo también hasta 56 fotos de la víctima, con comentarios que la ridiculizaban como «están llegando», en referencia a la fotografía de un platillo volante; o «no se bromea», sobre un extraterrestre; u «orgullosa de serlo», en relación a unas viñetas sobre «cómo ser un friki de provecho y no morir en el intento»; o «mis ídolos», sobre los personajes de dibujos animados de Dragon Ball; o «mi amor hechizado», con la fotografía del personaje de Harry Potter; «mi médico», con la imagen del personaje protagonista de House; o «mis ratos libres», con la imagen de la Mona Lisa; «mi inspiración», con el cuadro de la Inmaculada Concepción de Murillo; «lo mejor de lo mejor», sobre el libro de García Márquez Cien años de soledad; «existen», con la imagen de un espectro; «help», con la fotografía del personaje de Betty la Fea, etc. 29.SAP de Madrid n.º 400/2012, de 27 de diciembre. 30.Sentencia n.º 67/2009, de 25 febrero, del Juzgado de Instrucción de Sevilla, que sanciona como vejaciones injustas la conducta de un menor que había colocado en su perfil una fotografía manipulada en la que aparecía la víctima, compañero de su clase en el colegio, tocando un violín en el interior de una mira telescópica, compartiéndolo con todos sus contactos y provocando comentarios despectivos hacia su persona. 31.En similar sentido, también haciendo responsable a una de las acusadas por vejaciones que asimismo se sirvió de la red social Tuenti, la reciente SAP de Islas Baleares n.º 271/2012, de 26 octubre. 32.Señala el tribunal que «la mera publicación de una fotografía de grupo en la que aparece la denunciante en una actitud correcta y con una imagen que en ningún caso es ofensiva o denigratoria, no puede considerarse constitutiva de vejaciones injustas, sin perjuicio del alcance que dicha actuación pudiera tener sobre el derecho a la intimidad o a la propia imagen en la esfera civil». Añade posteriormente que «más problemática resulta, por el contrario, la tipificación de las expresiones proferidas en relación con dicha fotografía, relativas a la supuesta falta de gusto o acierto de la denunciante al arreglarse (vestirse, peinarse, maquillarse….) […] pero no alcanzan entidad suficiente para ser consideradas infracción penal». 33.Y es que, como recuerdan M. A. Hernández e I. M. Solano (2007), hay dos tipos de cyberbullying: «aquel que actúa como reforzador de un bullying ya emprendido, y aquella forma de acoso entre iguales a través de las TIC sin antecedentes». Explican las autoras que en la primera modalidad se acude al cyberbullying cuando las formas tradicionales de acoso ya no son eficientes o satisfactorias para el acosador, utilizando la red para ver amplificados los efectos sobre la víctima. En esta primera modalidad, el acosador es más fácilmente identificable, puesto que ya ha habido un acoso presencial y directo. En la segunda modalidad de cyberbullying que formulan las autoras, sin embargo, no tiene por qué haber un motivo aparente para que se lleve a cabo el acoso, pues no hay antecedentes presenciales, es decir, el acosador no conoce previamente a la víctima. Con esta segunda modalidad parecen referirse a los casos en los que el acosador elige a la víctima al azar, de forma aleatoria a través de la Red. En este segundo caso, y como consecuencia del diferente móvil del acosador, el cyberbullying tendrá unas características distintas. 34.Así lo hace, acertadamente, la SAP de Granada (Sección 1.ª) n.º 462/2012, de 24 septiembre, en un caso en el que la menor acusada sometió a otra alumna de su mismo instituto de forma sistemática durante un curso escolar a una persecución y acoso caracterizado por hacerla objeto de continuas amenazas, insultos y burlas, bien de forma personal (muchas veces apoyada por un grupo de amigas que posteriormente realizaron la actividad educativa propuesta por los equipos de mediación), y finalmente a través de Tuenti publicando insultos graves a la víctima. IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Fernando R. Agustina Miró Llinares 50 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Derecho penal, cyberbullying y otras formas de acoso (no sexual) en el ciberespacio separadamente con la pena que les corresponda por los delitos o faltas cometidos, excepto cuando aquel ya se halle especialmente castigado por la ley.35 Así lo hace la SAP de Málaga n.º 452/2009, de 16 de septiembre, en un supuesto en el que tres escolares agredieron en varias ocasiones a una compañera mientras una de ellas grababa la agresión en un teléfono móvil, grabación que después enviaron por Bluetooth a otros alumnos. En este caso, además de imputar en coautoría el art. 173.1 por la conducta de acoso llevada a cabo por las menores, aplican también el delito de descubrimiento y revelación de secretos, declarando que «el delito del art. 197 del Código penal en este caso viene constituido por la captación de unas imágenes que formaban parte de la intimidad de la víctima y de su derecho a la propia imagen, sin su consentimiento, y su posterior distribución entre terceras personas».36 y añade que «el primer nivel de lucha contra el acoso escolar debe estar liderado por los profesores del centro educativo […]. El abordaje debe ser conjunto, y preferentemente desde los niveles básicos de intervención: padres, profesores y comunidad escolar». 3.3. La punición de actos de online harassment por otros preceptos del CP Para finalizar con el análisis de la respuesta penal a las distintas formas de acoso (no sexual) a menores en el ciberespacio, conviene fijarnos en las posibilidades de sanción de ciberataques ocasionales, en el sentido de no reiterados, a la libertad, intimidad u honor entre otros intereses. Como ya se ha visto, es posible la aplicación del propio delito del art. 173 CP cuando un solo ciberataque sea de tal entidad que por sí solo pueda afectar gravemente a la integridad del menor, teniendo en cuenta, además, la especial naturaleza de Internet en cuanto a la posibilidad de que los efectos se eternicen y multipliquen en el tiempo. Pero no es la integridad moral el único bien que puede ser lesionado por alguna de las formas de ciberacoso que se han identificado. También puede haber atentados a otros bienes que, con referencia a casos en los que la jurisprudencia ha aplicado frente a concretos cibercrímenes los tipos penales que tratan de proteger los citados intereses, vamos a analizar a continuación por separado. Como puede advertirse, para finalizar con esta parte del trabajo, prácticamente todos los casos enjuiciados hasta el momento son de bullying, esto es, el agresor es también un menor. Para el caso en el que el agresor sea un adulto valdría, en todo caso, lo afirmado, con una excepción: cuando el acoso es entre menores deberá aplicarse la Ley orgánica 5/2000, de 12 de enero, reguladora de la responsabilidad de menores, debiendo tenerse en cuenta, a la hora de la selección de las medidas que hay que aplicar, la Instrucción 10/2005, de 6 de octubre, de la Fiscalía General del Estado, que destaca que no se puede caer en la simplificación de reducir el abordaje del acoso escolar «mediante medidas puramente represivas y menos aún a su tratamiento centrado en la jurisdicción de menores, pues este enfoque simplista puede llevar a un enquistamiento del problema», Empezando por el bien jurídico libertad, y dejando al margen la libertad sexual, que podría ser analizada en un futuro trabajo, sabemos que nuestro sistema penal incluye una completa protección de tal bien tanto en el momento de la 35.Estas pautas, no obstante, deben de nuevo matizarse en el caso de que sea de aplicación el Derecho Penal de Menores: si bien son plenamente aplicables en cuanto a la calificación jurídica de los hechos, a efectos de determinar la consecuencia habrá de estarse a las previsiones específicas que para determinar la medida en caso de concurso ideal se contienen en el art. 11 LORPM, de acuerdo a la interpretación contenida en el punto V.5 de la Circular 1/2000, de 18 de diciembre. En Derecho Penal de Menores no se aplica, pues, la agravación de la consecuencia jurídica prevista para el mismo supuesto en el art. 77 CP, sino que se sigue el principio de absorción. 36.Y no es esta la única resolución en la que se plantea la aplicación del art. 197 en un caso de ciberacoso entre menores, pues también el Auto de la AP de Barcelona de 27 septiembre 2006 apunta la posibilidad de su aplicación en el caso en que una menor procedió voluntariamente a la remisión de fotografías propias en las que aparece desnuda a una dirección de correo electrónico correspondiente a un amigo, quien a su vez la habría remitido a otro, hasta llegar al alcance de la «amiga» que dijo haber procedido a su colocación en una dirección de Internet. Considera la AP de Barcelona en este caso, sin embargo, que no pueden «completarse las exigencias típicas del precepto enunciado por cuanto es la propia titular que pretende vulnerada su intimidad quien dispone de ella y permite el acceso de terceros a unas fotos del carácter íntimo que sin duda tenían las remitidas por e-mail». Y concluye el tribunal que el Derecho penal «no puede desplegar sus efectos tutelares respecto de intereses o bienes jurídicos cuyo titular, y primer interesado en la protección, no ha adoptado unas mínimas cautelas autoprotectoras». Sí que se consideró, sin embargo, aplicable el delito de descubrimiento y revelación de secretos a la conducta del acusado que colgó en Tuenti una fotografía de la víctima, invitando a los compañeros y amigos a hacer comentarios sobre él, y respondiendo estos en los días siguientes con expresiones despectivas y de mofa (SAP de Murcia n.º 7/2010, de 29 enero). IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Fernando R. Agustina Miró Llinares 51 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Derecho penal, cyberbullying y otras formas de acoso (no sexual) en el ciberespacio toma de decisiones como en el de su ejercicio. Tal interés puede ser lesionado a través de Internet por medio de amenazas o coacciones, respectivamente, siendo mucho más frecuente la punición de las primeras cuando se realizan en el ciberespacio. Así, aunque lo más habitual son las resoluciones en las que se condena como autor del delito de amenazas a un adulto por anunciar, a través de cualquiera de los medios de comunicación que permiten Internet y la telefonía móvil, un mal a otro adulto,37 también están comenzando a ser frecuentes conductas de acoso a menores relacionadas con el propósito de obtener imágenes de contenido sexual a través de cámara web. Tales actos pueden dar lugar a la aplicación de delitos sexuales (como el de corrupción de menores), pero también pueden ser sancionados por el delito de amenazas.38 Y no solo en estos casos el delito de amenazas se aplicará frente a actos de este tipo en el ciberespacio: por citar una variedad de supuestos, la SAP de Tenerife n.º 541/2005, de 5 mayo, entendió aplicable el delito de amenazas al menor que realizó reiteradas llamadas a la víctima, amenazándole; 37.Por citar algunos ejemplos significativos, en la SAP de Barcelona n.º 1242/2009, de 30 de septiembre de 2009, se condena por amenazas al acusado que dirige por correo electrónico a su ex pareja expresiones tales como «si no eres para mí no serás para nadie». Similar conducta se sanciona en la SAP de Burgos de 23 de diciembre de 2002, en la que se condena al acusado por una falta continuada de amenazas por el envío reiterado y persistente de mensajes vía Internet a su excompañera sentimental, con un fondo intimidatorio que le infundía temor y desasosiego. Y también es similar la conducta sancionada en la SAP de Madrid n.º 407/2006, de 21 de noviembre de 2006, en la que se condena al acusado como autor de una falta de amenazas por enviar de forma reiterada correos electrónicos a la acusada, con la que tuvo una relación sentimental, en los que le advertía que no iría tranquila por la calle y su intención de lesionar a su novio actual. También en la SAP de Madrid n.º 1115/2007, de 28 de diciembre de 2007, en la que se condena al acusado como autor de un delito continuado de amenazas por enviar mensajes de correo electrónico a la víctima, una vez finalizada la relación con ella, en tono intimidante. En la SAP de León n.º 73/2001, de 7 de mayo de 2001, se condena al acusado como autor de una falta de amenazas porque envió tres textos por correo electrónico en los que vertía diversos insultos y amenazas contra dos mujeres. Por su parte, en la SAP de Zaragoza n.º 8/2008, de 3 de marzo de 2008, se condena por un delito de amenazas al acusado por enviar correos electrónicos, tanto a la víctima como a su actual pareja, pues se pone de manifiesto en la sentencia que «a lo largo de toda la secuencia de las mismas el acusado desplegó una conducta de contenido inequívocamente intimidatorio, que resume de manera clara y contundente, en condiciones de aptitud lo suficientemente sólidas como para hacer llegar al ánimo de los perjudicados que su vida estaba realmente en peligro, cosa que, desgraciadamente, ocurrió en el caso de Enrique». Esta sentencia posteriormente es confirmada por la STS n.º 949/2008, de 27 de noviembre de 2008. En la SAP de Barcelona n.º 370/2010, de 23 de marzo de 2010, se condena al acusado por un delito continuado de amenazas por mandar correos electrónicos a su expareja, ya que, como explica el tribunal, «efectivamente la conducta del acusado con tales expresiones intimidatorias (existe el anuncio de un mal expreso, serio, firme y que además es objetivamente capaz de causar un estado de temor en la persona contra quien se dirige) denota su intención de ocasionar inseguridad y temor a la denunciante como lo demuestra el dato que llegó a solicitar una orden de protección, y que permite llegar al convencimiento de que con las concretas expresiones proferidas por el acusado, únicamente solo un propósito le movía, cual era perturbar y atemorizar a su oponente, con independencia de que en su fuero interno existiere o no la intención de llevar a cabo lo amenazado, lo cual, es indiferente para apreciar el delito de amenazas». En similar sentido, una reciente resolución en la que se señala que «anunciar a una persona, con la que se ha mantenido una relación sentimental, más o menos duradera, que un video, grabado con su consentimiento, es verdad, de la pareja manteniendo una relación sexual, acto, en principio, perteneciente a la más estricta intimidad, va a ser difundido en Internet, a través de una plataforma pública como es YouTube, no se puede entender como una mera vejación sino que implica la amenaza de un mal que constituiría un auténtico delito de injurias y con publicidad, art. 208 y 209 del Código penal, lo que, por tanto, los llevaría a entender que nos encontramos ante una amenaza no condicional de un mal que constituiría un delito contra el honor, perfectamente sancionable al amparo del art. 169 párrafos primero y último del vigente C. Penal dado que ese acto, publicar en Internet una grabación obtenida a partir de la confianza propia de una relación sentimental y de algo tan íntimo como un encuentro sexual, no puede calificarse sino como un acto destinado a lesionar la dignidad de otra persona y a menoscabar su fama o su propia estimación […]» (SAP de Las Palmas n.º 449/2008, de 9 de diciembre de 2008). 38Así, la SAP de Vizcaya n.º 759/2008, de 18 de noviembre de 2008, condenó al acusado, además de por otros delitos relativos a la corrupción de menores, por un delito de amenazas. Explica la sentencia que el acusado obligó a una chica de 15 años a que se realizara tocamientos y masturbaciones ante su cámara web y detalla la sentencia que «en la primera ocasión, el acusado la amenazó con difundir entre sus amigos los correos personales de los que se había apoderado y en la segunda, la amenazó con difundir entre sus amigos las grabaciones que decía haber obtenido de ella e, incluso, le dijo que las colgaría en “Internet”, e intentó bajo presión, también, conseguir un encuentro con la menor con el fin de mantener con ella relaciones sexuales. Resulta pues acreditado que el acusado en la medida que con tales requerimientos y amenazas logró vencer la voluntad de la menor y dar satisfacción a sus deseos sexuales inició a la menor en la ejecución de actos libidinosos encaminados a su corrupción, no se trataba de ningún juego como ya se ha expresado, y sin duda esta conducta ha causado en Aurelia un perjuicio en su libertad e indemnidad sexual pues, según ella misma declara y ratifica su madre, siguió tratamiento psicológico aunque fuera por tiempo breve». IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Fernando R. Agustina Miró Llinares 52 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Derecho penal, cyberbullying y otras formas de acoso (no sexual) en el ciberespacio la SAP de Castellón n.º 115/2011, de 12 abril, que también hace responsable por el delito de amenazas al menor que pretendió amedrentar a otro mediante reiterados correos electrónicos; o la SAP de La Rioja n.º 8/2006, de 17 enero, que consideró responsable de una falta del art. 620.2 al menor que envió varios mensajes de teléfono móvil al primero diciéndole «subnormal; deja a Lucía o te parto la cara», así como «que le iba a dar un tortazo» y «que le iba a dar dos hostias bien dadas».39 Este tipo de conductas, sin embargo, no siempre son situadas por nuestros tribunales en el ámbito punitivo de las amenazas, siendo calificadas en algunos casos como coacciones.40 Lo cierto es que algunos de estos comportamientos no afectarán únicamente a la libertad en el proceso de formación de la voluntad, sino a la misma libertad de obrar, y la exagerada tendencia de algunos tribunales a aceptar la espiritualización del elemento «violencia» en las coacciones puede llevar a la calificación como coacciones de hechos más cercanos a la violación de la libertad decisoria y no ejecutoria. En este sentido resulta interesante la SAP de Barcelona n.º 381/2009, de 14 de abril de 2009, que condenó como autor de un delito de difusión de pornografía infantil utilizando menores de trece años y de un delito de coacciones, a un sujeto que, aprovechando el anonimato de Internet, se hizo pasar por un adolescente para conseguir que una menor de 14 años le mandara fotos de ella desnuda, amenazándola posteriormente con difundirlas si no le mandaba más fotos suyas y de su hermana de 9 años.41 Tal resolución fue recurrida ante el TS, que, por medio de la STS n.º 1107/2009, de 12 de noviembre de 2009, anuló parcialmente la sentencia en el sentido de sustituir la condena de coacciones por amenazas,42 argumentando que los elementos constitutivos del delito de coacciones no concurren en los hechos enjuiciados, pero sí los del delito de amenazas condicionales. Señala el tribunal que aunque el bien jurídico protegido en ambos delitos es el mismo, la coacción exige violencia, que no puede ser ampliada expandiendo el ámbito del delito, y también una mayor inmediación entre el coaccionante y el coaccionado en cuanto a la actividad del primero de torcer la voluntad del segundo; todo lo cual no concurre en un caso en el que la víctima se negó a enviar fotos de ella desnuda, ante lo cual «el autor no ejerce ninguna fuerza física ni psíquica, sino que pone en marcha una conducta típica del delito de amenazas, contemplada en el artículo 169 del Código penal; es decir, amenaza a la menor con causarle un mal que en este caso concreto afecta a su integridad moral, a 39.Y en este último sentido, aplicando también una falta de amenazas, se pronuncia la SAP de Cádiz n.º 118/2012, de 17 abril, en la que un menor amenazó a otro a través de Tuenti. Aunque se pueden encontrar también escasas absoluciones, como la SAP de Soria n.º 83/2012 de 15 noviembre. 40.Así lo hace la SAP de Granada n.º 283/2009, de 25 de mayo de 2009, en la que se condena al acusado, además de por otros delitos relativos a la corrupción de menores, por seis faltas de coacciones y no por delito de amenazas. Consta en los hechos probados de la sentencia que el acusado mantenía contacto con las víctimas a través de un chat y realizaba conductas dirigidas a conseguir que los menores le enseñaran sus genitales a través de su cámara web. De nuevo, y pese a la calificación de los hechos como coacciones, los hechos relatados en la resolución parecen cuadrar más bien en el ámbito de las amenazas: «Uno de los menores dijo que le amenazó diciéndole que era un policía y que si no mandaría sus fotos por Internet, luego le dijo que era profesor de informática y por su bien que lo aceptara en el Messenger. Otra víctima dijo que no recordaba si le había amenazado con mandarle un virus, pero si se acuerda que le dijo que le iba a mandar a su padre las facturas de los códigos. Otra víctima dijo que le amenazó con mandarle un virus o algo así, pero lo veía una tontería y no llegó a sentir miedo con las amenazas. Otra víctima dijo que un par de veces le amenazó con que si decía algo lo buscarían en Mallorca, y que le podía infectar el ordenador con un virus. Otra víctima manifestó que cuando pasaban de él, los amenazaba, diciendo que les podía hacer daño. Y otra víctima dijo que le amenazó con ir a buscarlo a su casa y mandarle un virus.» Curiosamente, la propia resolución reconoce que no se daba en el caso enjuiciado «una violencia psíquica de tal intensidad y grado de malicia que constriñera gravemente la legítima voluntad y libertad de los menores, ni existía una idoneidad de medios para su imposición; en tanto que lo desconectaban cuando les parecía, y en otras ocasiones no le hacían mucho caso, y trataban de engañarlo para conseguir sus recargas a los móviles o códigos de juegos». 41.Explica la sentencia que «en el presente caso, atendidas las circunstancias personales de la víctima, una menor de 14 años, el modo de comisión de los hechos como fue el aprovechamiento por el acusado del anonimato que permite Internet, simulando ser persona adolescente para lograr sus objetivos pues es evidente que Penélope, de tener conciencia de la edad del acusado, nunca le habría permitido tener acceso a su persona a través de Internet, así como lo que constituyó el objeto y finalidad de la exigencia y la conminación del mal, revelan en el acusado una malicia que obliga a calificar las coacciones como graves y, por ende, constitutivas del delito del artículo 172». 42.Lo cual, como el propio tribunal recuerda, no es problemático, dado que a partir de la sentencia de 23 de noviembre de 1989 y 5 de julio de 1990, «hasta la más reciente de 19 de junio de 2009, siempre se ha considerado que las amenazas y las coacciones son delitos homologables, por lo que no vulnera el principio acusatorio el cambio de calificación jurídica». IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Fernando R. Agustina Miró Llinares 53 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Derecho penal, cyberbullying y otras formas de acoso (no sexual) en el ciberespacio su intimidad y honor, e incluso a su autodeterminación en su comportamiento sexual».43 Cuestión distinta, lógicamente, sería si la comunicación del sujeto activo con el sujeto pasivo sirviera para impedir al sujeto hacer lo que la ley le permite. Esto es lo que se ha interpretado por parte de varias audiencias provinciales en casos de envío de SMS44 o de correos electrónicos, que, independientemente de su capacidad para amenazar, suponen ya una intromisión en la libertad ejecutiva del sujeto de mantener ese tipo de comunicación con una persona con la que no quieren hacerlo.45 Lo complejo en estos casos, sin embargo, es la extensión del concepto de violencia que se produce cuando se entiende que la intimidación producida a través de correos electrónicos y de la amenaza de publicar contenidos íntimos en Internet es equiparable a la fuerza. A mi parecer, aciertan las resoluciones que suelen calificar estas conductas como coacciones leves constitutivas de falta,46 pues solo extraordinariamente, cuando la intimidación ejercida a través del ciberespacio sea tan grave como para ser considerada una vis compulsiva impeditiva, podrá entenderse la misma equivalente a la fuerza exigida para la violencia en las coacciones. En el resto de los casos estaremos, más bien, ante amenazas condicionales que, en muchos casos, también serán agravadas si se acaba cumpliendo la condición exigida. Menos complicada parece la apreciación de delitos contra el honor cometidos contra menores a través del ciberespacio, como demuestra el amplísimo catálogo de sentencias de audiencias provinciales en las que se condena como autores de delitos o faltas de injurias a sujetos que realizan tales conductas a través de Internet. Así, por medio de la publicación de fotos obscenas o denigratorias en páginas web47 43.Añade la sentencia que «el componente de la amenaza era claro y estaba claramente expuesto. La menor pudo perfectamente negarse sopesando las consecuencias o bien, como era de esperar, ceder ante el amenazante para evitar un mal concreto y específico y no genérico como en la coacción. Si se negaba, colgaría en la red las fotos de las que ya disponía y las divulgaría lesionando con ello su honor e intimidad, su integridad moral y su capacidad de autodeterminarse sexualmente. El mismo hecho probado no sitúa ante situación de ponderación de males al añadir que por encima de las conminaciones, la menor, más adelante, decidió negarse a ceder al chantaje y cortó toda relación con el acusado […]». 44.Es lo que ocurre en el supuesto enjuiciado por la SAP de Zaragoza n.º 374/2003, de 20 de noviembre de 2003, que califica como coacciones la conducta de un sujeto que enviaba través de Internet mensajes a los teléfonos móviles de su excompañera sentimental y unas amigas, con frases de contenido sexual insultante, con la intención de conseguir el aislamiento del grupo; y lo consiguió, pues el grupo se desintegró, al menos en lo que respecta a esta última, «utilizando una intimidación en modo alguno permitida y que ha de considerarse como grave». 45.Son paradigmáticas en este sentido las tres resoluciones siguientes: la SAP de Madrid n.º 1097/2009, de 30 de septiembre de 2009, que condena al acusado por el envío reiterado de correos electrónicos a su ex pareja, «pretendiendo determinar cómo ha de transcurrir su vida, estableciéndole reglas de conducta, cuestionando de forma constante su actuación como madre, utilizando, también continua y reiteradamente a su hijo como instrumento de presión, de chantaje emocional, para obligarla a admitir sus constantes intrusiones, contra su voluntad, expresa y reiterada […]»; la SAP de Pontevedra n.º 15/2009, de 29 de enero de 2009, que condena al acusado por un delito de coacciones hacia su expareja alegando que quedaba acreditado que el acusado le enviaba, de manera reiterada y constante, correos electrónicos, «produciéndole inquietud y desasosiego»; y también la SAP de Barcelona n.º 522/2009, de 14 de abril de 2009, que condena por un delito continuado de coacciones al acusado, por la presión que ejerció hacia la víctima mediante el envío de correos electrónicos, ya que aquella no quería mantener con el mismo ningún contacto, y en contra de su voluntad el acusado persistió «a través de herramientas como el correo electrónico, que eran de uso imprescindible para el trabajo, como es el caso de la perjudicada, que recibía esos correos del acusado en su dirección de la universidad». Más discutible resulta en este caso la calificación como coacciones (concretamente coacciones en el ámbito familiar) llevada a cabo por la SAP de Madrid n.º 718/2010, de 30 de abril de 2010, en la que se enjuicia el comportamiento de un sujeto que tras convivir con la víctima durante un tiempo, le remitió diversos mensajes de correo electrónico en los que le hacía saber su intención de reanudar la relación sentimental, sin obtener un resultado positivo en sus intentos, por lo que las comunicaciones se tornaron insistentes, pese a conocer la oposición de la víctima a recibir esos mensajes. Según relata la sentencia, «a consecuencia de ello, el acusado le remitió al menos 15 mensajes de correo electrónico, a algunos de los cuales adjuntó fotografías, incluyendo en algunos casos unas de ambos desnudos y manteniendo relaciones sexuales; mientras que en uno le remitía un enlace a la página web www.Morbocornudos.com, página en la que aparecen diversas mujeres manteniendo relaciones sexuales bajo la rúbrica de tratarse de exnovias y exmujeres de diferentes hombres, envío que acompañó del texto “imagínate en esta web”. Como consecuencia de esta situación la víctima sufrió un trastorno adaptativo con síndrome depresivo por el que precisó asistencia y terapia psicológica». Además de que resulta complicado describir el comportamiento como realizado «con violencia», la libertad afectada aquí es más la decisoria que la de obrar. 46.Así, por ejemplo, la SAP de Vizcaya n.º 615/2004, de 1 de septiembre de 2004, que condena al acusado como autor de una falta de coacciones, por intentar, a través del envío de correos electrónicos, que la víctima se relacione con él y contra la voluntad de la víctima. IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Fernando R. Agustina Miró Llinares 54 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Derecho penal, cyberbullying y otras formas de acoso (no sexual) en el ciberespacio o de su remisión por e-mail a personas determinadas,48 del envío de correo electrónico a sujetos concretos49 en los que se realizan declaraciones atentatorias del honor y la dignidad de las personas,50 de la publicación en blogs de expresiones insultantes dirigidas a una persona en particular,51 del envío por Messenger de mensajes con semejante contenido,52 de la publicación en foros de opinión de expresiones insultantes,53 o incluso mediante conductas atentatorias del honor más elaboradas como la consistente en insertar en varias direcciones de Internet diversos anuncios en los que se incitaba a llamar al teléfono de la perjudicada con la finalidad de tener una conversación de tipo sexual,54 el ciberespacio es fuente inagotable de atentados contra el honor de las personas que merecen una respuesta penal proporcionada por medio del delito de injurias del artículo 208 CP, y de la falta del artículo 620.2 CP, según la gravedad; e incluso del delito de calumnias del artículo 205 cuando lo que se difunda a través de Internet sea la comisión de un delito.55 Hay que tener en cuenta, además, que el artículo 209 agrava la pena de las injurias (y el artículo 206, la de las calumnias) cuando el hecho se realizase con publicidad. Excepto en los casos en los que se transmita la injuria por medio de correo electrónico, SMS o cualquiera de las formas de mensaje directo a un destinatario que permiten las TIC, este agravante se aplicará en todos los demás supuestos tales como difusión de mensajes en páginas web, foros, redes sociales, etc., cuando el mensaje se ponga a disposición de un número indeterminado de sujetos.56 Conclusiones Podría afirmarse, por tanto, que pese a las problemáticas aparentes que plantea la ausencia de tipificación expresa 47.La SAP de Cádiz n.º 75/2005, de 22 de abril de 2005, condena al acusado como autor de una falta de injurias por colgar en una página de Internet unas fotos obscenas de la denunciante. 48.De este tipo son los hechos enjuiciados en la SAP de Palencia n.º 32/2006, de 28 de junio de 2006, que condena al acusado como autor de un delito de injurias graves con publicidad, por enviar a dos amigos fotos de su exnovia desnuda, que, además, cuelga posteriormente en diversas páginas de Internet, no existiendo posibilidad de quitarlas. Detalla la sentencia que «sería suficiente con el hecho de que se hubiesen remitido las fotos por medio de un fichero a los llamados Alexander y Aurelio para entender que se hubiese cometido el delito de injurias, pero a mayor abundamiento se ha dado también por acreditada la inmisión en páginas de Internet de un programa conteniendo las mismas fotografías, y tal acción es encuadrable en el tipo penal en cuestión». 49.La SAP de Castellón n.º 10/2003, de 18 de enero de 2003, condena al acusado como autor de un delito continuado de injurias graves con publicidad, por realizar una campaña de descrédito contra un abogado en base al desacuerdo con la intervención profesional de este en su proceso de separación, enviando varios correos electrónicos al buzón del Colegio de Abogados, sin mayor publicidad que la de los empleados del colegio que abrían el correo, faltando en sus comentarios al letrado. 50.Es el caso de la SAP de Murcia n.º 9/2003, de 29 de enero de 2003, que condena al acusado por proferir injurias a través de mensajes en Internet «empleando reiteradamente los términos “puta”, “gorda” y “zorra” en referencia a esta última.- Asimismo, en el mensaje remitido el día seis de marzo le decía: “… y cuidado con las palizas”, en referencia a una agresión que la Sra. Clara había sufrido anteriormente». También en la misma audiencia provincial se condena, en la SAP de Murcia n.º 194/2009, de 20 de julio de 2009, a un sujeto como autor de una falta de injurias leves por presentar, vía Internet, una reclamación contra la directora de la biblioteca municipal, refiriéndose tanto a ella como a otra trabajadora de esa biblioteca con expresiones insultantes. 51.En la SAP de Lleida n.º 184/2010, de 25 de mayo de 2010, se condena al acusado como autor de una falta de injurias por poner en un blog de Internet expresiones como “alcohólico” dirigidas al alcalde. 52.En el caso de la SAP de Lleida n.º 159/2010, de 7 de mayo de 2010, que condena al acusado como autor de una falta de injurias por enviar expresiones a la víctima por el Messenger como “puto diablo colombiano, basura operada de quirófano, muérete ramera, prostituta colombiana y escoria”. 53.Así son los hechos enjuiciados en la SAP de Murcia n.º 134/2009, de 21 de octubre de 2009, que condena a la acusada por una falta de injurias. 54.Suceso enjuiciado por la SAP de Navarra n.º 124/2004, de 29 de junio de 2004, que condenó por el mismo a la acusada como autora de un delito de injurias graves con publicidad. 55.Tal y como sucede, por ejemplo, en la SAP de Asturias n.º 174/2004, de 20 de mayo de 2004, que condena al acusado por dos delitos de calumnias por la publicación en un foro de una página web de Internet de una información en la que se imputaba a las querellantes la apropiación de fondos pertenecientes a una sociedad, que pudiera ser constitutiva de un delito de malversación de caudales o fraude de subvenciones; la SAP de Sevilla n.º 152/2000, de 6 de marzo de 2000, que condena a un periodista que publica en un periódico de Internet un anónimo que contiene una imputación falsa de hechos que pueden constituir delitos de prevaricación, cohecho y colaboración con banda armada, añadiendo consideraciones propias para conferir mayor verosimilitud a los hechos; y en similar sentido la SAP de Zaragoza n.º 197/2008, de 1 de abril de 2008. 56.E. Orts, M. Roig, 2001. IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Fernando R. Agustina Miró Llinares 55 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Derecho penal, cyberbullying y otras formas de acoso (no sexual) en el ciberespacio de los delitos de cyberbullying o de cyberharassment, el Código penal, a través de los distintos tipos penales que regulan intereses esenciales de los menores tales como la dignidad, la intimidad, el honor o la libertad, responde adecuadamente a los principales ataques a los mismos cometidos a través de Internet. Lo hace frente al cyberbullying, cuando el acoso al menor por parte de otro menor se concrete en una continuidad de acciones que afecten a su integridad moral; y también cuando, pese a no existir actos repetidos de ciberacoso, la entidad del ataque sea tal que se pueda considerar lesionado tal bien jurídico. También se responde adecuadamente a los más graves actos que conforman esa macrocategoría fenomenológica que es el online harassment. Por medio, muy especialmente, de los delitos de amenazas, en ocasiones también por medio de las coacciones cuando sea posible interpretar que hay una vis compulsiva que impide realizar lo no prohibido, y por medio de los delitos de injurias y calumnias, así como por otros delitos como los de descubrimiento y revelación de secretos. Aun así, seguirá existiendo la tentación, esencialmente por el potencial comunicativo que conlleva, de una tipificación expresa de estos delitos. En el momento en que surja el último dramático caso de suicidio relacionado con algún tipo de ciberacoso, se discutirá la necesidad de una regulación expresa de tales conductas. Con el régimen actual, sin embargo, no solo se responde a todas las conductas que deben merecer un reproche penal, sino que además los jueces disponen de una variedad de tipos penales, relacionados con distintos intereses jurídicos, que permite una respuesta proporcionada y adecuada a la lesión que cada una de las conductas conlleve sobre los bienes jurídicos. La creación de un tipo penal de ciberacoso o de cyberbullying probablemente no mejoraría la respuesta penal a este tipo de conductas. Bibliografía AGUSTINA, J. R. (2010). «¿Menores infractores o víctimas de pornografía infantil? Respuestas legales e hipótesis criminológicas ante el Sexting». Revista Electrónica de Ciencia Penal y Criminología, n.º 12-11, págs. 11:6 y 11:34. <http://criminet.ugr.es/recpc> BASU, S.; JONES, R. (2007). «Regulating cyberstalking». Journal of Information Law & Technology. Vol. 22, pág. 13. BOCIJ, P. (2003). «Victims of cyberstalking: An exploratory study of harassment perpetrated via the Internet». First Monday Peer-Reviewed Journal on the Internet. Vol. 8, n.º 10. DOI: http://dx.doi.org/10.5210/fm.v8i10.1086 BOCIJ, P.; MCFARLANE, L. (2002). «Online harassment: Towards a definition of cyberstalking». Prison Service Journal. Vol. 139, págs. 31-38. CALMAESTRA, J. (2011). Cyberbullying: prevalencia y características de un nuevo tipo de bullying indirecto [tesis doctoral]. Córdoba: Servicio de Publicaciones de la Universidad de Córdoba, pág. 48 y ss. FARRINGTON, D.P. (1993). «Understanding and Preventing Bullying». Crime and Justice. Vol. 17, pág. 384. DOI: http://dx.doi.org/10.1086/449217 HEINEMANN, P. P. (1969). «Apartheid». Liberal Debat, n.º 2, págs. 3-14. HENSON, B. (2010). «Cyberstalking». En: B. FISHER, S. LAB (eds.). Encyclopedia of victimology and crime prevention, pág. 253. HERNÁNDEZ, M. A.; SOLANO, I. M. (2007). «Ciberbullying, un problema de acoso escolar». Revista Iberoamericana de Educación a Distancia. Vol. 10, págs. 17-36. MARCO, J. J. (2010). «Menores, ciberacoso y derechos de la personalidad». En: J. GARCÍA (coord.). Ciberacoso: la tutela penal de la intimidad, la integridad y la libertad sexual en Internet. Valencia: Tirant lo Blanch. IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Fernando R. Agustina Miró Llinares 56 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Derecho penal, cyberbullying y otras formas de acoso (no sexual) en el ciberespacio MIRÓ, F. (2012). El cibercrimen. Fenomenología criminología de la delincuencia en el ciberespacio. Madrid: Marcial Pons, pág. 91. DOI: http://dx.doi.org/10.1049/el.2012.2349 MIRÓ, F. (2011). «La oportunidad criminal en el ciberespacio. Aplicación y desarrollo de la teoría de las actividades cotidianas para la prevención del cibercrimen». Revista Electrónica de Ciencia Penal y Criminología, n.º 13-07. OLWEUS, D. (1998). Conductas de acoso y amenaza entre escolares. Madrid: Morata, pág. 25. OLWEUS, D. (1994). «Bullying at school. Long-term outcomes for the victims and an effective school-based intervention program». En: L. R. HUESMANN. Aggressive Behavior: Current Perspectives. Nueva York: Plenum Press, págs. 97-130. DOI: http://dx.doi.org/10.1007/978-1-4757-9116-7_5 ORTS, E.; ROIG, M. (2001). Delitos informáticos y delitos comunes cometidos a través de la informática. Valencia: Tirant lo Blanch, pág. 146. ORTEGA, R.; DEL REY, R.; MORA-MERCHÁN, J. (2001). «Violencia entre escolares. Conceptos y etiquetas verbales que definen el fenómeno del maltrato entre iguales». Revista Interuniversitaria de Formación del Profesorado, n.º 41, pág. 100. PARDO, J. (2010). «Ciberacoso: cyberbullyng, grooming, redes sociales y otros peligros». En: J. GARCÍA (coord.). Ciberacoso: la tutela penal de la intimidad, la integridad y la libertad sexual en Internet. Valencia: Tirant lo Blanch, pág. 56. PATCHIN, J. W.; HINDUJA, S. (2006). «Bullies Move Beyond the Schoolyard: A Preliminary Look at Cyberbullying». Youth Violence and Juvenile Justice. Vol. 4, 2, pág. 152. DOI: http://dx.doi.org/10.1177/1541204006286288 PATHÉ, M.; MULLEN, P. E. (1997). «The impact of stalkers on their victims». The British Journal of Psychiatry, n.º 170, pág. 12. DOI: http://10.1192/bjp.170.1.12 SMITH, A. (2009). Protection of Children Online: Federal and State Lawes Addressing Cyberstalking, Cyberharassment and Cyberbuylling. Congressional Research Service Reports for the People, pág. 4. DOI: http://10.1177/1461444809341263 SMITH, P. K.; MAHDAVI, J.; CARVALHO, M.; FISHER, S.; RUSSELL, S.; Y TIPPETT, N. (2008). «Cyberbullying: Its nature and impact in secondary school pupils». Journal of Child Psychology and Psychiatry. Vol. 49, n.º 4, pág. 376. DOI: http://dx.doi.org/10.1111/j.1469-7610.2007.01846.x VANDEBOSCH, H.; VAN CLEEMPUT, K. (2009). «Cyberbullying among youngsters: profiles of bullies and victims». New Media & Society. Vol. 11, n.º 8, pág. 1.351. DOI: http://10.1177/1461444809341263 IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Fernando R. Agustina Miró Llinares 57 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Derecho penal, cyberbullying y otras formas de acoso (no sexual) en el ciberespacio Cita recomendada MIRÓ, Fernando (2013). «Derecho penal, cyberbullying y otras formas de acoso (no sexual) en el ciberespacio». En: María José PIFARRÉ (coord.) «Internet y redes sociales: un nuevo contexto para el delito» [monográfico en línea]. IDP. Revista de Internet, Derecho y Política. Número 16, pág. 44‑58. UOC. [Fecha de consulta: dd/mm/aa] <http://idp.uoc.edu/ojs/index.php/idp/article/view/n16-miro/n16-miro> DOI: http://10.7238/idp.v0i16.1838 Los textos publicados en esta revista están –si no se indica lo contrario– bajo una licencia Reconocimiento-Sin obras derivadas 3.0 España de Creative Commons. Puede copiarlos, distribuirlos y comunicarlos públicamente siempre que cite su autor y la revista y la institución que los publica (IDP. Revista de Internet, Derecho y Política; UOC); no haga con ellos obras derivadas. La licencia completa se puede consultar en http://creativecommons.org/licenses/by-nd/3.0/es/deed.es. Sobre el autor Fernando Miró Llinares fmiro@umh.es http://fernandomirollinares.es/ Facultad de Ciencias Sociales y Jurídicas Universidad Miguel Hernández de Elche Avda. de la Universidad, s/n 03202 Elche IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Fernando R. Agustina Miró Llinares 58 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Monográfico «Internet y redes sociales: un nuevo contexto para el delito» ARTÍCULO Los derechos fundamentales en el uso y abuso de las redes sociales en Italia: aspectos penales1* Lorenzo Picotti Catedrático de Derecho penal y de Derecho penal de la informática. Università degli Studi di Verona (Italia) Fecha de presentación: junio de 2013 Fecha de aceptación: junio de 2013 Fecha de publicación: junio de 2013 Resumen Este análisis de los comportamientos ilícitos en el uso y el abuso de las redes sociales se centra, en primer lugar, en los delitos que estas conductas pueden configurar (epígrafes 3 a 6) –algunos de ellos de reciente introducción, como el de child grooming– en que los usuarios de las redes pueden ser tanto autores como víctimas de las violaciones de los derechos fundamentales a los que tales conductas afectan (epígrafe 2). En segundo lugar, se trata la cuestión de la posible responsabilidad penal de los gestores de las redes sociales –que se pueden reconducir a la categoría general de los Internet service providers- que están asumiendo un papel cada vez más incisivo y protagonista en la evolución del sistema y, por tanto, también en las estrategias de prevención y control de las actividades ilícitas en la red (epígrafe 7). Los principales aspectos críticos surgidos de la presente investigación sugieren algunas indicaciones iniciales para adecuar el Derecho penal que regula esta materia a las necesidades que presenta 1.Este artículo aparecerá publicado en dos números consecutivos de la revista. En este número se tratarán los epígrafes 1 a 3, correspondientes a la introducción en primer lugar, a la consideración de los usuarios de las redes sociales como víctimas y como autores de los delitos en segundo, y por último al primer grupo de delitos analizado: el correspondiente a los delitos contra la privacy y contra la inviolabilidad informática. El resto de los grupos de delitos analizados aparecerán en el próximo número, así como la cuestión de la responsabilidad penal de los gestores de las redes sociales y las conclusiones del trabajo. * Traducción de María José Pifarré de Moner, profesora agregada de la Universitat Oberta de Catalunya. IDP Número 16 (Junio, 2013) I ISSN 1699-8154 Lorenzo Picotti 59 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Los derechos fundamentales en el uso y abuso de las redes sociales en Italia… Palabras clave delitos informáticos, redes sociales, responsabilidad penal de gestores de redes sociales, child grooming, delitos contra la privacy, delitos contra los derechos de autor Tema delitos en redes sociales Fundamental Rights in the Use and Abuse of the Social Networks in Italy: Criminal Aspects Abstract This analysis of criminal behaviour in the use and abuse of social networks focuses, firstly, on the crimes that this behaviour can lead to (epigraphs 3 to 6) – some of which have been introduced recently, such as child grooming – where users of these networks can be both the offender or victim in the violation of the fundamental rights affected by such behaviour (epigraph 2). Secondly, it looks at the question of the possible criminal responsibility of social network managers – who are taking on an increasingly incisive role and becoming more important agents in the system’s evolution, and, thus, also in the strategies for preventing and controlling criminal activities on the web (epigraph 7). The main critical aspects arising from this research highlight initial indications for how to adapt the criminal law regulating this area to the current needs. Keywords computer crime, social networks, criminal responsibility of social network managers, child grooming, crimes against privacy, crimes against copyright Subject Crime on social networks 1. Introducción: Expansión y riesgos de las redes sociales La tumultuosa difusión de las redes sociales constituye uno de los efectos más recientes y llamativos del impacto de Internet sobre las relaciones interpersonales entre sujetos de todas las edades, profesiones y orígenes sociales –aunque de manera especial entre los jóvenes–, además de las relaciones entre el ciudadano y los entes de cualquier tipo. Ello demuestra la gran relevancia, no solo de la evolución tecnológica en sí misma, sino sobre todo de la IDP Número 16 (Junio, 2013) I ISSN 1699-8154 Eloi EloiPuig PuigPicotti Lorenzo penetración masiva que esta está teniendo en la sociedad contemporánea, en la que está determinando cambios muy importantes en los modos de comunicación y difusión de las ideas y de las informaciones, en los tiempos y contenidos del diálogo social o incluso en las costumbres, condicionando y modelando la evolución de comportamientos colectivos e individuales incluso en el mundo «real». Esto ha quedado reflejado, de manera emblemática, en los encuentros, debates, manifestaciones y movimientos políticos que se organizan en poquísimo tiempo a través de la red, o bien en ciertos hechos sorprendentes ocurridos recientemente, o 60 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Los derechos fundamentales en el uso y abuso de las redes sociales en Italia… incluso en los trágicos finales a los que han llegado algunas personas a consecuencia de lo sucedido o preanunciado en una red social.2 tacto a distintos niveles. Esos datos pueden permanecer en el tiempo y se pueden extender rápidamente en cascada a otros círculos de personas y sujetos, entre los que se incluyen entes, grupos o asociaciones, hasta implicar sin distinciones al público general que, a nivel global, pueda conectarse y acceder a ellos, generalmente registrándose previamente. Junto a estos nuevos problemas de naturaleza social, cultural, psicológica y hasta política que el fenómeno presenta, no son menos importantes aquellos de naturaleza jurídica que inciden en la esfera de los derechos fundamentales. En estas páginas nos ceñiremos a las cuestiones que presenten relevancia penal. Antes de abordarlas, sin embargo, se hace necesario subrayar que, en el aspecto fenomenológico, el fuerte impacto innovador de las redes sociales no reside solo en la gran facilidad y velocidad de circulación y difusión de los datos, «materiales» y contenidos de todo tipo a través de la red, sino sobre todo en la tendencia a «compartirlas» en círculos que se extienden a otros usuarios y sujetos, potencialmente de cualquier parte del mundo. Los nuevos instrumentos tecnológicos permiten, efectivamente, el uso contemporáneo de una enorme cantidad de informaciones, imágenes, obras artísticas, musicales, cinematográficas o literarias, e incluso de vídeos amateur, fotografías, grabaciones vocales, expresiones de opinión, escritos, contribuciones propias o ajenas, «diarios» de vida personal o social, recortes o partes de periódicos o revistas o, en fin, cualquier otra cosa que se considere interesante mostrar o permitir que otros tengan a su disposición. Por tanto, las redes sociales, y de manera más amplia también la llamada web 2.0 en la que estas se encuentran, se caracterizan por una gran autonomía de gestión individual y, al mismo tiempo, por una importante posibilidad de interacción entre los distintos sujetos que participan en ellas, por lo que se manifiesta así de la manera más intensa posible la dimensión generalizada y «globalizadora» del ciberespacio, al que se deslocaliza de manera progresiva una parte cada vez más consistente de la vida cotidiana de las personas y de los entes públicos y privados, y que llega a abarcar los ámbitos más dispares: del ocio al tiempo libre, de la cultura a la investigación, de la economía a la política, de la vida privada a las relaciones personales, sociales y públicas. En este multiforme y articulado ambiente se manifiestan nuevas ocasiones específicas y modos inéditos de comportamientos que lesionan derechos e intereses ajenos, entre los que se incluyen los derechos fundamentales que iremos mencionando y que asumen diferente relevancia penal. Ello hasta el punto de que desde hace un tiempo la cuestión es motivo de estudio y reflexión desde muy diversos frentes, que incluyen tanto la doctrina penal3 como, de manera más reciente, intervenciones muy autorizadas de la jurisprudencia europea4 y de la legislación penal tanto El usuario de las redes sociales carga (upload) y descarga (download) todo este complejo conjunto de datos de manera directa y autónoma en su cuenta, y la mayoría de las veces los pone a disposición de familiares, «amigos», compañeros o sujetos diversos con los que establece o mantiene con- 2.Se hace referencia, a mero título de ejemplo, a movimientos políticos de gran difusión que han abarcado toda Italia, que se han organizado, recogen adhesiones, promueven iniciativas, deliberan participaciones en campañas electorales y deciden listas de candidatos y otras cuestiones a través de la red. Es ya frecuente el uso de Twitter o Facebook para convocar manifestaciones y encuentros de todo tipo, tanto públicos como privados. Por desgracia, la crónica de sucesos contiene varios casos de suicidios o autolesiones inducidos sobre víctimas de cyberbullying, o bien cometidos con preanuncio o ejecutados on-line, que ocurren o pueden ocurrir tanto dentro como fuera del ámbito de una red social. 3.Entre las contribuciones más recientes, aunque con una atención especialmente dirigida a las infracciones contra la propiedad intelectual, véanse Flor (2012) y Nieto Martín (2010). En la literatura norteamericana, la atención se centra sobre todo en los aspectos procesales surgidos acerca de la posibilidad de utilización de las redes sociales para descubrir y buscar pruebas de delitos, incluidos los casos en que los agentes simulan identidades ficticias. Para las referencias esenciales, véase «Use of social network websites in investigations» en /Wikipedia.org/Wiki/. Sobre este tema, en la doctrina alemana, véase la reciente contribución de Hoffman (2012), que se enfrenta a los límites de las garantías, incluidas las de rango constitucional, sosteniendo que no es posible la apreciación de violación alguna de los derechos que conciernen a la intimidad de sujetos que hayan confiado voluntariamente sus datos personales a la red sin verificar la identidad de los sujetos a quienes los hacen accesibles, especialmente en la página 140, con citas ulteriores. 4.Hay que señalar, sobre todo, la importante sentencia del Tribunal de Justicia de la Unión Europea de 16 de febrero de 2012 (causa C-360), sobre la cual véase más abajo el epígrafe 7. IDP Número 16 (Junio, 2013) I ISSN 1699-8154 Eloi EloiPuig PuigPicotti Lorenzo 61 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Los derechos fundamentales en el uso y abuso de las redes sociales en Italia… italiana5 como de la Unión Europea6, e incluso instrumentos internacionales.7 A pesar de ello, en Italia aún no se ha llevado a cabo un estudio sistemático de estos comportamientos ilícitos desde el punto de vista penal y de su carga de ofensa contra los derechos fundamentales. Por tanto, en este trabajo se pretende ofrecer una primera aproximación sistemática de carácter general que considere, en primer lugar, los delitos que pueden configurar las conductas de uso y abuso de las redes sociales, con especial atención a que los usuarios pueden ser tanto autores como víctimas de las violaciones de los derechos fundamentales en juego (epígrafes 2 a 6); en segundo lugar se tocará la cuestión de la posible responsabilidad penal de los gestores de las redes sociales, que pueden ser reconducidos a la categoría general de Internet service providers (ISP) o, según la terminología comunitaria, de los «proveedores» de «servicios de la sociedad de la información»,8 que están asumiendo un papel cada vez más incisivo en la evolución del sistema y, en consecuencia, también en las estrategias de prevención y control de las actividades ilícitas a través de la red, incluida la salvaguardia de los derechos fundamentales en el ciberespacio (epígrafe 7). Sin pretender llegar a conclusiones sobre la materia, dado el carácter completamente preliminar de esta investigación, se intentará ofrecer alguna indicación final acerca de los principales aspectos críticos que vayan emergiendo y acerca de las correspondientes exigencias de adecuación y desarrollo de la respuesta del Derecho penal en este campo (epígrafe 8). 2. Los delitos en las redes sociales: los usuarios como autores y como víctimas Tal como la doctrina y la jurisprudencia de todo ordenamiento jurídico han tenido ocasión de subrayar desde hace tiempo, la difusión de la informática –especialmente tras la puesta a disposición del público del acceso y la utilización de Internet, que se puede situar a mediados de los años noventa del pasado siglo–9 ha determinado la aparición y el desarrollo creciente de «nuevos» delitos, que se manifiestan, sea como delitos informáticos «en sentido estricto» (es decir, que ya a nivel normativo, tras su incriminación específica por parte del legislador, requieren necesariamente entre sus elementos constitutivos la utilización de las tecnologías y productos informáticos, o la producción de efectos típicos sobre ellos; piénsese en los fraudes informáticos, las falsificaciones y los daños informáticos, en los accesos no consentidos a los sistemas informáticos, etc.), sea como delitos informáticos «en sentido amplio», y en especial los delitos «cibernéticos».10 Estos últimos, a pesar de que pueden ser concebidos o tipificados prescindiendo de referencias a la tecnología informática y a Internet, encuentran en estos instrumentos y en general en el ciberespacio una posibilidad y modalidad peculiar de realización que generalmente los hace más temibles o dañinos, hasta el punto de que pasan a requerir una respuesta penal más específica y a menudo más severa (piénsese en la pornografía infantil o en las infracciones de los derechos de autor, pero también en las injurias o calumnias, o en otros delitos de «manifestación del pensamiento» on-line: infra epígrafes 4, 5 y 6), y al mis- 5.Véase especialmente el nuevo delito de child grooming (ciberacoso de menores) introducido mediante la Ley de 1 de octubre de 2012, número 172, de ratificación y transposición del llamado Convenio de Lanzarote (véase la nota 6), de la que se hablará ampliamente en el epígrafe 4. 6.Tómense en consideración especialmente la Directiva 2011/92/UE del Parlamento Europeo y del Consejo, de 13 de diciembre de 2011, relativa a la lucha contra los abusos sexuales, la explotación sexual de los niños y la pornografía infantil, por la que se deroga la Decisión Marco 2004/68/JAI del Consejo, cuyo art. 6 prevé precisamente la obligación de introducir el delito indicado en la nota anterior. 7.Véase el Convenio del Consejo de Europa para la protección de los niños contra la explotación y los abusos sexuales, acordada en Lanzarote el 25 de octubre de 2007. 8.En este sentido, véase especialmente el art. 1 de la Directiva del Parlamento Europeo y del Consejo de 2000/31/CE del 8 de junio de 2000 relativa a algunos aspectos jurídicos de los servicios de la sociedad de la información, en especial el comercio electrónico, en el mercado interno (Directiva sobre el comercio electrónico), sobre la cual se volverá en infra, epígrafe 7. 9.Acerca de la importancia de este paso y sus reflejos en el Derecho penal de la informática, permítase remitir a a Picotti (2004a), y también, en el mismo volumen y del mismo autor (2004 B), pág. 21 y sig. En la literatura internacional reciente, véase el completo marco crítico, con las correspondientes propuestas de reforma del ordenamiento penal y procesal alemán, delineado por Sieber (2012). 10.Además de mis trabajos anteriores, permítaseme mencionar, acerca de esta distinción sistemática, el reciente trabajo de Picotti (2011), pág. 827 y sig., donde se hallan ulteriores referencias bibliográficas. IDP Número 16 (Junio, 2013) I ISSN 1699-8154 Eloi EloiPuig PuigPicotti Lorenzo 62 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Los derechos fundamentales en el uso y abuso de las redes sociales en Italia… mo tiempo provocan peculiares problemas de naturaleza procesal, especialmente en lo referente a las modalidades y condiciones de recogida, conservación y utilización de las llamadas pruebas electrónicas.11 Limitándose la intención del presente trabajo a las especificidades del «uso y abuso» de las redes sociales es evidente que en estos casos damos por supuesta la utilización de la red Internet, o en cualquier caso de sistemas de redes informáticas conectadas entre ellas, como pone en evidencia su propio nombre. De este modo, los distintos efectos conexos a las conductas de los usuarios y de quien de cualquier modo acceda a las redes o las gestione se colocan en el ciberespacio, integrando potencialmente siempre «delitos informáticos» –ya sea en sentido estricto o amplio– y más precisamente «delitos cibernéticos», que por tanto recaen en el ámbito de la regulación procesal y de cooperación judicial diseñada por el Convenio sobre Cibercriminalidad del Consejo de Europa de 2001 (especialmente el capítulo II, secciones 2 y 3, artículos 14 y sig., y capítulo III, artículos 23 y sig.).12 Desde el punto de vista sustancial, es necesario poner de relieve que las modalidades específicas de tales hechos y comportamientos –condicionados por la distinta extensión y accesibilidad a las redes y a cada información, contenido o dato en general, que se suba y «circule» por las redes sociales– pueden ser muy distintas, lo que provoca diferencias que quedan reflejadas en una distinta valoración penal. Sin embargo, para una primera investigación que quiera poner de relieve de manera especial la incidencia de los «abusos» cometidos contra los derechos fundamentales infringidos o agredidos en este ámbito, más que entrar en el peculiar y poliédrico análisis del variopinto modus operandi de los autores de tales delitos, es preferible limitarse a una clasificación sistemática que siga el tradicional parámetro del bien jurídico o interés penalmente protegido, que permite entender mejor los derechos fundamentales afectados y lesionados. En este orden de cosas, en primer lugar observamos las infracciones de la esfera propia de cada persona estrechamente conectadas con la naturaleza específica de las redes sociales, que teniendo como finalidad la «comunicación» y la «difusión» de informaciones y datos de cualquier naturaleza constituyen en sí mismos, incluso en su «uso» habitual, una fuente potencial de infracciones en este ámbito. Dentro de esta categoría hay que distinguir entre las infracciones contra la privacy en sentido estricto, es decir, relativas a las reglas de tratamiento de los datos personales por un lado (epígrafe 3.1), y a la que en Italia se llama la riservatezza informatica por el otro –la «inviolabilidad informática»–, que es una noción más amplia, porque comprende toda lesión del derecho a excluir a terceros de determinados datos, espacios y sistemas informáticos, sin que sea necesario que quede afectada la más reducida esfera de los datos personales (epígrafe 3.2). En un segundo nivel encontramos los delitos relativos a la producción, difusión y uso de material pornográfico o, en cualquier caso, aquellos que castigan de manera adelantada lo que se consideran síntomas de abusos sexuales y del abuso de menores, como es el caso del delito de child grooming introducido recientemente en el ordenamiento italiano para dar actuación al Convenio del Consejo de Europa de Lanzarote de 2007, al que dedicaremos nuestra atención más adelante (epígrafe 5). Tras ello deberemos considerar todo el resto de los delitos que consistan en una manifestación y difusión del pensamiento que se puedan cometer en las redes sociales, como las injurias y calumnias, la instigación a la violencia o al odio racial o a la discriminación de manera más general, la instigación a la comisión o la apología de delitos contra menores, etc. (epígrafe 5). En cuarto lugar examinaremos las infracciones de los derechos de autor que recaigan sobre obras protegidas puestas a disposición de los usuarios que se hacen circular –a menudo ilícitamente– por las redes sociales, y que constituyen canales de comunicación y difusión fáciles y ampliamente utilizados con esa finalidad (epígrafe 6). Obviamente las actividades ilícitas que se pueden realizar a través de las redes sociales son numerosas cuando tales redes se utilizan como medio o «ambiente» para la prepa- 11.Véase en la ya amplia literatura en esta materia, además de las indicaciones señaladas en la nota 2, las contribuciones y el material recogidos en el volumen coordinado por Cajani y Costabile (2011). 12.En la doctrina italiana véase Picotti (2008). Más recientes son las contribuciones de varios autores vertidas en Picotti y Ruggieri (coord.) (2011). De manera especial, acerca de los contenidos procesales del Convenio sobre Cibercriminalidad a la luz de su recepción en Italia, véase también Luparia (2009). IDP Número 16 (Junio, 2013) I ISSN 1699-8154 Eloi EloiPuig PuigPicotti Lorenzo 63 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Los derechos fundamentales en el uso y abuso de las redes sociales en Italia… ración, organización o realización de cualquier otro delito: desde extorsiones hasta tráfico ilícito de drogas o armas, desde las asociaciones delictivas en el ámbito de la criminalidad organizada y del terrorismo hasta el proselitismo que se dirige a estos fines, como a otros muchos casos de responsabilidad penal por participación en los más diversos tipos de delitos «comunes» (no cibernéticos) prevista en el artículo 110 del Código penal italiano. Pero, como antes hemos anticipado, más que entrar en detalle en todos los posibles casos y modos de realización de delitos cometidos o que se puedan cometer en o a través de las redes sociales, es importante subrayar que –desde el punto de vista de las exigencias de protección de los derechos fundamentales– sus usuarios, además de posibles autores o partícipes, pueden ser con frecuencia víctimas de muchos de los hechos delictivos a los que nos hemos referido. Efectivamente, la conducta característica de quien participa en una red social es la de ofrecer a los demás participantes en la red sus contactos y sus «propias» informaciones, comprendidas las imágenes y opiniones, preferencias (de tipo cultural, intelectual, deportivo, etc., e incluso aquellas más «sensibles» como las religiosas, sexuales, políticas, etc.). Por decirlo brevemente, cualquier «cualidad» personal y «actividad» llevada a cabo o proyectada en el tiempo libre o en el ámbito deportivo, profesional o de trabajo, en las relaciones privadas y en las sociales, etc., con la finalidad de mostrarlos y ponerlos a disposición de los destinatarios, a menudo incluso dándoles publicidad, extendiendo así el círculo de «amigos», follower o «contactos» ulteriores con personas, grupos, asociaciones o entes. Esta función esencial de circulación y puesta a disposición voluntaria de las informaciones y los datos personales, y de abrirse a la posibilidad de nuevos contactos, accesos, relaciones, etc. con potencial difusión en cadena de todo ello, expone al usuario a múltiples riesgos de ser objeto de «abusos» o, en cualquier caso, de usos ilícitos o al menos no (expresamente) consentidos de sus datos y contactos. A pesar de la posibilidad de elección entre distintos niveles de delimitación y protección, de revocación y modificación de las distintas «autorizaciones» dadas o adhesiones expresadas, y de la aplicación de las correspondientes medidas de seguridad, los usuarios no controlan de manera completa y permanente la circulación y difusión de los datos que «suben» y de los accesos que consienten o de los que ellos mismos son objeto, entre otras cosas, porque estas tareas se realizan mediante fáciles y rápidas operaciones con el teclado o el ratón. Basta un simple clic sobre un icono que expresa consentimiento o adhesión y se consiente con la condición y definición de un objeto, una duración, una posibilidad de modificación unilateral, etc. que el usuario ni siquiera suele leer y que no acepta de manera consciente cuando se encuentra ante la exigencia inmediata de concluir determinadas operaciones que requieren ese consentimiento o clic de adhesión para seguir con el procedimiento. Ya desde la fase de registro y aceptación de «amistades» y contactos, etc. el usuario se encuentra en una posición de potencial vulnerabilidad o de «autoexposición» a riesgos de abuso. Añádase que los límites y niveles de autorización y protección son también susceptibles de ser infringidos y evitados por otros usuarios, por terceros extraños (entre ellos, investigadores o autoridades de policía o judiciales que recogen datos o provocan comportamientos ilícitos infringiendo los límites –aún poco definidos– de licitud de tales instrumentos de intervención) o por los propios gestores de la red social con distintas finalidades, a menudo no explícitamente prohibidas pero tampoco declaradas, como por ejemplo el profiling del usuario o el envío de publicidad y ofertas comerciales personalizadas al usuario concreto, a sus gustos, orientaciones, preferencias, hábitos de vida, etc., como lo demuestra la experiencia y la casuística de estos años, que de manera fragmentaria se han puesto de relieve en los medios de comunicación. Por ello, es fácil entender las razones por las que los usuarios y participantes en las redes sociales, además de poder ser autores, a menudo se convierten a su vez en las primeras víctimas de los delitos cometidos en las redes sociales o través de ellas, como lo demuestra trágicamente el llamado cyberbullying, que ha llevado en varias ocasiones a trágicos epílogos.13 13. Tómese como caso paradigmático el suicidio de A. G., un adolescente romano de quince años «profilado» en términos negativos como homosexual por un grupo de sujetos de su misma edad que eran alumnos de su instituto y «amigos», o mejor dicho, contactos de Facebook, que pusieron en circulación fotos en las que A. G. llevaba pantalones rosas sin mencionar que se trataba de una fiesta de carnaval. Acerca de los peligros de las redes sociales para la identidad personal, y en especial respecto al cybebullying, véanse las amplias y completas advertencias que el Garante de la Privacy italiano ofrece desde hace tiempo en www.garanteprivacy.it (cfr. a modo de ejemplo las slides: Social network: attenzione agli effetti collaterali). IDP Número 16 (Junio, 2013) I ISSN 1699-8154 Eloi EloiPuig PuigPicotti Lorenzo 64 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Los derechos fundamentales en el uso y abuso de las redes sociales en Italia… 3. Los delitos contra la privacy y la «inviolabilidad informática» 3.1. Las violaciones penalmente relevantes de datos personales De manera muy especial, las características de las redes sociales de las que hemos hablado hacen posible (y frecuente) la comisión de delitos relativos al tratamiento y la circulación de datos personales, materia que en Italia está regulada en el llamado código de la privacy, aprobado mediante Decreto legislativo de 30 de junio de 2003, número 196 (en adelante: código de la privacy). De entre los tipos penales allí previstos, es especialmente relevante el delito de tratamiento ilícito de datos personales, previsto en su artículo 167. No parece necesario subrayar que el derecho de toda persona «a la protección de los datos de carácter personal que la conciernan» constituye un derecho fundamental reconocido explícitamente en el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea, proclamada en Niza en diciembre de 2000 (en adelante, Carta de Niza), a la que el artículo 6.1 del Tratado de la Unión Europea (en adelante, TUE) –en su redacción resultante del Tratado de Lisboa del 1 de diciembre de 2009– dio valor jurídico de tratado. El derecho descrito en este artículo 8 es ciertamente innovador respecto al contenido del más general «respeto de su vida privada y familiar» descrito en el artículo 7 de este mismo texto.14 Efectivamente, más allá de la especificidad del derecho reconocido en el artículo 8.1 de la Carta de Niza, el mismo artículo, en sus párrafos posteriores, expresa los siguientes principios, a los que la legislación y la jurisprudencia de los Estados miembros deben adecuarse: «2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación. 3. El respeto de estas normas quedará sujeto al control de una autoridad independiente». El artículo 1 del código de la privacy italiano reproduce la formulación del artículo 8 de la Carta de Niza, reconociendo el rango primario del derecho en cuya tutela se inspira el conjunto de su regulación positiva, que se conforma, a su vez, a los principios citados y que pivota sobre una noción muy amplia de «dato personal». Según la definición contenida en el artículo 4.1.b del código de la privacy, este concepto engloba «cualquier información relacionada con la persona física, identificada o identificable, incluso de manera indirecta mediante referencia a cualquier otra información, incluyendo un número de identificación personal».15 En este concepto caben pacíficamente también imágenes, sobrenombres, nicknames, direcciones electrónicas, cuentas y páginas web personales, números y contraseñas de acceso, tags (de las que se hablará más adelante) y cualquier otro extremo que pueda hacer referencia a una persona física. Por tanto, cabe en este concepto una parte altamente relevante de los «materiales» y datos que los usuarios vierten diariamente en la red, ya desde el momento en que se registran. El concepto de «tratamiento» contenido en el artículo 4.1.a abraza una tal cantidad de operaciones que prácticamente incluye todas aquellas que son habituales en una red social,16 incluidas la «comunicación» y la «difusión», que se encuentran definidas de manera específica y diferenciada en las 14.Hay que señalar a este respecto que la jurisprudencia de Estrasburgo hacía ya tiempo que había reconducido el artículo 8 del Tratado Europeo de Derechos Humanos (TEDH) al derecho a la privacy, de modo que la Unión Europea debe ceñirse a tal interpretación, de la misma manera que debe hacerlo el ordenamiento italiano de conformidad con el artículo 117 de la Constitución italiana, según la interpretación ofrecida por las sentencias gemelas de la Corte Costituzionale de 22 y 24 de octubre, número 347 y número 348 respectivamente, en las que se reconoció a la Comisión Estatal de Derechos Humanos (en la interpretación que de esta realice el Tribunal Europeo de los Derechos Humanos de Estrasburgo) el valor de «norma interpuesta» entre la ley ordinaria y la Constitución italiana. Sin embargo, según el artículo 52.3, última parte de la Carta de Niza, tal eficacia jurídica del TEDH «no excluye que el Derecho de la Unión conceda una protección más amplia». 15.Son datos «sensibles» «los datos personales que puedan revelar el origen racial o étnico, las convicciones religiosas, filosóficas o de otro tipo, las opiniones políticas, las adhesiones a partidos, sindicatos, asociaciones u organizaciones de carácter religioso, filosófico, político o sindical, así como los datos personales que puedan revelar el estado de salud y la vida sexual» (art. 4.1.d del código de la privacy). 16.La letra a) del apartado 1 del código de la privacy define como «tratamiento»: «cualquier operación o complejo de operaciones efectuadas, incluso sin auxilio de instrumentos electrónicos, relativas a la recogida, grabación, organización, conservación, consulta, elaboración, modificación, selección, extracción, comparación, utilización, interconexión, bloqueo, comunicación, difusión, cancelación y destrucción de datos, aunque no se encuentren incluidos en un banco de datos». IDP Número 16 (Junio, 2013) I ISSN 1699-8154 Eloi EloiPuig PuigPicotti Lorenzo 65 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Los derechos fundamentales en el uso y abuso de las redes sociales en Italia… letras m) y l) del mismo artículo por su especial relevancia y específica configuración técnica en el ámbito informático y de las redes en general. La primera consiste, en efecto, en «poner en conocimiento datos personales a uno o más sujetos determinados, distintos del interesado […], de cualquier forma, incluso mediante su puesta a disposición o consulta». Es decir, no es necesario un envío de los datos a terceros a la «dirección» específica de estos, sino que basta con que los datos «se hayan puesto a disposición», por ejemplo colgándolos en la cuenta del usuario en una red social, o mediante un enlace a otras páginas web u otras cuentas en red conectadas (en los términos mencionados) a uno o más «sujetos determinados» o bien difundidos a sujetos «indeterminados».17 Según la estructura meramente «sancionadora» del tipo penal del artículo 167 del código de la privacy, inmediatamente perceptible, la conducta de «tratamiento» de datos personales (apartados 1 y 2),18 de la misma manera que aquellas otras conductas, más duramente castigadas, de «comunicación» y «difusión» (apartado 1, segunda parte) –que en sí mismas constituyen una actividad completamente lícita e incluso habitual para los usuarios de las redes sociales (precisamente porque se encuentran comprendidas su uso normal)– únicamente se convierten en penalmente relevantes cuando se realicen «con incumplimiento» de una de las muchísimas y minuciosas normas extrapenales contenidas en el propio código de la privacy, a las que se remite expresamente este artículo 167, aparejándoles de este modo duras consecuencias punitivas. De entre estas normas extrapenales –que técnicamente hay que considerar como integradoras del precepto penal–, tienen especial relevancia aquellas que requieren el «consentimiento» informado del interesado, que deberá tener forma escrita en caso de ser «datos sensibles»19 (artículo 23, que remite al artículo 13 del mismo código de la privacy). Esta ley define al interesado como la «persona física a quien se refieren los datos personales».20 El interesado, ciertamente, está destinado a convertirse con notable frecuencia en víctima del delito que estamos examinando, cometido por otros usuarios, por terceros o incluso por los gestores de las redes sociales, que pueden convertirse en coautores o partícipes (artículo 110 del Código penal italiano) de todos aquellos que contribuyan al «tratamiento» y en especial a la ulterior «comunicación» o «difusión» de datos ajenos sin contar con un consentimiento válido y específico. Dado que estos datos pueden estar constituidos por imágenes fotos, vídeos y cualquier otro «material» que permita la identificación de la persona, incluidos aquellos escritos que le hagan referencia incluso indirecta, frases pronunciadas y grabadas vocalmente, expresión de opiniones, etc., inmediatamente se pone de relieve la frecuente práctica de «tagear», como se dice en jerga, que consiste en «marcar» este tipo de material con un tag que hace referencia a la persona que aparece en la imagen a la que se refiera el material mediante una especie de «etiqueta electrónica» que indica al sujeto que se quiere identificar.21 17.Acerca de las nociones en examen –que fueron definidas en estos términos por la legislación italiana en el artículo 1.2.g) y h) de la ya lejana en el tiempo Ley de 31 de diciembre de 1996, número 675–, pero teniendo en cuenta las nuevas formas de comunicación y difusión que permiten las modernas tecnologías de la información y considerando de manera más específica las «redes» telemáticas, permítaseme la referencia a Picotti (1999), pág. 283 y sig. y pág. 314 y sig. 18.Artículo 167 (tratamiento ilícito de datos): «1. Salvo que el hecho constituya un delito más grave, el que, con la finalidad de recabar un beneficio para sí o para otros, o de causar un perjuicio a otro, proceda al tratamiento de datos personales con incumplimiento de lo dispuesto en los arts. 18, 19, 23, 123, 126 y 130, o bien en aplicación del art. 129, será castigado, si del hecho se deriva algún perjuicio, con reclusión de seis a dieciocho meses o, si el hecho consiste en la comunicación o difusión, con la reclusión de seis a veinticuatro meses. 2. Salvo que el hecho constituya un delito más grave, el que, con la finalidad de recabar un beneficio para sí o para otro o de causar un perjuicio a otro, proceda al tratamiento de datos personales con incumplimiento de lo dispuesto en los arts. 7, 20, 21, 22 apartados 8 y 11, 25, 26, 27 y 45, será castigado, si del hecho se derivara algún perjuicio, con la reclusión de uno a tres años». Para un comentario general de la norma, véase Manna (2003). Para una omitida aplicación a un caso de tratamiento de datos personales en internet sin el consentimiento de la persona interesada, véase el comentario crítico de Salvadori (2006). 19.Para el concepto de datos sensibles, véase la nota 15. 20.Así reza hoy el artículo 4.1.i del código de la privacy tras la modificación restrictiva introducida por el artículo 40.2.b del Decreto legislativo de 6 de diciembre 2011, número 201, con las modificaciones introducidas por la Ley de 22 de diciembre de 2011, número 214, que ha excluido la mención a entes, asociaciones y personas jurídicas anteriormente existente. 21.Técnicamente, en informática tag significa «término asociado a un contenido digital para facilitar su indexación por parte de los motores de búsqueda» (Wikipedia italiana). En el sitio web italiano de Facebook (http://facebookitalia.blogspot.it ) se puede leer: «Tagear es una de las acciones fundamentales en Facebook, una de las primeras que es importante entender antes de que sea demasiado tarde y de que IDP Número 16 (Junio, 2013) I ISSN 1699-8154 Eloi EloiPuig PuigPicotti Lorenzo 66 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Los derechos fundamentales en el uso y abuso de las redes sociales en Italia… En Facebook, este sujeto debe estar previamente registrado en la red social, y por tanto debe haber «aceptado» (aunque solo en general y en términos abstractos) una tal actividad por parte de los demás usuarios. Sin embargo, no se le pide ningún tipo de consentimiento específico previo a cada tag del que sea objeto para que pueda expresar ese consentimiento de manera «informada». En esta red –aunque no solo esta– se promueve, regula y valoriza la actividad de tagear por parte de los usuarios, ya que expande y hace circular de manera formidable la «presencia», visibilidad y actividad de los participantes de las redes sociales, que alcanza también las de aquellos que no han señalado o cargado material en su cuenta personal. Por otro lado, mientras que el autor de la foto debe autorizar a un tercero a que cuelgue un tag sobre ella, el interesado que es objeto del tag solo recibe un aviso en su cuenta y se le da la posibilidad de «destagearse». El problema es que durante el lapso de tiempo que tarde en hacerlo la indexación y los respectivos contenidos que se le han asociado ya han circulado por la red social, y eso puede ocurrir durante mucho tiempo, en el curso del cual tendrán una difusión no delimitable de manera previa e imposible de impedir a posteriori. Este hecho se torna ciertamente problemático cuando el tag no corresponde a la efectiva, completa, actualizada, o simplemente más compleja actividad, situación o expresión de la persona «tageada», con lo que se infringen de este modo los requisitos que deben cumplir los datos personales objeto de tratamiento establecidos en el artículo 11, especialmente en sus apartados c) y d), del código de la privacy,22 cuya infracción queda sancionada penalmente de manera expresa mediante la remisión que a ellos hace el artículo 167.3 del mismo código. Por otro lado, en el caso de sujetos externos a la red social que no tengan una cuenta a la que hacer referencia y que aparezcan, por ejemplo, en una fotografía, vídeo, texto o un diario subido a la red por un usuario, el «tratamiento» de los datos personales y «materiales» que a ellos se refiera (incluido el añadido de un tag) se realiza habitualmente sin que exista ningún tipo de consentimiento, comunicación o información al interesado. Es evidente, por tanto, la enorme cantidad de conductas y hechos que, al menos en abstracto, pueden cumplir con los elementos objetivos del tipo penal que estamos examinando, respecto a los cuales es ciertamente escasa la delimitación que puede ofrecer el elemento del dolo necesario para su punibilidad. A pesar de requerir que concurra una «voluntad consciente» de tratar los datos sin los requisitos y los presupuestos prescritos por la ley –de manera particular sin el previo consentimiento específico e informado del interesado–, es difícil imaginar un convencimiento erróneo de que tales requisitos se den, y especialmente de que el consentimiento del interesado se haya prestado, ya que es irrelevante el error que no recaiga sobre el «hecho»23 y por el contrario recaiga sobre el precepto penal y su alcance preciso, que viene integrado –como se ha dicho– por las normas extrapenales a las que expresamente reenvía. Yendo a formar parte de este precepto, estas normas extrapenales podamos cometer alguna metedura de pata, o de que alguien cometa una metedura de pata en nuestro perjuicio de manera impune. Tag significa etiqueta en inglés. En el lenguaje de Facebook significa certificar que en una foto (o, desde hace algún tiempo, en una nota de texto) se encuentra presente un determinado usuario de Facebook, que será elegido de la lista de nuestros contactos. Precisamente por eso podemos tagear oficialmente solo a nuestros contactos. Oficialmente, significa incluir un enlace al perfil de la persona en cuestión en la página de la foto o de la nota. Al usuario autor de la foto se le pedirá que apruebe el tag. En el caso de la foto, también es posible atribuir al usuario en cuestión una posición dentro de la composición. El tag es fundamental para enriquecer el número de las fotos que nuestro perfil dirigirá a la voz “foto de”. Aparte de las fotografías que nosotros mismos hemos cargado, de hecho, sin la función tag no sería posible llegar a una lista completa de fotos de nosotros mismos disponibles en Facebook en los múltiples álbumes ajenos en que aparecemos». 22.El artículo 11, titulado «Modalidades del tratamiento y requisitos de los datos», reza como sigue: «1. Los datos personales objeto de tratamiento son: a) tratados en modo lícito y de manera correcta; b) recogidos y grabados para una finalidad determinada, explícita y legítima, y utilizados en otras operaciones de tratamiento en términos compatibles con esa finalidad; c) exactos y, si es necesario, actualizados; d) pertinentes, completos y que no se excedan de la finalidad para la que se han recogido o hayan sido tratados; e) conservados de modo que permitan la identificación del interesado por un periodo de tiempo no superior al necesario para la finalidad para la que se han recogido o posteriormente tratado. 2. Los datos personales que se traten infringiendo la normativa relevante en materia de tratamiento de datos personales no podrán ser utilizados». 23.Si se tratase de un error culposo sobre un elemento esencial del hecho constitutivo del delito no generaría ningún tipo de punibilidad a título de culpa, ya que según el artículo 47 del Código penal italiano la ausencia de previsión legal del respectivo delito culposo lo impide (aunque deja a salvo la acción de resarcimiento en la vía civil por los posibles daños derivados del tratamiento ilícito, según las reglas de los artículos 15 del código de la privacy y 2050 del Código civil. IDP Número 16 (Junio, 2013) I ISSN 1699-8154 Eloi EloiPuig PuigPicotti Lorenzo 67 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Los derechos fundamentales en el uso y abuso de las redes sociales en Italia… asumen naturaleza de «ley penal» a los fines de juzgar la inexcusabilidad de la ignorancia (o erróneo conocimiento) previsto en el artículo 5 del Código penal, salvo en los excepcionales casos de ignorancia o error «inevitables».24 bien jurídico, porque se refiere a un nexo «causal» que debe subyacer objetivamente a la conducta del agente, de modo que esta conducta será sancionable solo en la medida en que sea instrumento para su satisfacción.25 Hay otros elementos que pueden ser importantes a la hora de penalizar una conducta, que delimitan la tipicidad objetiva del delito en examen respecto a la «pura infracción» de los preceptos procedentes de fuentes extrapenales a los que la norma reenvía. De la infracción debe derivarse un «perjuicio» para la víctima, que marca el momento en que se consuma el delito. Por otro lado, tal infracción se debe cometer «con la finalidad de procurar un beneficio para sí o para terceros, y o de causar un perjuicio a otros». Ciertamente, la interpretación del concepto de «beneficio» es tradicionalmente muy amplia, y se extiende a ventajas de cualquier naturaleza, incluso no económico-patrimoniales. Igualmente amplia es la noción de «perjuicio», que no viene delimitada por ninguna calificación. A pesar de ello, puede derivarse una mínima restricción del hecho típico en el caso de ausencia del resultado que consuma el delito y/o de la ausencia del mencionado nexo teleológico (el elemento subjetivo del tipo antes mencionado), que ab origine debe sostener la conducta base de «tratamiento ilegítimo», y en especial las conductas de «comunicación» y «difusión» que infringen la normativa administrativa, especialmente si se reconoce –no solo a nivel sustantivo sino también en el momento de la prueba procesal– que la finalidad requerida no se reduce a un elemento puramente psicológico, interno al ánimo del agente, que encaja únicamente en el tipo subjetivo, sino que ya antes incide sobre la tipicidad objetiva al cuestionar que el hecho comporte una lesión del Por otra parte, la concreta valoración de la oportunidad de enervación del procedimiento penal en estos delitos no depende de la parte ofendida, pues se ha excluido la normal procedibilidad por «querela»26 en consideración a la relevancia de primer orden del bien jurídico lesionado que, efectivamente, va ligada a un derecho fundamental. Por tanto, el hecho de que este tipo de conductas sea perseguible solo de oficio crea una situación en la que la «cifra oscura» de delitos realizados sin persecución concreta sea muy elevada. Por ello, el penalista no puede evitar preguntarse si no hay que revisar, al menos parcialmente, la normativa vigente, ya que la masiva infracción de la ley penal no solo determina la imposibilidad práctica de la persecución procesal que le corresponde, sino que hace evidente una amplia falta de percepción de ilicitud penal de los comportamientos sancionables tanto por parte de las propias «víctimas», que no formulan denuncia, como por parte de los «autores», entre otros motivos porque en hechos análogos los roles podrían intercambiarse convirtiéndose los que habían sido autores en víctimas y viceversa. El usuario de las redes sociales, especialmente si pertenece al segmento de población juvenil, parece dispuesto a sacrificar una parte importante de sus derechos en materia de privacy a cambio de disfrutar de la posibilidad 24.Ello, según lo dictado por la «histórica» sentencia de la Corte Costituzionale de 24 de marzo de 1988, número 346, consultable en Rivista italiana di diritto e procedura penale, 1988, pág. 697 y sig. Sobre el empobrecimiento del dolo en los delitos basados esencialmente en la infracción de preceptos o prohibiciones de contenido estrictamente normativo (como ocurre a los delitos en materia de privacy aquí tratados), se reenvía en general a las atentas observaciones de Donini (1993), en especial a las pág. 288 y sig. y 298, en que sugiere distinguir entre el núcleo esencial de la normativa extrapenal que, teniendo carácter general, puede ser considerada perteneciente al «significado cultural» del propio precepto (p. ej. la necesidad de autorización de una actividad que de otro modo resultaría ilegal) y las distintas normativas que tengan la sola función de «concretarlo» ante las varias situaciones, respecto a las cuales por el contrario se debería tratar un posible error como error de hecho. 25.Para una lectura de estos tipos penales con particulares elementos subjetivos del tipo –en Italia llamados con «dolo específico»– sobre la que se volverá también más adelante en el epígrafe 4 a propósito del nuevo delito de child grooming, permítaseme una remisión a Picotti (1993). 26.Nota de la traductora: el instituto procesal italiano de la «querela» no se corresponde con el español de la querella. En el caso italiano se trata de una condición de procedibilidad que consiste solo en dar la notitia criminis, que no comporta una calificación jurídica de los hechos y no constituye a quien la formula en parte penal, sino que esta solo solicita el resarcimiento civil de los perjuicios originados por unos hechos. La querela italiana solo se puede interponer cuando esté expresamente prevista tal posibilidad en el tipo penal correspondiente, de manera que queda excluida en los demás casos. Aquellos delitos para los que no está prevista pueden ser denunciados, pero solo son perseguibles de oficio y nunca a instancia de parte. IDP Número 16 (Junio, 2013) I ISSN 1699-8154 Eloi EloiPuig PuigPicotti Lorenzo 68 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Los derechos fundamentales en el uso y abuso de las redes sociales en Italia… de estrechar y extender sus contactos en la red, de hacer circular e intercambiar sus propios datos y materiales y recibir los de los demás. También a cambio de conseguir todo tipo de ventajas –psicológicas o prácticas– derivadas de la extensión y desarrollo de relaciones sociales y de la participación, aunque sea virtual, en una «comunidad», que le ofrece un fácil aprovechamiento de escritos, imágenes, vídeos u obras artísticas prescindiendo de que estén protegidas por derechos de autor (especialmente musicales y cinematográficas), y en general a cambio de la posibilidad de acceder y tener a disposición una enorme cantidad de información de todo tipo en tiempo real y desde todo el amplio abanico de dispositivos portátiles hoy en uso que puedan conectarse en red. Dejar también en manos del interesado la opción de la perseguibilidad penal podría constituir un correctivo oportuno a esta situación, que contribuiría a evitar que el sistema penal permanezca lejos de lo que «sienten» los destinatarios de la normativa vigente en esta materia y favorecería una más adecuada y concreta compensación de los intereses en potencial conflicto. Sería, por tanto, deseable la introducción de la perseguibilidad mediante «querela»27 para un conjunto determinado de conductas o «infracciones» contra la privacy del individuo que no presenten extremos de gravedad tales que afecten al núcleo esencial de su derecho fundamental a la protección de los datos personales o al de otros usuarios y por ello falte un efectivo interés público. No habría de ser así, por el contrario, en caso de comportamientos fraudulentos o ilegítimos cometidos por terceros extraños, incluyendo entre estos a los investigadores o fuerzas del orden, que traspasen los límites y las garantías fundamentales establecidas por la ley. 3.2. Los delitos contra la «inviolabilidad informática» Al lado de las infracciones al código de la privacy que acabamos de analizar se colocan otras posibles infracciones similares que afectan al bien jurídico «inviolabilidad informática», es decir, al derecho de los individuos a excluir a terceros no autorizados del acceso y del uso de espacios, sistemas o datos informáticos, sin que sea relevante que el contenido de estos sea «personal» o no.28 Se trata de un derecho de la persona que al igual que la privacy se puede recabar del artículo 7 de la Carta de Niza29 y que el Tribunal Constitucional alemán ha reconducido recientemente al ámbito de los fundamentales «derechos de la personalidad» relativos a la dignidad humana (Menschenwürde) reconocida en el artículo 1 de la Constitución alemana (Grundgesetz), y relacionado con el precedentemente reconocido derecho a la autodeterminación informativa, a su vez relacionado con los más tradicionales derechos fundamentales como la inviolabilidad de la correspondencia o la del domicilio.30 27.Véase la nota anterior. 28.Sobre la afirmación autónoma de tal bien jurídico, que no es posible incluir en la tutela penal del «domicilio» ni siquiera extendiéndose el concepto al de «domicilio informático», según el punto de vista adoptado por la legislación italiana en la fundamental Ley de 23 de diciembre de 1993, número 547, contra la criminalidad informática, que introdujo (en la correspondiente sección IV del capítulo III, título XII de la parte especial) los artículos 615-ter, 615-quater, 615-quinquies del Código penal, permítaseme la remisión a Picotti (2000), pág. 1 y sig., además de a Picotti (2004b), especialmente pág. 80 29.La necesidad de implementar medidas penales para proteger el «domicilio informático» en cuanto a tal la afirmó el Consejo de Europa en la «Recomendación contra la criminalidad informática» de 1989, número R (89) 9, adoptada el 13 de septiembre –que incluyó el acceso ilegítimo en la «lista mínima» de los hechos que incriminar, tal como más tarde confirmó el Convenio sobre Criminalidad de 2001, cit., que ha colocado en el primer lugar entre los delitos contra la «confidencialidad, integridad y disponibilidad de los datos y sistemas informáticos» la previsión contenida en el artículo 2, que los Estados están obligados a incriminar. De manera análoga, véase el artículo 2 de la Decisión marco UE 2005/222/JAI relativa a los ataques informáticos. 30.Bundesverfassungsgericht (Tribunal Constitucional alemán), 27 de febrero de 2008, 1 BvR 370/0 (www.bverfg.de), mediante la que se anula una ley del Land de Renania del Norte-Westfalia de protección del Estado, que permitía a los servicios de inteligencia «poner bajo vigilancia» durante un periodo de tiempo a sectores enteros de comunicaciones en Internet, o bien a la búsqueda activa mediante software específico de informaciones y datos en red y en los ordenadores conectados a esta, que comportaba una gran intrusión en la esfera de inviolabilidad de los usuarios, que incluso podían ser del todo extraños al objeto de la investigación. El Alto Tribunal alemán ha declarado inconstitucionales las normas en cuestión por infracción del artículo 10 de su Constitución (análogo al artículo 15 de la Constitución Italiana en la medida en que garantiza la inviolabilidad del secreto epistolar y de las comunicaciones a distancia), sobre el que ha basado el reconocimiento del «nuevo» derecho fundamental a la libertad, seguridad y confidencialidad en la utilización de instrumentos electrónicos de comunicación como manifestación del derecho general de la personalidad basado en el artículo 1 de la Constitución alemana (dignidad de la persona humana: Menschenwürde), del que son expresión tanto el derecho inviolable al domicilio (artículo 13 de la Constitución alemana, IDP Número 16 (Junio, 2013) I ISSN 1699-8154 Eloi EloiPuig PuigPicotti Lorenzo 69 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Los derechos fundamentales en el uso y abuso de las redes sociales en Italia… En el ordenamiento italiano este «nuevo» derecho encuentra su protección penal en primer lugar en el delito que castiga el acceso ilegítimo a un sistema informático o telemático previsto en el artículo 614-ter del Código penal,31 y en segundo lugar en el delito «prodrómico» de peligro, que anticipa la barrera de la punibilidad, de tenencia u obtención ilegítima de códigos de acceso o palabras clave, previsto en el artículo 615-quater del Código penal. A pesar de que este último se castiga con una pena menor, nos hallamos ante un delito público y por ello se puede proceder de oficio a su persecución, naturalmente debido a su potencial peligrosidad hacia sujetos indeterminados. Por el contrario, frente al más grave delito «final» del artículo 615-ter se puede proceder mediante «querella»32 siempre que no concurran las circunstancias agravantes en él previstas, entre las que cabe destacar la contenida en su número 1, que se refiere a los casos en que el autor sea un funcionario público, el encargado de un servicio público, un investigador privado o un encargado del sistema. fil» o de la cuenta, tengan esos datos o no un contenido «personal». En estos casos, además del elemento objetivo que sin duda alguna configura el tipo, dado que se trata de sistemas informáticos protegidos mediante «medidas de seguridad» (como mínimo mediante la necesidad de utilizar contraseña u otras credenciales de acceso) y tal como pacíficamente admite la jurisprudencia, el hecho se perfecciona con el simple acceso no consentido a partes específicas o sectores reservados de un sistema, a pesar de que sea perfectamente legítimo introducirse en otras partes o espacios no reservados de aquellos.33 Por ello, no debería caber duda alguna de que efectivamente se cumple el tipo subjetivo doloso, ya que no es posible realizar esta clase de conductas si no es con intención, o al menos con la voluntad consciente, de quien gestione los accesos o utilice o consiga indebidamente las contraseñas, palabras clave o credenciales de otro, etc., visto que precisamente las medidas de protección y las reglas técnicas de seguridad de los sistemas informáticos imponen una ejecución «deliberada» de los actos típicos necesarios para infringirlas. En cuanto a la posibilidad de que estos delitos se puedan realizar en las redes sociales, baste decir que es sin duda alguna técnicamente posible el acceso a «espacios informáticos», páginas web o enlaces ajenos sin contar con el consentimiento o contra la voluntad, aunque sea tácita, del titular, por ejemplo haciéndolo para finalidades a las que este no ha consentido, yendo más allá de los límites concedidos, o utilizando o procurándose ilegítimamente contraseñas de acceso (dando lugar así al tipo preparatorio autónomo del 615-quater del Código penal, que materialmente puede concurrir con el tipo principal), o bien utilizando las credenciales de acceso que, aunque se tengan de manera legítima, se usen para realizar modificaciones o introducir informaciones, datos o materiales que no han sido queridas ni consentidas por parte del titular del «per- Tal como ya hemos anticipado, también en estos casos el usuario de la red social puede ser tanto autor como víctima de los delitos que estamos examinando, lo que no impide que igualmente los puedan cometer terceros extraños que consigan acceder a la red social, por ejemplo, abusando de perfiles de fantasía o mediante otras técnicas más o menos fraudulentas o ilegítimas. Con referencia a estas últimas, se hace necesario mencionar (aunque no sea posible analizarla en esta sede) la amplia problemática del phishing, que consiste en la utilización de técnicas de «ingeniería social» destinadas a sustraer, que se corresponde con el artículo 14 de la Constitución italiana) y a la «autodeterminación informativa» (Recht auf die informationelle Selbstbestimmung), que había sido previamente reconocido por la famosa sentencia de 1983 del mismo Tribunal en materia de referendum (BVerfG, 15.12.1983, 1 BvR 209/83 y sucesivas) y que fue posteriormente confirmada por otra sentencia en materia de data retention (BVerfG, 2.3.2010, 1BvR 256/08 – www.bverfg.de). Al respecto, véanse Sieber, «Online-Searches in Global Cyberspace: a new Threat for Criminals and for Civil Liberties», en Computer crimes and cybercrimes: Global Offences, Global answers (Actas del Congreso de Verona del 27 y 28 de octubre de 2007, en vías de publicación); también Picotti (2011b), además de diversas intervenciones de Flor (2009b) y (2011). 31.Acerca del alcance de este delito, que ha tenido una amplia aplicación y que recientemente ha sido objeto de una importante sentencia del pleno del Tribunal Supremo italiano (Corte Suprema di Cassazione, Sezioni Unite), de 27 de octubre de 2011 (dep. 7 de febrero de 2012), número 4694, baste la remisión a los recientes comentarios –con exhaustivas indicaciones bibliográficas y jurisprudenciales– de Flor (2012) y Salvadori (2012). 32.Véase la nota 26. 33.Al respecto, véase la sentencia del Tribunal de Rovereto de 9 de enero de 2004 (2 de diciembre de 2003), número 343, confirmada también en sede de legitimidad, con nota de Flor (2005), pág. 81 y sig. IDP Número 16 (Junio, 2013) I ISSN 1699-8154 Eloi EloiPuig PuigPicotti Lorenzo 70 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Los derechos fundamentales en el uso y abuso de las redes sociales en Italia… electrónico o de redes sociales, cuentas bancarias on-line o cuando de modo más general sean aptas para conseguir informaciones o datos reservados que interesen al autor del delito, en especial cuando estos tengan trascendencia económico-patrimonial, aunque no solo en estos casos. mediante engaño o eludiendo la atención de la víctima, las informaciones personales de esta constituidas por números o palabras de identificación, claves de acceso, contraseñas o credenciales varias,34 especialmente –pero no solo– cuando permitan acceder posteriormente a cuentas de correo Bibliografía CAJANI, F.; COSTABILE, G. (2011). Gli accertamenti informaticI nelle investigazioni penali: una prospettiva europea. Milán: Experta Edizioni. DONINI, M. (1993). Il delitto contravvenzionale, «Culpa Iuris» e oggetto del dolo nei reati a condotta neutra. Milán: Giuffrè. (Università degli Studi di Bologna Seminario giuridico). FLOR, R. (2005). «Sull’accesso abusivo ad un sistema informatico o telematico: il concetto di domicilio e lo “jus excludendi alios”». Diritto penale e processo. Núm. 1/2005, pág. 81-89. FLOR, R. (2007). «Phishing, identity theft e identity abuse: le prospettive applicative del diritto penale vigente». Rivista italiana di diritto e procedura penale. Pág. 899 y sig. FLOR, R. (2008). «Realizzare furti di identità tramite tecniche di phishing integra più fattispecie penali e costituisce un “reato transnazionale”» Nota a Tribunale di Milano, sent. 10 dicembre 2007, n. 888. Rivista di Giurisprudenza ed Economia d’Azienda. Núm. 4, pág. 143-146. FLOR, R. (2009a). «Phishing “misto”, attività abusiva di mediazione finanziaria e profili penali dell’attività del c.d. “Financial Manager”» Nota a Tribunale di Milano, 29 ottobre 2008. Rivista di Giurisprudenza ed Economia d’Azienda. Núm. 5, pág. 120-123. FLOR, R. (2009b). «Brevi riflessioni a margine della sentenza del Bundesverfassungsgericht sulla c.d. Online Durchsuchung». Rivista di diritto penale dell’economia. Núm. 3, pág. 695-716. FLOR, R. (2011). «Tutela dei diritti fondamentali della persona nell’epoca di Internet. Le sentenze del Bundesverfassungsgericht e della Curtea Constitutionala ˘ in materia di investigazioni a contenuto , tecnologico e data retention». En: L. PICOTTI y F. RUGGIERI (coord.). Nuove tendenze della giustizia penale di fronte alla criminalità informatica. Aspetti sostanziali e processuali. Turín: G. Giappichelli Editore. Pág. 32-49. (E-book en www.giappichelli.it). FLOR, R. (2012). «L’introduzione abusiva ed il mantenimento non autorizzato in un sistema informatico nella recente sentenza delle Sezioni Unite. “Abuso” dei profili autorizzativi, “abuso” di poteri da parte del pubblico ufficiale e violazione dello jus excludendi alios». Rivista Trimestrale di Diritto Penale Contemporaneo. Núm. 1. FLOR, R. (2013). «La tutela penale della propietà intellettuale ed il contrasto alla collocazione ed alla circolazione in internet di opere o prodotti con segni falsi o alterati». En L. BRUNO y C. CAMALDO. La circolazione e il contrabbando di prodotti contrafatti o pericolosi: la tutela degli interessi finanziari dell’Unione europea e la protezione dei consumatori. Turín: G. Giappichelli. 34.Sobre la amplia problemática del phishing y sus multiformes manifestaciones, se remite al profundo estudio de Flor (2007), que incluye consideraciones de derecho comparado. Para algunos casos en ámbito bancario, véanse las sentencias del Tribunal de Milán de 29 de octubre de 2008, con comentario de Flor (2009a), y de 10 de diciembre de 2007, también con observaciones de Flor (2008). IDP Número 16 (Junio, 2013) I ISSN 1699-8154 Eloi EloiPuig PuigPicotti Lorenzo 71 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Los derechos fundamentales en el uso y abuso de las redes sociales en Italia… LUPARIA, L. (ed.) (2009). Sistema penale e criminalità informatica: profili sostanziali e processuali nella legge attuativa della Convenzione di Budapest sul cybercrime. Milán: Giuffrè Editore. HOFFMANN, K. (2012). «Investigations on Social Networks. A german perspective». Eucrim. Núm. 3, pág. 137-140. MANNA, A. (2003). «Il quadro sanzionatorio penale ed administrativo del codice sul trattamento dei dati personali». Il diritto dell’informazione e dell’informatica. Núm. 4/5, pág. 727-770. Milán: Giuffrè. NIETO MARTÍN, A. (2010). Redes sociales en Internet y “data mining” en la prospección e investigación de comportamientos delictivos. Paper en UCLM. <http://www3.uclm.es> PICOTTI, L. (1993). Il dolo specifico. Un’indagine sugli «elementi finalistici» delle fatispecie penali. Milán: Giuffrè. (Facoltà di Giurisprudenza di Teramo della Università Gabriele d’Annunzio). PICOTTI, L. (1999). «Profili penali delle comunicación illecite via Internet». Il diritto dell’informazione e dell’informatica. Núm. 2, pág. 283-330. PICOTTI, L. (2000). «Voz “reati informatici”». En: Enciclopedia Giuridica. Roma: Treccani. Vol. de actualización VIII, pág. 1-36. PICOTTI, L. (2004a). «Introduzione». En: Il diritto penale dell’informatica nell’epoca di Internet. Padua: Cedam. PICOTTI, L. (2004b). «Sistematica dei reati informatici, tecniche di formulazione legislativa e beni guiridici tutelati». En: Il diritto penale dell’informatica nell’epoca di Internet. Padua: Cedam. Pág. 21 y sig. PICOTTI, L. (2008). «La ratifica della Convenzione Cybercrime del Consiglio d’Europa. Profili di diritto penale sostanziale». Diritto penale e processo. Núm. 6, pág. 700-723. PICOTTI, L. (2011). «La nozione di “criminalità informática” e la sua rilevanza per le competenze penali europee». Rivista trimestrale di diritto penale dell’economia. Núm. 4, pág. 827-864. PICOTTI, L.; RUGGIERI, F. (coord.) (2011). Nuove tendenze della giustizia penale di fronte alla crimnalità informatica. Aspetti sostanziali e processuali. Turín: G. Giappichelli Editore. (E-book en www.giappichelli. it). PICOTTI, L. (2011). «Sicurezza informatica e diritto penale». En: M. DONINI y M. PAVARINI (coord.). Sicurezza e diritto penale. Bolonia: Bologna University Press. Pág. 217 y sig. SALVADORI, I. (2006). «Il trattamento senza consenso di dati personali reperibili su Internet costituisce reato?». Diritto penale e processo. Núm. 4, pág. 464 y sig. SALVADORI, I. (2012). «Quando un insider accede abusivamente ad un sistema informatico o telematico? Le Sezioni unite precisano l’ambito di applicazzione dell’art. 615 ter c.p.». Rivista trimestrale di diritto penale dell’economia. Núm. 1-2, pág. 269 y sig. SIEBER, U. (2012). «Straftaten und Strafverfolgung im Internet. Gutachten C. zum 69 Deutschen Juristentages». En: STÄNDIGEN DEPUTATION DES DEUTSCHEN JURISTENTAGES. Verhandlungen des 69. Deutschen Juristentages. Múnich: Verlag C.H. Beck. Vol. 1 (partes A-F), pág. 157 y sig. SIEBER, «Online-Searches in Global Cyberspace: a new Threat for Criminals and for Civil Liberties». En: Computer crimes and cybercrimes: Global Offences, Global answers. Actas del Congreso de Verona del 27 y 28 de octubre de 2007, en vías de publicación. IDP Número 16 (Junio, 2013) I ISSN 1699-8154 Eloi EloiPuig PuigPicotti Lorenzo 72 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Los derechos fundamentales en el uso y abuso de las redes sociales en Italia… Cita recomendada Picotti, Lorenzo (2013). «Los derechos fundamentales en el uso y abuso de las redes sociales en italia: aspectos penales». En: María José PIFARRÉ (coord.) «Internet y redes sociales: un nuevo contexto para el delito» [monográfico en línea]. IDP. Revista de Internet, Derecho y Política. Número 16, pág. 59-73. UOC. [Fecha de consulta: dd/mm/aa] http://idp.uoc.edu/ojs/index.php/idp/article/view/n16-picotti/n16-picotti-es DOI: 10.7238/idp.v0i16.1961 Los textos publicados en esta revista están –si no se indica lo contrario– bajo una licencia Reconocimiento-Sin obras derivadas 3.0 España de Creative Commons. Puede copiarlos, distribuirlos y comunicarlos públicamente siempre que cite su autor y la revista y la institución que los publica (IDP. Revista de Internet, Derecho y Política; UOC); no haga con ellos obras derivadas. La licencia completa se puede consultar en http://creativecommons.org/licenses/by-nd/3.0/es/deed.es. Sobre el autor Lorenzo Picotti lorenzo.picotti@univr.it Catedrático de Derecho penal y de Derecho penal de la informática Università degli Studi di Verona Web personal http://www.studiopicotti.com Palazzo di Giurisprudenza, piso 2, despacho 12 Università degli Studi di Verona Via Carlo Montanari, 9 37122 Verona Italia IDP Número 16 (Junio, 2013) I ISSN 1699-8154 Eloi EloiPuig PuigPicotti Lorenzo 73 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Monográfico «Internet y redes sociales: un nuevo contexto para el delito» ARTÍCULO La regulación de los daños informáticos en el código penal italiano Ivan Salvadori Profesor de Derecho penal (Universidad de Barcelona) Fecha de presentación: abril de 2013 Fecha de aceptación: junio de 2013 Fecha de publicación: junio de 2013 Resumen En el presente trabajo se analiza la regulación de los delitos de daños informáticos introducidos en el Código penal italiano por la Ley número 48, de 18 de marzo de 2008, que ratifica y da ejecución al Convenio sobre Cibercrimen del Consejo de Europa. El objetivo es averiguar si la legislación penal italiana en materia de daños informáticos cumple con las recomendaciones internacionales y, en particular, si se adecua a las técnicas de protección adoptadas por otros legisladores europeos. En primer lugar se analizarán los tipos delictivos de daños a datos y a sistemas informáticos «privados» (artículos 635-bis y 635-quater del Código penal) y de daños a datos y a sistemas informáticos de carácter «publico» (artículos 635-ter y 635-quinquies del Código penal). Se pasará luego a estudiar su peculiar estructura típica y se determinarán los bienes jurídicos protegidos por los mencionados delitos. Por último, se formularán algunas consideraciones críticas en perspectiva de lege ferenda. Palabras clave Derecho penal informático, cibercrimen, daños informáticos, sabotaje informático, delitos de «atentado», delitos cualificados por el resultado, Ley número 48/2008, Código penal italiano Tema Derecho penal informático IDP Número 16 (Junio, 2013) I ISSN 1699-8154 Eloi EloiPuig Puig Ivan Salvadori 74 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp La regulación de los daños informáticos en el código penal italiano Regulation of computer damage in Italian criminal law Abstract The article analyses the regulation of computer damage crimes as introduced into the Italian Criminal Code by Law 48, of 18 March 2008, which ratifies and brings into force the Convention on Cybercrime of the Council of Europe. The aim is to find out whether Italian criminal law on computer damage meets international guidelines and, in particular, whether it adapts to the protection techniques adopted by other European legislators. Firstly, the article analyses the crimes of criminal damage affecting “private” computer systems and data (articles 635-bis and 635-quater of the Criminal Code) and “public” computer systems and data (articles 635-ter and 635-quinquies). The article then goes on to study its peculiar structure and to determine the property legally protected against the aforementioned crimes. Finally, it provides some critical considerations with regard to lex ferenda. Keywords computer crime law, cybercrime, computer damage, computer sabotage, “attempted” crime, crime defined by the result, Law 48/2008, Italian criminal law Subject computer crime law Introducción interference) y en los sistemas informáticos (system interference), el legislador italiano ha distinguido, siguiendo las recomendaciones internacionales, entre daños a datos y daños a sistemas informáticos, y ha tipificado ambas conductas como delitos distintos. Sin embargo, en contra de lo que ha ocurrido en muchos países europeos (como, por ejemplo, en Alemania, Austria, España y Rumanía),2 nuestro legislador no se ha limitado a introducir en el Código penal dos tipos delictivos autónomos en subjecta materia, sino que ha creado un complejo sistema normativo formado por cuatro normas distintas. Con la Ley número 48, de 18 de marzo de 2008, que ratifica y da ejecución al Convenio sobre Cibercrimen del Consejo de Europa (en adelante, CoC), el legislador italiano ha reformado algunos de los delitos informáticos (por ejemplo en materia de difusión de programas malware del artículo 615-quinquies del Código penal y de falsedades informáticas del artículo 491-bis del Código penal) que había introducido en el Código penal italiano (en adelante, c.p.) con la Ley número 547, de 23 de diciembre de 1993. Además de ello, también ha creado nuevos tipos delictivos para castigar las falsedades cometidas por el emisor de certificados de firma electrónica (artículo 495-bis del c.p.) y las estafas cometidas por este mismo (artículo 640-quinquies del c.p.).1 Sin embargo, las principales novedades introducidas por la Ley número 48/2008 son las relativas a la normativa en materia de daños informáticos. En los próximos párrafos se intentará averiguar si la legislación penal italiana en materia de daños informáticos cumple con las recomendaciones internacionales y, en particular, si se adecua a las técnicas de protección adoptadas en los últimos años por otros legisladores europeos (como, por ejemplo, el español y el alemán). En primer lugar se analizarán los tipos delictivos de daños a datos y a sistemas informáticos «privados» (apartado 2), Para dar actuación a las disposiciones del Convenio sobre Cibercrimen en lo relativo a la interferencia en los datos (data 1.Para un comentario sistemático de las principales novedades introducidas por la Ley 48/2008, véanse Sarzana (2008, pág. 1562 y sig.) y Picotti (2008b, pág. 437 y sig.). Respecto a los nuevos delitos de daños informáticos véase Salvadori (2012, pág 204 y sig.). 2.La bipartición entre daños a datos y a sistemas informáticos está prevista, por ejemplo, en la legislación penal alemana (§§ 303a y 303b del StGB), austriaca (§§ 126a y 126b del StGB), rumana (arts. 44 y 45 de la Ley de 21 de abril de 2003, núm. 161), portuguesa (arts. 3 y 4 de la Ley de 15 de septiembre de 2009, núm. 109) y española (arts. 264.1 y 2 del Código penal). IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Ivan Salvadori R. Agustina 75 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp La regulación de los daños informáticos en el código penal italiano El objeto material del delito lo constituyen los datos, informaciones y programas informáticos ajenos. Respecto a la anterior formulación del artículo 635-bis del c.p., que había sido introducida en el Código penal mediante la Ley número 547/1993, el legislador italiano de 2008 ha suprimido la referencia a los sistemas informáticos o telemáticos, que, de acuerdo con la bipartición realizada tanto por el Convenio sobre Cibercrimen del Consejo de Europa como por la Decisión marco 2005/222/JAI, del Consejo de la Unión Europea, relativa a los ataques contra los sistemas de información, se protegen ahora mediante normas ad hoc (arts. 635-quater y 635-quinquies del c.p.). con particular atención al delito de daños a datos y programas del artículo 635-bis del c.p. (apartado 2.1), al delito de «sabotaje informático» del artículo 635-quater del c.p. (apartado 2.2) y al controvertido concepto de «ajenidad» de los datos y programas informáticos (apartado 2.3). En la segunda parte del trabajo se analizarán los delitos de daños a datos y a sistemas informáticos de carácter «publico» (apartado 3). En primer lugar se estudiará la estructura del artículo 635-ter, párrafo 1, del c.p. y del artículo 635-quinquies, párrafo 1, del c.p. (apartado 3.2), que se caracterizan por ser delitos de «atentado o emprendimiento» (delitti di attentato o Unternehmensdelikte).3 Se pasará luego a analizar la problemática estructura de «delitos cualificados por el resultado» (reati aggravati dall’evento) utilizada en la tipificación de los artículos 635-ter, párrafo 2, del c.p. y 635-quinquies, párrafo 2, del c.p. (apartado 3.3). Para finalizar se formularán algunas consideraciones sobre el tratamiento sancionador, las circunstancias agravantes previstas en estos delitos (apartado 4) y los bienes jurídicos protegidos por estos delitos (apartado 5), y por último, como conclusión, se formularán algunas valoraciones criticas en perspectiva de lege ferenda (apartado 6). No parece adecuada, sin embargo, la referencia que, junto con los datos y los programas informáticos, se hace a las informaciones, ya que su mención amplía de manera excesiva el ámbito de aplicación del delito y posibilita la subsunción en el artículo 635-bis del c.p. de los meros daños a informaciones contenidas en un documento de papel o que de todos modos no se puedan tratar mediante un programa informático.5 La formulación del tipo resulta adecuarse bastante a la del artículo 4 del Convenio sobre Cibercrimen. Respecto al anterior artículo 635-bis del c.p., que castigaba también la destrucción, el deterioro y la inutilización total o parcial de los datos, informaciones y programas informáticos ajenos, la nueva norma, que menciona expresamente los resultados ilícitos de cancelación, alteración y supresión de datos, resulta ser más correcta. Estos resultados típicos, que pueden ocasionarse también de manera omisiva, representan las distintas «modalidades» con las que puede manifestarse la agresión a la integridad y a la disponibilidad de los datos y de los programas informáticos. 2. Los daños a datos y a sistemas informáticos «privados» 2.1. Los daños a informaciones, datos y programas informáticos (artículo 635-bis del c.p.) El delito de «daños a informaciones, datos y programas informáticos» del artículo 635-bis del c.p. castiga, con la pena de prisión de seis meses a tres años, a quien «destruyere, deteriorase, borrase, alterase o suprimiese informaciones, datos o programas informáticos ajenos».4 La alteración consiste en una modificación del contenido de los datos informáticos.6 De esta manera pueden ser subsumi- 3.Se trata de delitos que castigan la mera comisión de «actos dirigidos» a causar un resultado generador de lesión de un bien jurídico y cuya estructura objetiva coincide con la de la tentativa. Para un análisis de los problemas dogmáticos y político-criminales que plantea esta categoría de delitos, véanse en la doctrina italiana Gallo (1966 y 1987 [pág. 340 y sig.]), Zuccalá (1977, pág. 1225 y sig.), Grasso (1986, pág. 689 y sig.) y Padovani (1984, pág. 169 y sig.). 4.Artículo 635-bis del c.p.: «salvo che il fatto costituisca più grave reato, chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui è punito, a querela della persona offesa, con la reclusione da sei mesi a tre anni. Se ricorre la circostanza di cui al numero 1) del secondo comma dell’articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è della reclusione da uno a quattro anni e si procede d’ufficio». 5. En este sentido, véase Pecorella (2011, pág. 148 y sig.). 6.Respecto al análogo delito de alteración de datos (Datenveränderung), previsto en el párrafo 303a del Código penal alemán, véanse Wolff (2010, pág. 403) y Stree y Hecker (2010, pág. 2664). IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Ivan Salvadori R. Agustina 76 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp La regulación de los daños informáticos en el código penal italiano dos en el nuevo artículo 635-bis del c.p. los daños causados mediante el empleo de programas malware que transformen o modifiquen el contenido de los datos informáticos.7 Del mismo modo, podrán ser castigadas las alteraciones (o defacement) de páginas web que se sustancien en la modificación no autorizada de los datos informáticos que forman dichas páginas, o en la transformación de códigos fuente o del lenguaje de programación de un software. Por el contrario, no se podrá decir que existe alteración en los casos de instalación ilícita de programas espía (como, por ejemplo, Spyware, Trojan Horse y Keylogger), cuya función principal es la de memorizar los datos que se tratan y envían desde el ordenador «espiado» y transmitirlos al delincuente informático sin que haya ninguna modificación de su contenido.8 ilícita aposición de una contraseña a un archivo) cuyo efecto consiste en impedir, de manera permanente o temporal, el legitimo acceso a los datos a su titular. Sin embargo estos últimos casos podrían ser subsumidos en el resultado típico de supresión de datos informáticos.10 La supresión (suppression) de datos abarca no únicamente los hechos que consistan en una eliminación definitiva de los datos y que impidan cualquier posibilidad de recuperación de estos en el ordenador o soporte en los que estaban almacenados, sino también aquellos casos en que se impida el normal acceso a los datos a su legítimo titular. Piénsese, por ejemplo, en la sustitución de una contraseña o del nombre de un fichero, en el desplazamiento de un archivo a una carpeta o un directorio distinto o en la ocultación de los datos.11 A diferencia del artículo 5 del CoC, el artículo 635-bis del c.p. no menciona los supuestos que consistan en la producción de daños, y tampoco, como requiere el artículo 4 de la Decisión marco 2005/222/JAI, aquellos que consistan en hacer inaccesibles los datos informáticos. La cancelación (deletion) consiste en hacer total y definitivamente irreconocible el contenido de los datos o de los programas informáticos.12 Los datos se pueden cancelar tanto destruyendo o dañando los soportes en los que están almacenados como mediante su formateo. Del todo irrelevante será, a efectos penales, que los datos o los programas informáticos borrados puedan ser recuperados por su titular en otro soporte (por ejemplo, en un CD-ROM, en una copia de seguridad, etc.).13 La decisión del legislador italiano de no castigar de manera expresa los hechos que consistan en «dañar» (damaging) datos informáticos ajenos no parece del todo correcta. El hecho de dañar datos o programas informáticos abarca casos que pueden ser subsumidos solo en parte en la conducta típica del deterioro de datos,9 que consiste en disminuir o menoscabar el valor o la posibilidad de utilización de datos, informaciones o programas informáticos. El legislador italiano, a diferencia, por ejemplo, del español,14 no ha considerado oportuno limitar la aplicación del tipo únicamente a los casos graves de daños a datos y programas informáticos. La ratio de esta cláusula «indefinida» es la de restringir el tipo delictivo para evitar que abarque también la simple alteración de datos cuando estos no tengan ningún valor o utilidad. Críticas similares surgen con respecto a la decisión de no castigar los hechos que consistan en hacer inaccesibles datos informáticos, resultado expresamente mencionado en el artículo 4 de la Decisión marco 2005/222/JAI, que permitiría abarcar todas aquellas conductas (como, por ejemplo, el empleo no autorizado de programas de criptografía, la Sin embargo, a falta de una definición legal del concepto de «gravedad» de los daños producidos a datos y programas 7. Cfr. Convention on Cybercrime. Explanatory Report, 61. (ETS n. 185). 8.En sentido similar, Hilgendorf, Frank y Valerius (2005, pág. 56). 9. Op. cit. Council of Europe (2001). Respecto a la interpretación de la conducta de deterioro de datos y de sistemas informáticos, véase en doctrina Pecorella (2006b, pág. 216 y sig.). 10. Op.cit. Council of Europe (2001). 11.Con respecto a la interpretación del tipo penal análogo de Unterdrückung prevista en el párrafo 303a del StGB, cfr. Hilgendorf, Frank y Valerius (2005, pág. 55), Wollf (2010, pág. 401-402) y Fischer (2010, pág. 2122). 12.Sobre el sentido de la cancelación (Löschung) de datos informáticos prevista por el párrafo 303a del StGB, véanse Hilgendorf, Frank y Valerius (2005, pág. 55) y Hoyer (2009, pág. 27, 3). 13. En sentido similar, véase en la doctrina alemana Zaczyk (2010, pág. 2481, marg. 7). 14.Sobre el nuevo delito de daños de datos informáticos del artículo 264.1 del Código penal español, véase I. Salvadori (2011, vol. LXIV, pág. 221-252). IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Ivan Salvadori R. Agustina 77 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp La regulación de los daños informáticos en el código penal italiano informáticos, será competencia de los jueces la compleja tarea de determinar el criterio de selección de aquellos casos de daños que por su gravedad habría que considerar penalmente relevantes. Por lo tanto, la previsión de esta cláusula podría resultar contraria al principio fundamental de taxatividad, si bien in bonam partem. se ha subrayado anteriormente, el artículo 635-bis del c.p. se caracteriza por ser un delito de resultado que castiga cualquier conducta (activa u omisiva) cuyo efecto causal consista en ocasionar un «daño» a través de una de las modalidades típicas de destrucción, cancelación, alteración o supresión de datos, informaciones o programas informáticos ajenos. 2.2. Los daños a sistemas informáticos o telemáticos (artículo 635-quater del c.p.) La segunda conducta tipificada en el delito del artículo 635-quater del c.p. castiga los sabotajes informáticos realizados «a través de la introducción o la transmisión de datos, informaciones o programas». La previsión de este subtipo, que se adecua al artículo 5 del CoC y al artículo 3 de la Decisión marco 2005/222/JAI, se justifica por la necesidad de castigar también los casos, cada día más frecuentes, de daños «lógicos» –es decir, que afectan a la parte del software de un sistema informático– llevados a cabo mediante las conductas neutras de introducción de datos en un sistema informático o de transmisión a través de la web o de un hardware (por ejemplo, USB, CD-ROM, etc.) de programas malware (como gusanos, virus, etc.). El delito de «daños a sistemas informáticos y telemáticos» del artículo 635-quater del c.p. castiga, con la pena de prisión de uno a cinco años, a quien «mediante las conductas mencionadas en el articulo 635-bis c.p. o a través de la introducción o la transmisión de datos, informaciones o programas informáticos destruya, dañe o inutilice en todo o en parte sistemas informáticos o telemáticos ajenos, u obstaculice de manera grave su funcionamiento».15 Se trata de un delito de resultado de medios determinados, puesto que el resultado tiene que producirse «mediante las conductas descritas en el art. 635-bis del c.p.» o «a través de la introducción o la transmisión de datos, informaciones o programas». El artículo 635-quater del c.p. describe el resultado típico del delito como «destruir, dañar, inutilizar total o parcialmente» u «obstaculizar gravemente el funcionamiento» de un sistema informático o telemático. El primer supuesto típico, que se estructura como un tipo cualificado (Qualifikationstatbestand) respecto del tipo básico contenido en el artículo 635-bis del c.p., castiga los daños a sistemas informáticos o telemáticos ocasionados «mediante las conductas previstas en el art. 635-bis del c.p.», es decir, mediante «la destrucción, deterioro, cancelación, alteración o supresión de datos, informaciones y programas».16 La formulación del delito es distinta a la del artículo 3 de la Decisión marco 2005/222/JAI y del artículo 5 del CoC, y no parece correcta en la parte en que califica como conducta, junto a las de introducción y de transferencia de datos mencionadas en la segunda parte del tipo, a los «hechos» típicos del artículo 635-bis del c.p., como si se tratase de un delito de acción.17 Como La formulación del primer resultado previsto por el tipo delictivo reproduce la conducta típica prevista en el artículo 635-bis del c.p. El segundo resultado típico previsto en el artículo 635-quater del c.p. consiste, de acuerdo con la previsión del artículo 5 del CoC, en obstaculizar gravemente el funcionamiento de un sistema informático o telemático. Esta previsión, que parece incluir también la de interrupción (prevista en el artículo 3 de la Decisión marco 2005/222/JAI), se puede estimar correcta, puesto que permite superar aquellas lagunas normativas que impedían castigar, durante la vigencia del anterior artículo 635-bis del c.p., los daños «funcionales» 15.Artículo 635-quater del c.p.: «salvo che il fatto costituisca più grave reato, chiunque, mediante le condotte di cui all’articolo 635-bis, ovvero attraverso l’introduzione o la trasmissione di dati, informazioni o programmi, distrugge, danneggia, rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui o ne ostacola gravemente il funzionamento è punito con la reclusione da uno a cinque anni». 16.Respecto al tipo análogo previsto en el § 303b, Abs. 1, n.1, del Código penal alemán, que castiga el Computersabotage cometido mediante daños a datos informáticos (§ 303a StGB), véanse Wolff (2010, pág. 418, marg. 2) y Stree y Hecker (2010, «303b StGB», pág. 2666). Considera que el § 303b n.1 del StGB constituye un delito agravado por el resultado (erfolgsqualifiziertes Delikt) Zaczyk (2010, pág. 2484). Una estructura similar tiene el nuevo delito de sabotaje informático, previsto en el artículo 264.2 del Código penal español. 17.Crítico también Picotti (2008a, pág. 713). IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Ivan Salvadori R. Agustina 78 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp La regulación de los daños informáticos en el código penal italiano a un sistema informático o telemático.18 Paradigmáticos en este sentido son los mencionados ataques de denegación de servicio (denial of service o distributed denial of service attacks), que impiden el correcto funcionamiento de un sistema informático si bien no causan en sentido estricto ningún daño a los datos y a los programas informáticos. dieciocho meses) respecto a la pena prevista por el delito del artículo 635-quater del c.p.20 Resulta sorprendente, sin embargo, que queden excluidos del ámbito de aplicación del artículo 635-quater del c.p. los daños físicos, esto es, aquellos que se cometan contra la parte del soporte físico de un sistema informático.21 Los resultados funcionales, si bien coinciden muy a menudo con conductas dañosas «violentas», pueden producirse también en una fase posterior y autónoma respecto a estos.19 Piénsese, por ejemplo, en la transmisión o en la introducción ilícita de un programa malware de tipo worm en un ordenador ajeno. En este caso la inutilización total o parcial del sistema informático puede verificarse a posteriori con el progresivo agotamiento de los recursos de la memoria ocupada por el «gusano». Efectivamente, la norma se refiere solamente a aquellos daños lógicos cometidos mediante las «conductas» de destrucción, deterioro, cancelación o a las conductas de introducción o transmisión de datos, informaciones o programas informáticos. Por lo tanto, solo se podrá reconducir a este delito aquellos casos de daños físicos que se verifiquen (de manera indirecta) a través de modalidades lesivas de tipo «lógico», es decir, mediante datos o contra datos o programas informáticos. Piénsese, por ejemplo, en la introducción o en la transmisión de un virus que obstaculice indirectamente el correcto funcionamiento del ventilador de enfriamiento de un sistema informático infectado, inutilizando en parte, u obstaculizando, el correcto funcionamiento del sistema. En este caso nos encontraríamos frente a una evidente disparidad de tratamiento, puesto que los casos de daños «físicos» causados a sistemas informáticos se castigarían con la pena (mucho más leve) prevista por el artículo 635 del c.p. (de reclusión de hasta un año o multa de hasta 309 euros) en lugar de la pena más grave establecida por los daños «lógicos» del artículo 635-quater del c.p. (prisión de uno a cuatro años), a pesar de que los efectos sobre el funcionamiento del sistema informático afectado podrían ser idénticos. Correcta y acorde con las recomendaciones del Consejo de Europa aparece la decisión político-criminal de limitar el ámbito penal del tipo a aquellos hechos que obstaculicen gravemente el funcionamiento de un sistema informático o telemático. La previsión de esta cláusula indeterminada permite excluir la relevancia penal de aquellos hechos que produzcan una interrupción de entidad muy leve a un sistema de información. Piénsese, por ejemplo, en el envío de un número limitado de mensajes de correo electrónico no deseados (spam), o en las protestas virtuales (net-strike) organizadas por grupos pequeños de usuarios, que no interfieren de manera relevante en el correcto funcionamiento de un servidor. En estos casos parece más correcto el recurso a los instrumentos penales y administrativos previstos por el código de la privacy (Decreto legislativo 196/2003) para el caso de que el spammer haya obtenido en internet direcciones de correo electrónico sin el consentimiento de sus titulares para enviar correos publicitarios no deseados. Esta conducta, en caso de que se cumplan todos los elementos típicos del delito de «tratamiento ilícito de datos» del artículo 167 del Decreto legislativo 196/2003, tendría que ser castigada de manera menos severa (prisión de seis a 2.3. El concepto de «ajenidad» de los datos, informaciones y programas informáticos Los «hechos» típicos de destrucción, deterioro, cancelación, alteración o supresión de informaciones, datos y programas informáticos previstos en el delito del artículo 635-bis del c.p. constituyen eventos técnicamente neutros, que 18.Esta laguna había sido subrayada ya en doctrina por Picotti (2000, pág. 8 y sig.). En contra Pecorella (2006b, pág. 219 y sig.), según la cual las alteraciones de tipo funcional podían ser abarcadas mediante la conducta tipificada de «inutilización total o parcial» de un sistema informático o telemático. 19.En este sentido, Picotti (2008a, pág. 445). De manera más general, con respecto al delito de daños a cosas del artículo 635 del c.p., véase Bricola (1962, pág. 606), según el cual el resultado dañoso tiene que considerarse in re ipsa respecto a la conducta violenta. 20.Sobre la aplicación del tratamiento ilícito de datos personales del artículo 167 del Decreto legislativo 196/2003 por el envío de correos electrónicos no deseados, véase Salvadori (2008, pág. 354 y sig.). 21. Cfr. Pecorella (2011, pág. 150). IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Ivan Salvadori R. Agustina 79 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp no presentan en sí mismos connotación ilícita alguna. En este sentido resulta paradigmática la amplia definición de «tratamiento de datos» que proporciona el artículo 4, párrafo 1, letra a) del llamado código de la privacy italiano (Decreto legislativo 196/2003) que incluye, entre las conductas lesivas que pueden tener como objeto los datos (personales), también su modificación, bloqueo, cancelación y destrucción. Por lo tanto, resulta difícil delimitar, sin otros elementos típicos, la esfera de las conductas lícitas que recaen sobre los datos informáticos respecto a los comportamientos ilícitos merecedores de sanción penal, ya que falta un requisito intrínseco de ilicitud en los resultados de daños tipificados en el artículo 635-bis del c.p. No parece posible determinar el carácter ilícito de los daños sobre la base de la ausencia de consentimiento por parte del titular de los datos o de los programas informáticos dañados.22 Si lo hiciéramos, nos encontraríamos ante una ilógica presunción de tipicidad de todas las operaciones que causen un efecto similar a las conductas previstas en el delito de daños causados a informaciones, datos y programas, cuyo carácter antijurídico habría que excluir en cuanto se constate la presencia de la causa de justificación del consentimiento de la víctima. Esto produciría una parálisis de las operaciones cotidianas de tratamiento de datos y programas realizadas por parte de sujetos públicos o privados en el ámbito laboral, jurídico, económico o social, que en abstracto tendrían que ser subsumidas en el artículo 635-bis del c.p. Con el objetivo de superar las dificultades a la hora de distinguir entre los casos de daños a datos penalmente relevantes La regulación de los daños informáticos en el código penal italiano de los que no lo son, el legislador italiano, pese a las fuertes críticas de la doctrina, ha considerado oportuno recurrir al dudoso requisito de la ajenidad de los datos, informaciones y programas informáticos.23 Esta previsión representa una anomalía, no solo respecto a las fuentes internacionales, sino también en referencia al panorama jurídico europeo donde, a excepción de España, la referencia al carácter ajeno de los datos o programas se ha omitido, requiriendo de manera más correcta que los daños a los datos se lleven a cabo «sin derecho» o «sin autorización». Estas cláusulas de ilicitud expresa, que no requieren necesariamente la existencia de un derecho de propiedad o de posesión del sujeto pasivo sobre los datos informáticos dañados, permiten recurrir, a la hora de delimitar el hecho típico, a todas las normas extrapenales que regulan las actividades legítimas sobre los datos.24 Sin duda, por lo tanto, habría sido más correcta la previsión por parte del legislador italiano de una cláusula de ilicitud expresa, para delimitar así el ámbito de aplicación del delito de daños a datos informáticos llevados a cabo mediante conductas «no autorizadas».25 Esta ha sido, por ejemplo, la técnica de formulación adoptada por los legisladores rumano (arts. 44 y 45 de la Ley 196/2003) y belga (art. 550-ter del Código penal), que castiga los daños cometidos sin autorización («sachant qu’il n’y est pas autorisé»)26 y por el legislador español, que en el artículo 264, párrafos 1 y 2, del Código penal castiga los daños a datos y a sistemas informáticos cometidos «sin autorización».27 Muy similar es la técnica adoptada por el legislador alemán (§§ 303a, 303b StGB), si bien este ha preferido emplear el adverbio «rechtswidrig» (de manera antijurídica).28 Según destacada doctrina, esta cláusula de ilicitud no constitui- 22.En este sentido véase, anteriormente, Picotti (2000, pág. 19) y, más recientemente, Picotti (2008a, pág. 444). 23.Véanse, bajo la vigencia del anterior artículo 635-bis del c.p., introducido en el Código penal italiano mediante la Ley 547/1993, las observaciones críticas de Picotti (2000, pág. 19); en sentido similar, Pecorella (2006b, pág. 204-211). 24.Sobre la distinción entre cláusulas de ilicitud expresa y especial, véase Pulitanò (1967, pág. 65 y sig.). 25.En este sentido, véase también la disposición en materia de daños ocasionados a datos y programas informáticos prevista por la Recomendación R (89) 9 del Consejo de Europa, que requiere a los estados miembros que castiguen «the erasure, damaging, deterioration or suppression of computer data or computer programs without right». 26.Para un análisis del artículo 550-ter del Código penal belga, véase Meunier (2001, pág. 630 y sig.). 27.Es similar la técnica adoptada por el legislador portugués, que en la transposición del Convenio sobre Cibercrimen del Consejo de Europa mediante la Ley número 109, de 15 de septiembre de 2009, ha castigado los daños informáticos (arts. 4 y 5 de dicha ley) cometidos «sem permissão legal ou sem para tanto estar autorizado pelo proprietário». 28.Respecto a la interpretación del adverbio «rechtswidrig» y sobre su controvertida colocación en el ámbito de la categoría de la tipicidad o de la antijuridicidad, véanse, en el debate doctrinal alemán, las consideraciones de Hilgendorf (1994), «Tatbestandsprobleme bei der Datenveränderung nach § 303a StGB», Juristische Rundschau, pág. 478; y de Dreher, Lackner y Kühl (2011, «303a StGB», pág. 1412). IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Ivan Salvadori R. Agustina 80 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp La regulación de los daños informáticos en el código penal italiano ría un elemento de la antijuridicidad (Rechtswidrigkeit), sino de la tipicidad (Tatbestandsmerkmal) del delito.29 daños causados a datos informáticos del artículo 635-bis del c.p. y de sabotaje informático del artículo 635-quater del c.p. De la misma manera que el mencionado artículo 420, párrafo 2, del c.p., tanto el artículo 635-ter, párrafo 1, del c.p. como el 635-quinquies, párrafo 1, del c.p. se caracterizan por su peculiar estructura de los llamados delitos «de atentado», «de emprendimiento» o «de preparación» («actos dirigidos a…») y, por consiguiente, por la anticipación de la tutela penal. 3. Los daños a datos y a sistemas informáticos «de utilidad pública» 3.1. Sobre la peculiar técnica de formulación de los delitos La estructura de los artículos 635-ter, párrafo 2, del c.p. y 635-quinquies, párrafo 2, del c.p. es igual a la del derogado párrafo tercero del artículo 420 del c.p. De esta manera, el legislador ha introducido en este complejo sistema normativo que regula la materia de los daños informáticos dos nuevos delitos que se caracterizan por presentar una peculiar estructura de «delitos cualificados por el resultado» (reati aggravati dall’evento). Al dar actuación al Convenio sobre Cibercrimen del Consejo de Europa, el legislador italiano no se ha limitado –como han previsto muchos legisladores europeos (como, por ejemplo, el alemán, el español y el austriaco)– a distinguir entre los daños ocasionados a datos y aquellos otros ocasionados a sistemas informáticos, sino que ha ido más allá castigando de manera autónoma los «daños ocasionados a informaciones, datos y programas informáticos utilizados por el Estado o por otra entidad pública o que de todos modos resulten ser de utilidad pública» (art. 635-ter del c.p.) y los «daños ocasionados a sistemas informáticos o telemáticos de utilidad pública» (art. 635-quinquies del c.p.). 3.2. Los «delitos de atentado» contra datos y sistemas informáticos de utilidad pública (artículo 635-ter, párrafo 1, del c.p. y artículo 635-quinquies, párrafo 1, del c.p.) La primera crítica que hay que formular a la decisión del legislador italiano es la de utilizar expresiones distintas para definir «objetos» que revisten la misma relevancia pública, puesto que ello no queda justificado desde un punto de vista político-criminal. En lugar de la compleja y controvertida expresión «utilizados por el Estado o por otra entidad pública, o a ellos pertenecientes, o de todos modos de utilidad pública» para calificar los «objetos» sobre los que recaen los efectos lesivos tipificados en el artículo 635-ter del c.p., habría sido mejor que el legislador hubiera empleado la expresión, mas sintética, de «utilidad pública», que ha empleado en el artículo 635-quater del c.p.30 El primer párrafo del artículo 635-ter del c.p. castiga, con la pena de prisión de uno a cuatro años, el hecho dirigido a «destruir, deteriorar, borrar, alterar o suprimir» informaciones, datos o programas informáticos de relevancia pública. El artículo 635-quinquies, párrafo 1, del c.p. castiga, con la pena de prisión de uno a cuatro años, los actos dirigidos a destruir, dañar o inutilizar, en todo o en parte, sistemas informáticos o telemáticos «públicos» o a obstaculizar gravemente su funcionamiento, cuando estos se cometan mediante las modalidades típicas descritas en el artículo 635-quater del c.p. Ambos delitos se caracterizan por su estructura de «delitos de atentado».31 Para no extender excesivamente el ámbito de aplicación de estos delitos parece más correcto entender que el umbral de la relevancia penal de los atentados contra datos y sistemas informáticos de «utilidad pública» coincide con el de la tentativa de los correspondientes delitos comunes de «daños a informacio- Más criticable aún es la decisión de tomar como modelo –para tipificar los delitos de daños ocasionados a datos y a sistemas informáticos «públicos»– el delito de «atentado contra instalaciones de utilidad pública» del artículo 420 del c.p. (parcialmente derogado por el artículo 6 de la Ley 48/2008) y no, como habría sido más correcto, el delito de 29.En doctrina, véanse Dreher, Lackner y Kühl (2011, pág. 1412), Hilgendorf (1996, pág. 892), Hoyer (2009, pág. 12) y Hilgendorf, Frank y Valerius (2005, pág. 54). 30.Cfr. Picotti (2008a, pág. 715). 31.Sobre la estructura de los delitos de «consumación anticipada», véase Delitala (1930, pág. 178 y sig.); equiparan los delitos de atentado a los delitos de consumación anticipada también Nuvolone (1975, pág. 390 y sig.) y Mazzacuva (1983, pág. 181). IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Ivan Salvadori R. Agustina 81 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp nes, datos y programas informáticos» del artículo 635-bis, párrafo 1, del c.p. y de «daños a sistemas informáticos o telemáticos» del artículo 635-quater, párrafo 1, del c.p. Por lo tanto serán penalmente relevantes únicamente aquellos actos que, sobre la base de un criterio de prognosis póstuma (ex ante), resulten ser objetivamente idóneos y dirigidos de manera inequívoca a crear un peligro concreto para el bien jurídico protegido (véase infra apartado 5).32 Por el contrario, habrá que excluir la punibilidad de estos delitos en fase de tentativa, al no ser compatible con su naturaleza de delitos de «atentado» o de «emprendimiento» (delitti di attentato).33 3.3. La estructura de los artículos 635-ter, párrafo 2, y 635-quinquies, párrafo 2, del c.p. Sobre la base del artículo 635-ter, párrafo 2, del c.p., el delito de atentado contra informaciones, datos y programas informáticos de «utilidad pública» (art. 635-ter, párrafo 1, del c.p.) se castigará con la pena de prisión de tres a ocho años si de su comisión se deriva la destrucción, deterioro, cancelación, alteración o supresión de informaciones, datos o programas informáticos.34 El artículo 635-quinquies, párrafo 2, del c.p. establece que el delito de «atentado» contra sistemas informáticos o telemáticos «públicos» (art. 635-quinquies, párrafo 1, del c.p.) se castigue con la pena de prisión de tres a ocho años, si de su comisión se deriva la destrucción de, o el daño a un sistema informático o telemático, o este resulte en todo o en parte inutilizado.35 La regulación de los daños informáticos en el código penal italiano En ambos artículos el legislador italiano ha empleado una expresión («si del hecho se derivase») propia de los «delitos agravados por el resultado» (reati aggravati dall’evento).36 Sin embargo, para poder incluir estas normas en la categoría de los «delitos agravados por el resultado» hay que analizar también su estructura típica. Los artículos 635-ter, párrafo 2, del c.p. y 635-quinquies, párrafo 2, del c.p. configuran respectivamente como agravante el resultado de daños ocasionados a datos, informaciones y programas informáticos y el de daños ocasionados a sistemas informáticos o telemáticos de utilidad pública. El resultado típico que tiene que producirse para que se consideren cometidos los delitos de los artículos 635-ter, párrafo 2, del c.p. y 635-quinquies, párrafo 2, del c.p. ha de ser abarcado por el dolo del hecho típico previsto en el primer párrafo de cada delito. Por ello, no nos hallamos ante auténticos «delitos cualificados por el resultado», sino ante tipos delictivos autónomos. Por lo tanto, desde un punto de vista práctico, el resultado de «destrucción, deterioro, cancelación, alteración o supresión» en un caso, y de «destrucción y daño» de datos y de sistemas de utilidad pública en el otro, tiene que considerarse como un elemento constitutivo de un delito consumado autónomo, y no como un elemento circunstancial de las conductas de atentado. El resultado producido no podrá ser objeto de una ponderación de las circunstancias, tal como establece el artículo 59 del c.p.37 32.Sobre la necesidad de que los actos que constituyen un «delito de atentado» o «de emprendimiento» (delitti di attentato) causen un concreto peligro al bien jurídico protegido, véase Gallo (1987, pág. 340 y sig.). Sobre la estructura de los delitos de peligro concreto, véanse, más en general, Angioni (1994, pág. 206 y sig., y 1983, pág. 177) y Parodi Giusino (1990, pág. 318 y sig.). En la doctrina alemana, véanse, ex pluribus, Zieschang (1998, pág. 384-389); Wohlers (2000, pág. 311-318) y Roxin (2006 pág. 423-426, marg. 147-152). 33.En doctrina, véanse Petrocelli (1955, pág. 52); M. Gallo (2003), Appunti di diritto penale. Le forme di manifestazione del reato, Turín, pág. 64 y sig.; Romano (2004, pág. 602); Marinucci y Dolcini (2001, pág. 591); Padovani (2008, pág. 277) y Fiandaca y Musco (2012, pág. 470). 34.Artículo 635-ter, párrafo 2, del c.p.: «se dal fatto deriva la distruzione, il deterioramento, la cancellazione, l’alterazione o la soppressione delle informazioni, dei dati o dei programmi informatici, la pena è della reclusione da tre a otto anni». 35.Artículo 635-quinquies, párrafo 2, del c.p.: «se dal fatto deriva la distruzione o il danneggiamento del sistema informatico o telematico di pubblica utilità ovvero se questo è reso, in tutto o in parte, inservibile, la pena è della reclusione da tre a otto anni». 36.Sobre la controvertida naturaleza de los delitos agravados por el resultado, véanse, ex pluribus, Grosso (1963, pág. 442 y sig.); Concas (1967, pág. 809 y sig.); Vassalli (1975, pág. 3 y sig.); Dolcini (1979), «L’imputazione dell’evento aggravante. Un contributo di diritto comparato», Rivista italiana di diritto e procedura penale, pág. 755 y sig.; Tagliarini (1979); Ardizzone (1984); Gallo (1990, pág. 410 y sig.); Bondi (1994, pág. 1460 y sig., y 1999, pág. 49 y sig.) y Preziosi (2000). 37.En este sentido, negando que los «delitos de emprendimiento» (delitti di attentato) puedan considerarse delitos cualificados por el resultado y que, por lo tanto, el resultado típico producido tenga que considerarse como simple elemento circunstancial del delito, véase Gallo (1990, pág. 419-422). En contra, Vassalli (1975, pág. 41). Más en general, respecto a los criterios elaborados por la doctrina para establecer cuándo hay un delito autónomo o un delito circunstancial, véanse Gallo (1949, pág. 560 y sig.), Guerrini (1988) y Melchionda (2000, pág. 558 y sig., en especial pág. 565-576). IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Ivan Salvadori R. Agustina 82 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp 4. Tratamiento sancionador y circunstancias agravantes El tipo básico del delito de daños ocasionados a informaciones, datos y programas informáticos del artículo 635-bis, párrafo 1, del c.p. se castiga con la pena de prisión de seis meses a tres años, mientras que los tipos agravados del segundo párrafo, introducidos ya mediante la anterior Ley número 547/1993, se castigan con la pena de prisión de uno a cuatro años. Presenta escasa relevancia práctica la circunstancia agravante de haber cometido los daños a datos y a sistemas informáticos tanto públicos como privados «con violencia sobre las personas o con amenazas». El legislador parece no haber tenido en cuenta que hoy en día la mayoría de los ataques informáticos se realizan a través de las redes telemáticas y en especial de internet, sin la necesidad de un contacto físico con los sistemas informáticos y con las personas que en su caso velan por la seguridad de estos sistemas. Con toda seguridad, presenta una mayor relevancia práctica la circunstancia agravante establecida para todos los tipos de daños ocasionados a datos y a sistemas informáticos cuando estos se cometan «con abuso de la función de operador de sistema».38 Sin embargo hay que subrayar que el concepto de «operador de sistema», que no se ajusta al lenguaje informático, podría abarcar a todos aquellos sujetos que, por distintas razones, «operan» sobre un sistema informático.39 Hubiera sido mejor, por lo tanto, sustituir esta discutible expresión con la de «administrador de sistema» (system administrator), que con toda seguridad resulta ser más adecuada a la finalidad de abarcar a todos aquellos técnicos informáticos que, por el hecho de tener un control sobre las fases de un proceso de elaboración de datos informáticos, pueden acceder con mayor facilidad a los datos y a los programas contenidos en los sistemas informáticos en los que operan. Y precisamente de esta relación privilegiada con los sistemas informáticos –además La regulación de los daños informáticos en el código penal italiano de la naturaleza particularmente confidencial de sus tareas– deriva aquella especial peligrosidad de las conductas que justifica un tratamiento sancionador más grave en los casos de daños informáticos cometidos por los administradores de los sistemas. La formulación de las circunstancias agravantes previstas por los delitos de «atentado» contra datos y sistemas informáticos de «utilidad pública» (arts. 635-ter, párrafo 3, y 635-quinquies, párrafo 3, del c.p.) y por los delitos de daños ocasionados a sistemas informáticos y telemáticos (art. 635-quater, párrafo 2, del c.p.) es idéntica a la del artículo 635-bis, párrafo 2, del c.p., excepto por la falta de determinación de la entidad del aumento de pena.40 Para estos casos, sobre la base de la regla establecida por el artículo 64 del c.p., habrá que apreciar un aumento de pena en los subtipos agravados de hasta un tercio respecto a la pena prevista por el correspondiente tipo básico. El tratamiento sancionador previsto para los delitos (consumados) de daños ocasionados a datos y a sistemas informáticos de «utilidad pública» previstos en los artículos 635-ter, párrafo 2, y 635-quinquies, párrafo 2, del c.p., que se caracterizan por su severidad (pena de reclusión de tres a ocho años), aparece del todo «autónomo» respecto al tratamiento más benévolo previsto para los casos de atentado contra datos y sistemas informáticos (reclusión de uno a cuatro años). Además de resultar desproporcionado y excesivamente severo, este tratamiento es contrario a las propias recomendaciones internacionales que, tipificando de manera autónoma los daños ocasionados a datos y a sistemas informáticos, requieren implícitamente que estos vengan castigados de manera distinta. Por el contrario, la pena prevista por el delito (consumado) de daños ocasionados a datos de utilidad pública del artículo 635-ter, párrafo 2, del c.p. resulta ser no solamente más grave que la del delito de daños ocasionados a sistemas informáticos y telemáticos «privados» del artículo 635-quater del c.p., sino además idéntica a la del tipo de daños a sistemas informáticos «públicos» (art. 635-quinquies, párrafo 2, del c.p.). 38.La circunstancia agravante del abuso de «actuar en calidad de operador de un sistema informático» se aplica también a los delitos de «acceso ilícito a un sistema informático o telemático» (art. 615-ter del c.p.), de «posesión y difusión ilícita de códigos de acceso a sistemas informáticos o telemáticos» (art. 615-quater del c.p.), de «interceptación o interrupción ilícita de comunicaciones informáticas o telemáticas» (art. 617-quater del c.p.), de «instalación de aparatos aptos para interceptar, impedir o interrumpir comunicaciones informáticas o telemáticas» (art. 617-quinquies del c.p.), de «falsificación, alteración o supresión del contenido de comunicaciones informáticas o telemáticas» (art. 617-sexies del c.p.) y de «estafa informática» (art. 640-ter del c.p.). 39.En este sentido, véanse Mucciarelli (1996, pág. 102) y Pecorella (2006a, pág. 4330, y 2006b, pág. 121 y sig.). 40.En sentido crítico, véase Picotti (2008a, pág. 713). IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Ivan Salvadori R. Agustina 83 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Por ello, es criticable la decisión político-criminal de equiparar desde un punto de vista sancionador los ilícitos contenidos en los artículos 635-ter y 635-quinquies del c.p., puesto que el desvalor de los ataques dirigidos contra sistemas informáticos de utilidad pública (art. 635-quinquies del c.p.) es muy superior a la de los daños ocasionados a datos, informaciones y programas informáticos «públicos» del artículo 635-ter del c.p. Es evidente, por lo tanto, la diferencia sancionadora respecto a los tipos básicos de daños ocasionados a datos «privados» (pena de reclusión de seis meses a tres años) y de los ocasionados a sistemas informáticos «privados» (pena de reclusión de uno a cinco años) de los artículos 635-bis y 635-quater del c.p. En perspectiva de lege ferenda, sería oportuno que el legislador, de acuerdo con las recomendaciones internacionales, diferenciase el tratamiento sancionador –sobre la base de su distinto desvalor– de los ataques informáticos cometidos contra los datos y los sistemas informáticos de naturaleza «privada» y aquellos de naturaleza «pública». 5. Los bienes jurídicos protegidos Parte de la doctrina, valorando sobre todo la colocación sistemática de los delitos de daños informáticos en el Código penal, ha afirmado que el bien jurídico protegido por estas normas es el valor patrimonial de los bienes informáticos (datos, informaciones, programas y sistemas informáticos).41 Sin embargo, de esta manera se ha sobrestimado su colocación sistemática sin tener en cuenta que para determinar el interés jurídico protegido, en la relación entre el «título» («sección» o «capítulo») y el texto normativo, debe predominar siempre este último por ser más vinculante La regulación de los daños informáticos en el código penal italiano y de mayor riqueza descriptiva.42 La colocación sistemática del delito es solamente uno de los criterios hermenéuticos a disposición del intérprete para confirmar lo que se ha obtenido desde la interpretación del texto normativo.43 En la determinación del interés jurídico protegido por la norma el intérprete tiene que estar necesariamente vinculado al contenido del «hecho» típico.44 Sobre la base del análisis de los «hechos» tipificados por los delitos de daños informáticos emerge que el bien jurídico protegido no es el patrimonio del propietario de los datos o de los sistemas informáticos dañados (que queda como un bien jurídico secundario), sino la integridad y la disponibilidad de los datos y de los sistemas informáticos.45 6. Consideraciones críticas finales y perspectivas de lege ferenda El loable objetivo del legislador italiano de dar actuación a las disposiciones del Convenio sobre Cibercrimen en lo relativo a los daños informáticos no se ha conseguido de manera satisfactoria. En primer lugar el legislador no ha suprimido la referencia al controvertido concepto de «ajenidad» de los datos, informaciones y programas informáticos. La referencia a esta expresión, en el contexto de la informática, crea muchos problemas para determinar tanto quién es la persona ofendida como el interés protegido. Es muy complejo aplicar a «objetos» informáticos conceptos tradicionales propios del derecho civil, como los de propiedad y de posesión. En perspectiva de lege ferenda, sería oportuno que el legislador sustituyese el controvertido requisito de la ajenidad de 41.En este sentido, bajo la vigencia del anterior artículo 635-bis del c.p., Rinaldi (1996, pág. 134, nota 2); Pica (1999, pág. 86-87), según el cual «l’inquadramento sistematico [dell’art. 635-bis c.p.] appare corretto, anche perché non vi è dubbio che la norma vuole offrire tutela al bene informatico sotto il profilo patrimoniale». En sentido similar, Manes (en VV. AA., 2006, pág. 567), Scopinaro (2007, pág. 206) y Fiandaca y Musco (2007, pág. 144). Determina en la propiedad y el goce de datos y sistemas informáticos el bien jurídico protegido por los delitos de daños informáticos Mantovani (2009, pág. 136). 42.Angioni (1983, pág. 12). 43.Angioni (1983, pág. 13). En sentido similar, Donini (1996, pág. 125). 44.Sobre la función del «hecho típico» en la teoría del delito, véanse Delitala (1930), Marinucci (1983, pág. 1237 y sig.), Pagliaro (1960) y Donini (1996, pág. 108 y sig.). 45.En este sentido, véanse ya Conseil de l’Europe, Criminalité informatique, pág. 44; Council of Europe, Explanatory Report, 60; también Commonwealth (2002), Model Law on Computer and Computer related Crime, en <http://www.thecommonwealth.org>. En la doctrina alemana véanse Sieber (1986); Hilgendorf, Frank y Valerius (2005, pág. 54 y 57) y Wolff (2010, pág. 390 y 418); en la doctrina italiana, Picotti (2004, pág. 73). IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Ivan Salvadori R. Agustina 84 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp los datos, requiriendo, de acuerdo con la técnica adoptada por otros legisladores europeos, que las conductas dañosas se lleven a cabo «sin autorización». Por otra parte, suscita mucha perplejidad, desde un punto de vista político-criminal, la decisión de formular los daños ocasionados a datos y a sistemas informáticos «públicos» como delitos de «atentado». El empleo de esta técnica de protección en el ámbito de la criminalidad informática es contrario al principio de proporcionalidad.46 Este fundamental principio requiere que entre el grado de la anticipación de la protección penal y la importancia del bien jurídico protegido exista una cierta proporción.47 Por lo tanto, la incriminación de hechos que se caractericen por una peligrosidad no suficientemente elevada es únicamente admisible en aras a la protección de un interés jurídico fundamental como, por ejemplo, el del sistema de derechos e instituciones primordiales del Estado, sin los cuales este perdería su identidad de Estado social de Derecho.48 El recurso a la técnica de los delitos de «atentado» para sancionar la puesta en peligro de los bienes jurídicos cuyo nivel de importancia no es suficientemente alto no resulta adecuado, ya que infringe el principio de proporcionalidad.49 Los delitos de «atentado» (o «de emprendimiento») contra los datos y los sistemas informáticos «de utilidad pública» permiten la incriminación de conductas que en realidad son meramente preparatorias y que no representan, en la mayoría de los casos, una seria amenaza para un bien jurídico fundamental ni son indispensables para la sobrevivencia del sistema político-constitucional o de la propia sociedad. La decisión político-criminal de anticipar la protección penal a los actos de preparación resulta completamente desproporcionada. La regulación de los daños informáticos en el código penal italiano En la sociedad de la información, los intereses jurídicos emergentes de la integridad y la disponibilidad de los datos y de los sistemas informáticos (así como el de la intimidad informática)50 han adquirido una notable dimensión y relevancia social. Se trata de bienes jurídicos que merecen ser protegidos por el derecho penal y que necesitan de su protección debido a la ineficacia o la insuficiencia de los medios alternativos de protección, tanto técnicos (contraseña, cortafuegos, etc.) como organizativos (códigos deontológicos, reglamentos, policy, etc.). Una protección efectiva resulta indispensable para garantizar el interés colectivo de la seguridad informática,51 además de la certeza, rapidez y normal desarrollo de las relaciones sociales, económicas y jurídicas que cada día con más frecuencia se llevan a cabo a través de medios informáticos. Pese a su gran importancia, estos intereses jurídicos no poseen, en la jerarquía de los valores propios de un ordenamiento democrático, una importancia tal que justifique una protección que recurra a la técnica de los delitos de consumación anticipada o de preparación (atentado). Hay que criticar, por lo tanto, la decisión político-criminal del legislador italiano de proteger los datos, las informaciones, los programas y los sistemas informáticos «públicos» a través del recurso a la técnica de los delitos de «atentado». El mismo resultado se habría podido conseguir, sin incurrir en evidentes problemas hermenéuticos, previendo una circunstancia agravante especial autónoma para los delitos de daños ocasionados a datos y sistemas informáticos.52 En perspectiva de lege ferenda, es oportuno que el legislador, de acuerdo con las indicaciones internacionales y con las decisiones de muchos legisladores europeos (por ejemplo, los legisladores alemán, español, y austriaco) for- 46.Sobre el fundamento constitucional del principio de proporción, véanse Angioni (1983, pág. 176), Vassalli (1991, pág. 699 y sig.), Palazzo (1992, pág. 453 y sig.) y Marinucci y Dolcini (2001, pág. 519, en particular la nota 99); en la doctrina española, véase Mir Puig (2009, pág. 1357 y sig.). 47.Según Angioni (1983, pág. 176), «Tanto più importante […] è il bene offendibile dal reato, tanto più è legittimamente anticipabile la sua tutela e viceversa». 48.Angioni (1983, pág. 12). 49.Véase Angioni (1983, pág. 180 y sig., pág. 203 y sig.). 50.Sobre este nuevo interés jurídico, véanse Picotti (2004, pág. 78) y Salvadori (2008), «L’esperienza giuridica degli Stati Uniti in materia di hacking e cracking», Rivista italiana di diritto e procedura penale, núm. 3, pág. 1279 y sig. 51.Sobre la seguridad informática, o interés merecedor de protección penal, véanse las consideraciones de Picotti (2004, pág. 70 y sig.). 52.En este sentido, véase, por ejemplo, el § 303b, párrafo 2, del Código penal alemán, que establece un aumento de pena en los casos de daños a un sistema informático de esencial importancia para la Administración pública. Es similar la formulación del artículo 264, párrafo 3.2, del Código penal español, que castiga, de acuerdo con el artículo 7, párrafo 2, de la Decisión marco 2005/222/JAI, los ataques a los datos y a los sistemas informáticos que afecten a intereses esenciales de la sociedad. IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Ivan Salvadori R. Agustina 85 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp mule los delitos de daños ocasionados a datos y a sistemas informáticos como delitos de resultado. De esta manera se evitaría una excesiva anticipación del ámbito de aplicación y se garantizaría, al mismo tiempo, la punibilidad de la tentativa. La hipertrofia normativa en materia de daños informáticos no parece el instrumento idóneo para abarcar todas las modalidades lesivas que inciden sobre la integridad y la disponibilidad de los datos y de los sistemas informáticos. En los tipos delictivos de daños a sistemas informáticos (arts. 635-quater y 635-quinquies del c.p.) solo se pueden subsumir aquellos hechos de agresión «lógica» a datos y programas que causen un daño funcional a sistemas de información. Por el contrario, quedan excluidos los daños físicos cometidos contra la parte del hardware de un sistema informático o telemático, que en consecuencia podrán ser subsumidos solamente en el delito menos grave de daños a las cosas del artículo 635 del c.p., a pesar de que puedan provocar los mismos efectos sobre la funcionalidad del sistema. Tomando como modelo la legislación alemana, el legislador italiano podría incluir dentro del delito de daños ocasionados a sistemas informáticos y telemáticos un «subtipo» ad hoc para castigar también los daños de carácter «físico».53 Teniendo en cuenta los nuevos intereses jurídicos protegidos en la sociedad de la información, sería también recomenda- La regulación de los daños informáticos en el código penal italiano ble que el legislador cambiase la colocación de los delitos de daños informáticos y los situase fuera de los delitos contra el patrimonio. En este sentido podría introducir en el Código penal un nuevo título dedicado al bien jurídico de la seguridad informática, en el que colocar todos los delitos que lesionen o pongan en peligro la intimidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos, como, por ejemplo, el acceso ilícito a un sistema informático, la detención y la difusión de códigos de acceso, la interceptación de datos informáticos, los daños informáticos, etc.54 En conclusión, sería oportuna una reforma del sistema normativo italiano en materia de daños informáticos para adecuarlo, no solo desde un punto de vista formal, sino también sustancial, a las obligaciones internacionales, tal como requiere expresamente la Constitución italiana (arts. 10, 11 y 117). Para dar una correcta actuación a estas obligaciones será necesario que en el futuro el legislador italiano tome más en cuenta la importante contribución de la experiencia jurídica extranjera, que constituye un útil instrumento para verificar la corrección de las técnicas de protección que hay que adoptar. Al mismo tiempo tendrá que mantenerse en el camino trazado por los principios constitucionales fundamentales en materia penal (legalidad, ofensividad, proporcionalidad y subsidiariedad),55 que no pueden ser sacrificados amparándose en que hay que cumplir, de manera formal, con las obligaciones internacionales en materia de lucha contra la criminalidad informática. 53.El § 303b, párrafo 1, núm. 3, del Código penal alemán (StGB) castiga con la pena de prisión de hasta tres años, o con pena pecuniaria, «la destrucción, daño, remoción, alteración o inutilización de un sistema de elaboración de datos o de un soporte informático de almacenamiento de datos» («eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert»). 54.En este sentido, es paradigmática la decisión tomada por el legislador belga, que con la Ley número 34, de 28 noviembre de 2000, ha introducido en el Código penal un nuevo título IX-bis, que recoge las «infractions contre la confidentialité, l’intégrité et la disponibilité des systèmes informatiques et des données qui sont stockées, traitées ou transmises par ces systèmes». 55.Sobre estos fundamentales principios del Derecho penal, véanse, además de los fundamentales trabajos de Bricola (1973, pág. 42 y sig.; y «Art. 25, 2° e 3° comma», en Branca, 1981, pág. 227 y sig.), también Vassalli (1991, pág. 699 y sig.); Donini (1996, pág. 25 y sig.; 2003, «Ragioni e limiti della fondazione del diritto penale sulla Carta costituzionale», en Alla ricerca di un disegno. Scritti sulle riforme penali in Italia, Padua, Cedam, pág. 37 y sig.; 1998, «Dogmatica penale e politica criminale a orientamento costituzionalistico. Conoscenza e controllo critico delle scelte di criminalizzazione», Dei delitti e delle pene, núm. 3, pág. 37 y sig.); Palazzo (1999); Paliero (1991, pág. 395 y sig.); Mazzacuva (2000, pág. 79 y sig.). IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Ivan Salvadori R. Agustina 86 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp La regulación de los daños informáticos en el código penal italiano Bibliografía ANGIONI, F. (1983). Contenuto e funzioni del concetto di bene giuridico. Milán: Giuffrè. ANGIONI, F. (1994). Il pericolo concreto come elemento della fattispecie: la struttura oggettiva. Milán: Giuffrè. 2.ª ed. ARDIZZONE, S. (1984). I reati aggravati dall’evento. Milán: Giuffrè. BONDI, A. (1994). «“L’esclusività” di Rengier. Contributo alla critica dei reati aggravati dall’evento». Rivista italiana di diritto e procedura penale. Pág. 1460 y sig. BONDI, A. (1999). I reati aggravati dall’evento tra ieri e domani. Nápoles: Edizioni Scientifiche italiane. BRANCA, G. (1981). Commentario della Costituzione: Rapporti civili. Bolonia: Zanichelli. BRICOLA, F. (1962). «Danneggiamento (Diritto penale)», voz en Enciclopedia del diritto. Milan: Giuffrè. BRICOLA, F. (1973). «Teoria generale del reato». Nss. dig. it. Vol. XIX, pág. 1 y sig. CONCAS, L. (1967). «Delitti dolosi aggravati da un evento non voluto e tentativo». Rivista italiana di diritto e procedura penale. Pág. 809 y sig. DELITALA, G. (1930). Il «fatto» nella teoria generale del reato. Padua: Cedam. DONINI, M. (1996). Teoria del reato. Una introduzione. Padua: Cedam. DONINI, M. (1998). «Dogmatica penale e politica criminale a orientamento costituzionalistico. Conoscenza e controllo critico delle scelte di criminalizzazione». Dei delitti e delle pene. Núm. 3, pág. 37 y sig. DONINI, M. (2003). Alla ricerca di un disegno. Scritti sulle riforme penali in Italia. Padua: Cedam. DREHER, E.; LACKNER, K.; KÜHL, K. (2011). Strafgesetzbuch Kommentar. Múnich: Beck Verlag. 27ª edición. FIANDACA, G.; MUSCO, E. (2007). Diritto penale, Parte speciale. Bolonia: Zanichelli. 5.ª ed. Vol. II, tomo II. FIANDACA, G.; MUSCO, E. (2012). Diritto penale, Parte generale. Bolonia: Zanichelli. 6.ª ed. FISCHER, T. (2010). Strafgesetzbuch und Nebengesetze. Múnich: Beck Verlag. 57.ª ed. GALLO, E. (1966). Il delitto di attentato nella teoria generale del reato. Milán: Giuffrè. GALLO, E. (1987). «Attentato», voz en Digesto discipline penalistiche. Vol. I, pág. 345 y sig. GALLO, E. (1990). «Delitti aggravati dall’evento e delitti di attentato». Giurisprudenza italiana. Pág. 409 y sig. GALLO, M. (1949). «Sulla distinzione tra figura autonoma e figura circostanziata». Rivista italiana di diritto e procedura penale. Pág. 560 y sig. GRASSO, G. (1986). «L’anticipazione della tutela penale: i reati di pericolo e i reati di attentato». Rivista italiana di diritto e procedura penale. Pág. 689 y sig. GROSSO, C. F. (1963). «Struttura e sistematica dei cd. “delitti aggravati dall’evento”». Rivista italiana di diritto e procedura penale. Pág. 442 y sig. GUERRINI, R. (1988). Elementi costitutivi e circostanze del reato. Milán: Giuffrè. HILGENDORF, E. (1996). «Grundfälle zum Computerstrafrecht». Juristische Schulung. Pág. 892. HILGENDORF, E.; FRANK, T.; VALERIUS, B. (2005). Computer und Internetstrafrecht. Berlín / Heildelberg: Springer. HOYER, E. (2009). «§ 303a StGB». En: H.-J. RUDOLPHI, E. HORN, H.-L. GÜNTHER, E. SAMSON (ed.). Systematischer Kommentar zum Strafgesetzbuch. Múnich: Heymann. Pág. 27, 3. IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Ivan Salvadori R. Agustina 87 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp La regulación de los daños informáticos en el código penal italiano MANTOVANI. F. (2009). Diritto penale, Parte speciale. Padua: Cedam. 3.ª ed. Vol. II. MARINUCCI, G. (1983). «Fatto e scriminanti. Note dommatiche e politico-criminali». Rivista italiana di diritto e procedura penale. Pág. 1237 y sig. MARINUCCI, G.; DOLCINI, E. (2001). Corso di diritto penale. Milán: Giuffrè. MAZZACUVA, N. (1983). Il disvalore di evento nell’illecito penale. Milán: Giuffrè. MAZZACUVA, N. (2000). «Diritto penale e Costituzione». En: G. INSOLERA, N. MAZZACUVA, M. PAVARINI, M. ZANOTTI (ed.). Introduzione al sistema penale. Turín: Giappichelli. Vol. I, pág. 79 y sig. MELCHIONDA, A. (2000). Le circostanze del reato. Padua: Cedam. MEUNIER, C. (2001). «La loi du 28 novembre 2000 relative à la criminalité informatique ou le droit pénal et la procédure pénale à l’ère numérique». Revue de droit pénal et de criminologie. Pág. 630 y sig. MIR PUIG, S. (2009). «El principio de proporcionalidad como fundamento constitucional del Derecho penal». En: J. C. CARBONELL MATEU, J. L. GONZÁLEZ CUSSAC, E. ORTS BERENGUER (coord.). Constitución, derechos fundamentales y sistema penal. Valencia: Tirant lo Blanch. Pág. 1357 y sig. MUCCIARELLI, F. (1996). «Commento agli art. 1, 2, 4 e 10 l. 1993 n. 547». Legislazione penale. Pág. 57 y sig. NUVOLONE, P. (1975). Il sistema del diritto penale. Padua: Cedam. PADOVANI, T. (1984). «La tipicità inafferrabile. Problemi di struttura obiettiva delle fattispecie di attentato contro la personalità dello Stato». En: VV. AA. Il delitto politico dalla fine dell’ottocento ai giorni nostri. Roma: Sapere 2000. Pág. 169 y sig. PADOVANI, T. (2008). Diritto penale. Milán: Giuffrè. 9.ª ed. PAGLIARO, A. (1960). Il fatto di reato. Palermo: Priulla. PALAZZO, C. F. (1992). «I confini della tutela penale: selezione dei beni e criteri di criminalizzazione». Rivista italiana di diritto e procedura penale. Pág. 453 y sig. PALAZZO, C. F. (1999). Introduzione ai principi di diritto penale. Turín: Giappichelli. PALIERO, E. (1991). «Il principio di effettività nel diritto penale: profili politico-criminali». En: M. PISANI (ed.). Studi in memoria di Pietro Nuvolone. Milán: Giuffrè. Vol. I, pág. 395 y sig. PARODI GIUSINO, M. (1990). I reati di pericolo tra dogmatica e politica criminale. Milán: Giuffrè. PECORELLA, C. (2006a). «Commento all’art. 615-ter c.p.». En: E. DOLCINI, G. MARINUCCI (ed.). Codice penale commentato. Milán: Giuffrè. 2.ª ed. Pág. 4330 y sig. PECORELLA, C. (2006b). Il diritto penale dell’informatica. Padua: Cedam. 2.ª ed. PECORELLA, C. (2011). «La riforma dei danneggiamenti informatici ad opera della l. n. 48/2008». En: F. RUGGIERI, L. PICOTTI (ed.). Nuove tendenze della giustizia penale di fronte alla criminalità informatica. Aspetti sostanziali e processuali. Turín: Giappichelli. Pág. 148 y sig. PETROCELLI, B. (1955). Il delitto tentato. Padua: Cedam. PICA, G. (1999). Diritto penale delle nuove technologie. Turín: Giappichelli. PICOTTI, L. (2000). «Reati informatici». voz en Enciclopedia Giuridica, Vol. de actualización VIII, Roma: Treccani, pág. 8 y sig. PICOTTI, L. (2004). «Sistematica dei reati informatici, tecniche di formulazione legislativa e beni giuridici tutelati». En: Il diritto penale dell’informatica nell’epoca di Internet. Padua: Cedam. Pág. 58 y sig. PICOTTI, L. (2008a). «La ratifica della Convenzione Cybercrime del Consiglio d’Europa. Profili di diritto penale sostanziale». Diritto penale e processo. Pág. 713. IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Ivan Salvadori R. Agustina 88 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp La regulación de los daños informáticos en el código penal italiano PICOTTI, L. (2008b). «Ratifica della convenzione cybercrime e nuovi strumenti di contrasto contro la criminalità informatica e non solo». Diritto dell’Internet. Núm. 5, pág. 437 y sig. PREZIOSI, S. (2000). La fattispecie qualificata. Padua: Cedam. PULITANÒ, D. (1967). «Illiceità espressa e illiceità speciale». Rivista italiana di diritto e procedura penale. Pág. 65 y sig. RINALDI, R. (1996). «Commento all’art. 9, l. 23 dicembre 1993, n. 547». Legislazione penale. Pág. 134 y sig. ROMANO, M. (2004). Commentario sistematico del codice penale, I, sub art. 56 c.p. Milán: Giuffrè. 3.ª ed. ROXIN (2006). Strafrecht, AT. Múnich: Beck Verlag, 4.ª ed., vol. I, pág. 423-426, mar.147-152. SALVADORI, I. (2008). «Hacking, cracking e nuove forme di attacco ai sistemi di informazione. Profili di diritto penale e prospettive de jure condendo». Cyberspazio e diritto. Núm. 3, pág. 354 y sig. SALVADORI I. (2012). «Il “microsistema” normativo concernente i danneggiamenti informatici. Un bilancio molto poco esaltante». Rivista italiana di diritto e procedura penale, pág. 204 y sig. SALVADORI I. (2011), «Los nuevos delitos informáticos introducidos en el Código Penal español con la Ley Orgánica 5/2010. Perspectiva de derecho comparado». Anuario de Derecho Penal y Ciencias Penales. vol. LXIV, pág. 221 y sig. SARZANA, C. (2008). «La legge di ratifica della Convenzione di Budapest: una “gatta” legislativa frettolosa». Diritto penale e processo. Núm. 12, pág. 1562 y sig. SCOPINARO, L. (2007). Internet e reati contro il patrimonio. Turín: Giappichelli. SIEBER, U. (1986). The International Handbook on Computer Crime. Computer related Economic Crime and the Infringements of Privacy. Chichester: Wiley. STREE, W.; HECKER, B. (2010). «§ 303a StGB». En: A. SCHÖNKE, H. SCHRÖDER (ed.). Strafgesetzbuch Kommentar. Múnich: Beck Verlag. 28.ª ed. Pág. 2664 y sig. TAGLIARINI, F. (1979). I delitti aggravati dall’evento. Profili storici e prospettive di riforma. Padua: Cedam. VASSALLI, G. (1975). «Concorso tra circostanze eterogenee e “reati aggravati dall’evento”». Rivista italiana di diritto e procedura penale. Pág. 3 y sig. VASSALLI, G. (1991). «I principi generali del diritto nell´esperienza penalistica». Rivista italiana di diritto e procedura penale. Pág. 699 y sig. VV. AA. (2006). Diritto penale. Lineamenti di parte speciale. Bolonia: Zanichelli. 4.ª ed. WOHLERS, W. (2000). Deliktstypen des Präventionsstrafrechts - zur Dogmatik «moderner» Gefährdungsdelikte. Berlín: Duncker und Humblot. WOLFF, H. (2010). «§ 303a StGB». En: H.-W. LAUFHÜTTE, R. RISSING-VAN SAAN, K. TIEDEMANN (ed.). Leipziger Kommentar, StGB. Berlín: De Gruyter. 12.ª ed., vol. 6. Pág. 403. ZACZYK, R. (2010). «§ 303a StGB». En: U. KINDHÄUSER (ed.). Strafgesetzbuch. Baden-Baden: Nomos. 4ª ed. Pág. 2481, marg. 7. ZIESCHANG, F. (1998). Gefährdungsdelikte. Berlín: Dunckler und Humblot. ZUCCALÁ, G. (1977). «Profili del delitto di attentato». Rivista italiana diritto procedura penale. Pág. 1225 y sig. IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Ivan Salvadori R. Agustina 89 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp La regulación de los daños informáticos en el código penal italiano Cita recomendada SALVADORI, Ivan (2013). «La regulación de los daños informáticos en el código penal italiano». En: María José PIFARRÉ (coord.) «Internet y redes sociales: un nuevo contexto para el delito» [monográfico en línea]. IDP. Revista de Internet, Derecho y Política. Número 16, pág. 74-90. UOC. [Fecha de consulta: dd/mm/aa] <http://idp.uoc.edu/ojs/index.php/idp/article/view/n16-salvadori/n16-salvadori> DOI: http://10.7238/idp.v0i16.1831 Los textos publicados en esta revista están –si no se indica lo contrario– bajo una licencia Reconocimiento-Sin obras derivadas 3.0 España de Creative Commons. Puede copiarlos, distribuirlos y comunicarlos públicamente siempre que cite su autor y la revista y la institución que los publica (IDP. Revista de Internet, Derecho y Política; UOC); no haga con ellos obras derivadas. La licencia completa se puede consultar en http://creativecommons.org/licenses/by-nd/3.0/es/deed.es. Sobre el autor Ivan Salvadori ivansalvadori@gmail.com Doctor europeo en Derecho penal económico e informático, investigador posdoctoral en la Università di Verona (Italia), profesor de Derecho penal en la Universidad de Barcelona www.ivansalvadori.net Universidad de Barcelona Departamento de Derecho Penal y Ciencias Penales Diagonal Nord, Facultad de Derecho Principal, pl. 4.a Av. Diagonal, 684 08034 BARCELONA IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Ivan Salvadori R. Agustina 90 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp ReSeña Crónica de la III Jornada de Criminología UOC-CEFJE: Ciberdelito y Victimización Josep M. Tamarit Profesor y director del programa de Criminología de los Estudios de Derecho y Ciencia Política de la UOC Fecha de presentación: febrero de 2013 Fecha de aceptación: marzo de 2013 Fecha de publicación: junio de 2013 Resumen El día 30 de enero de 2013 tuvo lugar en Barcelona la III Jornada de Criminología, organizada por la Universitat Oberta de Catalunya y por el Centro de Estudios Jurídicos y Formación Especializada. El tema seleccionado para esta tercera edición de la Jornada fue «Ciberdelito y victimización: pornografía y acoso», y contó con la asistencia de trescientas personas; además, pudo ser seguida por internet. Las sesiones pueden verse accediendo a <http://www.uoc.edu/portal/es/symposia/ criminologia2013/videos/index.html> Palabras clave jornada, criminología, ciberdelito, victimización, pornografía, acoso Tema criminología Report from the 3rd UOC-CEJFE Conference on Criminology: Cybercrime and Victimization Abstract The 3rd Conference on Criminology, organized by the Universitat Oberta de Catalunya (Open University of Catalonia, UOC) and the Centro de Estudios Jurídicos y Formación Especializada (CEJFE), took place on 30 January 2013 in Barcelona. The subject chosen for this third conference was “Cybercrime and Victimization: Pornography and Harassment”. It was attended by some three hundred people and could also be followed over the internet. The sessions can be viewed here: <http://www.uoc.edu/portal/es/symposia/criminologia2013/videos/index.html>. IDP Número 16 (Junio, 2013) I ISSN 1699-8154 Eloi EloiPuig Puig Josep M. Tamarit 91 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Crónica de la III Jornada de Criminología UOC-CEFJE: Ciberdelito y Victimización Keywords conference, criminology, cybercrime, victimization, pornography, harassment Subject criminology El día 30 de enero de 2013 tuvo lugar en Barcelona la III Jornada de Criminología, organizada por la Universitat Oberta de Catalunya y por el Centro de Estudios Jurídicos y Formación Especializada. Inauguraron la Jornada Xavier Hernàndez, director del CEJFE; Agustí Cerrillo, director de los Estudios de Derecho y Ciencia Política de la UOC, y Josep M. Tamarit, director del programa de Criminología, que se encargó de la coordinación. La Jornada contó con la asistencia de trescientas personas, y además pudo ser seguida por internet. Las sesiones pueden verse accediendo a http://www.uoc.edu/ portal/es/symposia/criminologia2013/videos/index.html. conducido mediante reuniones de grupo (focus groups), que permitió poner de relieve los daños psíquicos y materiales derivados de esta forma de victimización producida en el contexto de la creciente globalización y extensión del uso de las TIC. Asimismo, planteó algunas recomendaciones relativas a la prevención y la lucha contra este fenómeno. Posteriormente se realizó una mesa sobre ciberdelito y pornografía, con dos ponencias. En primer lugar, «Victimización por internet: fenomenología, ofensores y víctimas», a cargo de Fernando Miró Linares, profesor de Derecho Penal de la Universidad Miguel Hernández de Elche, en la que presentó algunos de los contenidos que ha desarrollado en una monografía aparecida hace poco tiempo en que examina de forma exhaustiva las diversas dimensiones del fenómeno y las interpretaciones desde el punto de vista de las diversas teorías criminológicas. En segundo lugar, José Ramon Agustina Sanllehí, profesor de Derecho Penal y Criminología de la Universitat Internacional de Catalunya, presentó una ponencia con el título «Estrategias de prevención ante la criminalidad en un entorno digital: la protección de la indemnidad de los menores», en la que se adentró en aspectos concretos de la victimización de menores, como la problemática relacionada con la pornografía y el sexting, y presentó los resultados de su actividad de investigación en este ámbito, centrada en los riesgos que representan las formas de comunicación actuales entre la población adolescente. Por último, intervino Rubén Mora Fernández, subinspector jefe de la Unidad Central de Delitos Informáticos de los Mossos d’Esquadra, que habló de varias cuestiones sobre las actuaciones de prevención, detección y persecución policial referentes al acoso por internet. El tema seleccionado para esta tercera edición de la Jornada fue «Ciberdelito y victimización: pornografía y acoso». La importancia de la temática tratada está actualmente fuera de duda. La generalización del uso de las tecnologías de la información y la comunicación ha modificado las formas de delincuencia y constituye un reto a la hora de analizar la victimización. La era digital obliga a pensar las estrategias de prevención y de respuesta a estas nuevas formas de delincuencia y es, también, una oportunidad para hacer uso de las nuevas tecnologías en los sistemas de control del delito, en el tratamiento del delincuente y en la protección y la atención a la víctima. En la Jornada se quisieron analizar algunas de estas cuestiones, particularmente las relacionadas con la pornografía y el acoso, que afectan de una manera especial a la población infantil y adolescente, con el objetivo de conocer el estado actual de la investigación y de plantear opciones de futuro. La Jornada se desarrolló según el programa previsto y empezó con la conferencia inaugural de Jan van Dijk, profesor de la Universidad de Tilburg (Holanda), que tiene una trayectoria muy relevante en el ámbito de la criminología y la victimología, y destaca por haber sido presidente de la Sociedad Mundial de Victimología, además de impulsor y coordinador de varias encuestas de victimización en el ámbito internacional y específicamente europeo. En su ponencia trató el fraude electrónico y aportó datos sobre su prevalencia, centrándose principalmente en el impacto en las víctimas. Por ello expuso los resultados de una investigación que había IDP Número 16 (Junio, 2013) I ISSN 1699-8154 Eloi EloiPuig Puig Josep M. Tamarit La tercera sesión plenaria, con el título «Ciberdelito y acoso», tuvo dos ponentes. Por un lado, Manuel Gámez Guadix, psicólogo de formación y becario posdoctoral de la Universidad de Deusto y consultor del grado de Criminología de la UOC, presentó los resultados de su actividad de investigación centrada en el acoso por internet (cyberbullying). Por otro lado, Maialen Garmendia Larrañaga, profesora de Sociología y directora del equipo EU Kids Online de la Universidad del 92 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Crónica de la III Jornada de Criminología UOC-CEFJE: Ciberdelito y Victimización • «Grooming y producción de pornografía infantil», de María Inés Lovelle. • «La regulación de las leyes de registro y notificación en Estados Unidos y su eficacia», de Marc Salat. • «Impulsividad patológica y personalidad comórbida en victimarios de pornografía infantil», de Bernat-Noëll Tiffon y Myriam Al-Fawal. • «Derecho de sexualidades en el ámbito europeo. Mayoría de edad sexual y pedofilia en las denominadas sociedades de riesgo», de Jonatan Cruz. País Vasco, intervino con el tema «Riesgos y seguridad en internet: los menores españoles en el contexto europeo». La Jornada terminó con dos mesas simultáneas, en las que se presentaron las comunicaciones que habían sido seleccionadas, que fueron las siguientes: • «Conductas de ciberacoso y justicia penal juvenil», de M. José Bartrina. • «La violencia en la pareja a través de las nuevas tecnologías: características y prevalencia», de Erika Borrajo. Cita recomendada: TAMARIT, Josep M. (2013). «Crónica de la III Jornada de Criminología UOC-CEFJE: Ciberdelito y Victimización». IDP. Revista de Internet, Derecho y Política. N.º 16, pág. 91-93. UOC. [Fecha de consulta: dd/mm/aa] <http://idp.uoc.edu/ojs/index.php/idp/article/view/n16-tamarit/n16-tamarit-es> DOI: http://dx.doi.org/10.7238/idp.v0i16.1935 Los textos publicados en esta revista están –si no se indica lo contrario– bajo una licencia Reconocimiento-Sin obras derivadas 3.0 España de Creative Commons. Puede copiarlos, distribuirlos y comunicarlos públicamente siempre que cite a su autor y la revista y la institución que los publica (IDP. Revista de Internet, Derecho y Política; UOC); no haga con ellos obras derivadas. La licencia completa se puede consultar en http://creativecommons.org/licenses/by-nd/3.0/es/deed.es. El autor Josep M. Tamarit jtamarit@uoc.edu Profesor y director del programa de Criminología de la UOC Doctor en Derecho por la Universidad de Barcelona (1988), desde el año 1999 es catedrático de Derecho Penal de la Universidad de Lleida y, desde 2010, catedrático de la Universitat Oberta de Catalunya y director del programa de Criminología. Ha sido investigador principal en diversos proyectos de investigación y actualmente lo es del grupo consolidado «Sistema de justicia penal» (AGAUR 2006-2009 y 2010-2013) y del proyecto coordinado «La victimización sexual de menores y su protección penal» (UOC-UdL-UB 2013-2015). Su actividad de investigación se ha centrado especialmente en la victimología, la justicia restaurativa y el sistema de sanciones penales. Estudios de Derecho y Ciencia Política de la Universitat Oberta de Catalunya (www.uoc.edu) Avda. del Tibidabo, 39-43 08035 Barcelona IDP Número 16 (Junio, 2013) I ISSN 1699-8154 Eloi EloiPuig Puig Josep M. Tamarit 93 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp ResSeNYa Crònica de la III Jornada de Criminologia UOC-CEFJE: Ciberdelicte i Victimització Josep M. Tamarit Professor i director del programa de Criminologia dels Estudis de Dret i Ciència Política de la UOC Data de presentació: febrer del 2013 Data d’acceptació: març del 2013 Data de publicació: juny del 2013 Resum El dia 30 de gener de 2013 va tenir lloc a Barcelona la III Jornada de Criminologia, organitzada per la Universitat Oberta de Catalunya i pel Centre d’Estudis Jurídics i Formació Especialitzada. El tema seleccionat per a aquesta tercera edició de la Jornada va ser «Ciberdelicte i victimització: pornografia i assetjament». Hi van assistir tres-centes persones i, a més, va poder ser seguida per internet. Les sessions es poden veure accedint a <http://www.uoc.edu/portal/ca/symposia/criminologia2013/videos/ index.html>. Paraules clau jornada, criminologia, ciberdelicte, victimització, pornografia, assetjament Tema criminologia Report from the 3rd UOC-CEJFE Conference on Criminology: Cybercrime and Victimization Abstract The 3rd Conference on Criminology, organized by the Universitat Oberta de Catalunya (Open University of Catalonia, UOC) and the Centro de Estudios Jurídicos y Formación Especializada (CEJFE), took place on 30 January 2013 in Barcelona. The subject chosen for this third conference was “Cybercrime and Victimization: Pornography and Harassment”. It was attended by some three hundred people and could also be followed over the internet. The sessions can be viewed here: <http://www.uoc.edu/portal/es/ symposia/criminologia2013/videos/index.html>. IDP Número 16 (Juny, 2013) I ISSN 1699-8154 Eloi EloiPuig Puig Josep M. Tamarit 94 Revista dels Estudis de Dret i Ciència Política Universitat Oberta de Catalunya www.uoc.edu/idp Crònica de la III Jornada de Criminologia UOC-CEFJE: Ciberdelicte i Victimització Keywords conference, criminology, cybercrime, victimization, pornography, harassment Subject Criminology El dia 30 de gener de 2013 va tenir lloc a Barcelona la III Jornada de Criminologia, organitzada per la Universitat Oberta de Catalunya i pel Centre d’Estudis Jurídics i Formació Especialitzada. Van inaugurar la Jornada Xavier Hernàndez, director del CEJFE; Agustí Cerrillo, director dels Estudis de Dret i Ciència Política de la UOC, i Josep M. Tamarit, director del programa de Criminologia, que va fer de coordinador de la Jornada. Hi van assistir tres-centes persones i, a més, va poder ser seguida per internet. Les sessions es poden veure accedint a http://www.uoc.edu/portal/ca/symposia/ criminologia2013/videos/index.html. El tema seleccionat per a aquesta tercera edició de la Jornada va ser «Ciberdelicte i victimització: pornografia i assetjament». La importància de la temàtica tractada queda actualment fora de dubte. La generalització de l’ús de les tecnologies de la informació i la comunicació ha modificat les formes de delinqüència i constitueix un repte a l’hora d’analitzar la victimització. L’era digital obliga a pensar les estratègies de prevenció i de resposta a aquestes noves formes de delinqüència i és, també, una oportunitat per a fer ús de les noves tecnologies en els sistemes de control del delicte, en el tractament del delinqüent i en la protecció i l’atenció a la víctima. En la Jornada es van voler analitzar algunes d’aquestes qüestions, particularment les relacionades amb la pornografia i l’assetjament, que afecten d’una manera especial la població infantil i adolescent, amb l’objectiu de conèixer l’estat actual de la recerca i de plantejar opcions de futur. La Jornada es va desenvolupar segons el programa previst i va començar amb la conferència inaugural de Jan van Dijk, professor de la Universitat de Tilburg (Holanda), que té una trajectòria molt rellevant en l’àmbit de la criminologia i la victimologia, i destaca pel fet d’haver estat president de la Societat Mundial de Victimologia, a més d’impulsor i coordinador de diverses enquestes de victimització en l’àmbit internacional i específicament europeu. En la seva ponència va tractar del frau electrònic i va aportar dades sobre la seva prevalença, centrant l’atenció sobretot en l’impacte en les víctimes. Per això va exposar els resultats d’una recerca que IDP Número 16 (Juny, 2013) I ISSN 1699-8154 Eloi EloiPuig Puig Josep M. Tamarit havia conduït mitjançant reunions de grup (focus groups), que va permetre posar en relleu els danys psíquics i materials derivats d’aquesta forma de victimització produïda en el context de la creixent globalització i extensió de l’ús de les TIC. A més, va plantejar algunes recomanacions pel que fa a la prevenció i la lluita contra aquest fenomen. Posteriorment es va dur a terme una taula sobre ciberdelicte i pornografia, amb dues ponències. En primer lloc, «Victimització per internet: fenomenologia, ofensors i víctimes», a càrrec de Fernando Miró Linares, professor de Dret Penal de la Universitat Miguel Hernández d’Elx, en la qual va presentar alguns dels continguts que ha desenvolupat en una monografia apareguda fa poc en què tracta de manera exhaustiva de les diverses dimensions del fenomen i les interpretacions des del punt de vista de les diverses teories criminològiques. En segon lloc, José Ramon Agustina Sanllehí, professor de Dret Penal i Criminologia de la Universitat Internacional de Catalunya, va presentar una ponència amb el títol «Estratègies de prevenció davant de la criminalitat en un entorn digital: la protecció de la indemnitat dels menors», en la qual es va endinsar en aspectes concrets de la victimització de menors, com la problemàtica relacionada amb la pornografia i el sexting, i va presentar els resultats de la seva activitat de recerca en aquest àmbit, centrada en els riscs que representen les formes de comunicació actuals entre la població adolescent. Finalment, va intervenir-hi Rubén Mora Fernández, sotsinspector en cap de la Unitat Central de Delictes Informàtics dels Mossos d’Esquadra, que va parlar de diverses qüestions sobre les actuacions de prevenció, detecció i persecució policial pel que fa a l’assetjament per internet. La tercera sessió plenària, amb el títol «Ciberdelicte i assetjament», va tenir dos ponents. D’una banda, Manuel Gámez Guadix, psicòleg de formació i becari postdoctoral de la Universitat de Deusto i consultor del grau de Criminologia de la UOC, va presentar els resultats de la seva activitat de recerca centrada en l’assetjament per internet (cyberbullying). D’altra banda, Maialen Garmendia Larrañaga, professora de Sociologia i directora de l’equip EU Kids Online de la Universitat 95 Revista dels Estudis de Dret i Ciència Política Universitat Oberta de Catalunya www.uoc.edu/idp Crònica de la III Jornada de Criminologia UOC-CEFJE: Ciberdelicte i Victimització del País Basc, va intervenir-hi amb el tema «Riscs i seguretat a internet: els menors espanyols en el context europeu». La Jornada es va acabar amb dues taules simultànies, en les quals es van presentar les comunicacions que havien estat seleccionades, que van ser les següents: • «Conductes de ciberassetjament i justícia penal juvenil», de M. José Bartrina. • «La violencia en la pareja a través de las nuevas tecnologías: características y prevalencia», d’Erika Borrajo. • «Grooming i producció de pornografia infantil», de María Inés Lovelle. • «La regulación de las leyes de registro y notificación en Estados Unidos y su eficacia», de Marc Salat. • «Impulsividad patológica y personalidad comórbida en victimarios de pornografía infantil», de Bernat-Noëll Tiffon i Myriam Al-Fawal. • «Dret de sexualitats a l’àmbit europeu. Majoria d’edat sexual i pedofília a les denominades societats de risc», de Jonatan Cruz. Citació recomanada: TAMARIT, Josep M. (2013). «Crònica de la III Jornada de Criminologia UOC-CEFJE: Ciberdelicte i Victimització». IDP. Revista d’Internet, Dret i Política. Número 16, pàg. 94-96. UOC. [Data de consulta: dd/mm/aa] <http://idp.uoc.edu/ojs/index.php/idp/article/view/n16-tamarit/n16-tamarit-ca> DOI: http://dx.doi.org/10.7238/idp.v0i16.1935 Els textos publicats en aquesta revista estan subjectes –llevat que s’indiqui el contrari– a una llicència de Reconeixement-Sense obres derivades 3.0 Espanya de Creative Commons. Podeu copiar-los, distribuir-los i transmetre’ls públicament sempre que citeu l’autor, la revista i la institució que els publica (IDP. Revista d’Internet, Dret i Política; UOC), no en feu obres derivades. La llicència completa es pot consultar a http://creativecommons.org/licenses/by-nd/3.0/es/deed.ca. L’autor Josep M. Tamarit jtamarit@uoc.edu Professor i director del programa de Criminologia de la UOC Doctor en Dret per la Universitat de Barcelona (1988), des del 1999 és catedràtic de Dret Penal de la Universitat de Lleida i, des del 2010, catedràtic de la Universitat Oberta de Catalunya i director del programa de Criminologia. Ha estat investigador principal de diversos projectes de recerca i actualment ho és del grup consolidat «Sistema de justícia penal» (AGAUR 2006-2009 i 20102013) i del projecte coordinat «La victimització sexual de menors i la seva protecció penal» (UOCUdL-UB 2013-2015). La seva activitat de recerca s’ha centrat especialment en la victimologia, la justícia restaurativa i el sistema de sancions penals. Estudis de Dret i Ciència Política de la Universitat Oberta de Catalunya Av. del Tibidabo, 39-43 08035 Barcelona IDP Número 16 (Juny, 2013) I ISSN 1699-8154 Eloi EloiPuig Puig Josep M. Tamarit 96 Revista dels Estudis de Dret i Ciència Política Universitat Oberta de Catalunya www.uoc.edu/idp Reseña Primera Jornada de Abogacía Virtual Blanca Torrubia Directora del Máster en Abogacía de la UOC Fecha de presentación: abril de 2013 Fecha de aceptación: junio de 2013 Fecha de publicación: junio de 2013 Resumen El pasado 22 de febrero tuvo lugar en la sede central de la UOC la primera Jornada de Abogacía Virtual «Cómo internet y la tecnología están transformando la profesión». La Jornada, organizada por los Estudios de Derecho y Ciencia Política de la UOC con la colaboración del abogado y consultor del Master en Abogacía, Jordi Estalella, ha sido la primera de esta temática celebrada en España. Sus objetivos, así como los de las futuras Jornadas, son abrir un espacio de debate y reflexión sobre cómo las nuevas tecnologías afectan a los servicios legales y ayudar a los profesionales en general, y a los estudiantes del Master en Abogacía de la UOC en particular, a implementar un modelo de negocio virtual. Se trata de que los abogados se den cuenta de que la Red les brinda una oportunidad profesional. Palabras clave abogacía virtual, derecho, internet Tema derecho, abogacía First Conference on Virtual Legal Practice Abstract The first Conference on Virtual Legal Practice: How the Internet and Technology are Transforming the Profession took place at the UOC’s headquarters on 22 February. The conference, organized by the UOC’s Law and Political Science Department in collaboration with the lawyer and tutor on the Master’s Degree in the Legal Profession Jordi Estalella, was the first to look at this subject in Spain. Its aims, as with future editions of the conference, are to provide a forum for debate and reflection on how new technologies affect the legal services and help professionals, in general, and students on the UOC’s Master’s Degree in the Legal Profession, in particular, to introduce a virtual business model. It is designed to raise awareness among lawyers of how the web represents a professional opportunity. Keywords virtual legal practice, law, internet Subject law, legal profession IDP Número 16 (Junio, 2013) I ISSN 1699-8154 Eloi EloiPuig Puig Blanca Torrubia 97 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp El pasado 22 de febrero tuvo lugar en la sede central de la UOC la primera Jornada de Abogacía Virtual: Cómo internet y la tecnología están transformando la profesión. La Jornada, organizada por los Estudios de Derecho y Ciencia Política de la UOC con la colaboración del abogado y consultor del máster de Abogacía Jordi Estalella, ha sido la primera de esta temática celebrada en España. Sus objetivos, así como los de las futuras jornadas, son abrir un espacio de debate y reflexión sobre cómo las nuevas tecnologías afectan a los servicios legales y ayudar a los profesionales en general, y a los estudiantes del máster de Abogacía de la UOC en particular, a implementar un modelo de negocio virtual. Se trata de que los abogados se den cuenta de que la red les brinda una oportunidad profesional. El gurú del sector jurídico en línea, Richard Susskind, ya lo ha advertido: en la próxima década habrá más cambios en la abogacía que en los últimos doscientos años. El sector jurídico, considerado uno de los más lentos en adaptarse a las nuevas tecnologías, se encuentra inmerso en un proceso de revolución que cambiará la manera tradicional de trabajar de los abogados. Esta es una de las conclusiones de la Jornada, a la que asistieron alrededor de setenta profesionales dispuestos a no quedarse atrás en la creación y el manejo de un despacho virtual, un despacho capaz de ofrecer valor al cliente. Todavía son pocos los abogados que ejercen en despachos virtuales, si bien la abogacía es una profesión que presenta un perfil muy propicio para beneficiarse de esta –imparable– revolución tecnológica. La UOC quiere ser un referente en este nuevo modelo de ejercicio de la abogacía que, al igual que está ocurriendo en los Estados Unidos, se irá progresivamente implantando. Marta Plana, abogada, experta en nuevas tecnologías y consejera de la Comisión del Mercado de las Telecomunicaciones (CMT), resaltó los aspectos clave de un fenómeno que al otro lado del Atlántico va al alza. «Cada vez más se están creando negocios en línea en entornos jurídicos». Para Plana, la fuerza del cambio es lo que invita a la gente a sumarse. Hay que superar el miedo a no salir adelante. «Si no va bien, no pasa nada», señaló la experta, que también criticó la falta de implantación –y positivización– de la cultura del fracaso en España. Alexi Fernández, abogado, emprendedor y fundador del portal de abogacía virtual LawYeah! –que opera con herra- IDP Número 16 (Junio, 2013) I ISSN 1699-8154 Eloi EloiPuig Puig Blanca Torrubia Primera Jornada de Abogacía Virtual mientas digitales de última generación–, señaló que «en los Estados Unidos ya hay productos que están quitando trabajo a los abogados», y puso el ejemplo de un sistema de automatización de divorcios. Se trata, no de experimentarlo como algo negativo, sino de conocer las tendencias y aprender a encontrar oportunidades en ellas. Este experto incidió en las ventajas de los servicios jurídicos en línea, como la coordinación virtual con otros abogados o la democratización de los servicios jurídicos. Estudios actuales demuestran que la mitad de la población no utiliza nunca los servicios de un abogado. «Se tiene que universalizar el acceso a la abogacía. Hay un gran potencial de crecimiento y de gente». Javier Muñoz, fundador de iAbogado –empresa pionera en servicios jurídicos en línea– explicó cómo han cambiado las cosas en poco tiempo y recordó las fuertes restricciones que hasta hace poco existían en materia de publicidad de los servicios jurídicos –incluso afectaban a la medida de los carteles de la puerta del bufete. Muñoz abordó las herramientas para conseguir gestionar con éxito los cambios y advirtió de los errores más comunes a la hora de iniciar unos servicios jurídicos en línea (p. ej.: buscar nombres demasiado largos o demasiado genéricos; exceso de siglas y latinismos). También explicó cómo situarse bien en internet (dominios cortos y fáciles de memorizar, selección de palabras clave para los buscadores, cuidar las etiquetas de titulares y subtítulos, apostar por los vídeos, una URL fácil de entender...). «El contenido del web tiene que ser propio, fresco y que se renueve, porque así Google ve que eres una persona y no una máquina», afirmó. También destacó la importancia de estar presente en las diferentes redes sociales. Consciente del radical cambio que el sector jurídico experimentará en los próximos años, Guillermo Navarro, fundador de Unabogado, el primer comparador en línea de servicios jurídicos de España señaló: «El boca a boca tradicional se está trasladando a internet». Navarro constató que en la medida en que este mercado virtual va creciendo de manera drástica, son más los abogados que aparecen en la red. Resulta interesante comprobar cómo el low cost ha irrumpido con fuerza en los despachos de abogados. Está claro que la presencia de estos en internet lo propicia. Pero no son únicamente los clientes quienes buscan soluciones eficaces y más baratas a sus problemas jurídicos, también los profesionales del derecho quieren contar con plataformas desde las que ofertar sus servicios y generar, de este modo, una oferta más competitiva. 98 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Primera Jornada de Abogacía Virtual Un punto en el que surgieron discrepancias entre los distintos ponentes fue el relativo a la posibilidad –o no– de mantener la relación de confianza abogado-cliente en un entorno digital. Así, mientras que Javier Muñoz se mostró escéptico en este sentido –«La confianza aparece en el trato personal»–, otros expertos mostraron su convencimiento de que la revolución tecnológica también afectará a esta cuestión. Así, para Estalella «el paradigma de la confianza entre el abogado y el cliente está transformándose, y en los próximos años todavía cambiará más». Para argumentarlo citó un estudio del septiembre pasado elaborado por una consultora de York (Reino Unido), según el cual el 46% de los usuarios buscaron abogado por medio de la red. Por su parte, Alexi Fernández apuesta por el uso de «herramientas telemáticas que permiten crear esa confianza», como ránquines de evaluación por los usuarios, un sistema que ya usan desde hace tiempo portales como ebay.es o tripadvisor.es. importante. En internet la gente busca expertos», justificó Alexi Fernández. A la importancia de crear una marca personal, punto tratado en diferentes ponencias, se refirió detalladamente Ferran Sala, director de vLex –portal de contenidos jurídicos con cinco millones de visitas mensuales– resaltando la necesidad de crear una marca muy diferenciada. Por su parte, Alexi Fernández advirtió que «se tiene que aprender a controlar la identidad digital puesto que es nuestra reputación en línea». Otro aspecto a controlar, de acuerdo con Sala, es el marketing de contenidos. Estos no pueden versar sobre todo el ámbito jurídico, sino que han de concretarse a aspectos determinados. «La especialización cada vez será más La Primera Jornada de Abogacía Virtual ha tenido un gran impacto en el ámbito del derecho. Esperamos poder contar en las futuras Jornadas con cada vez más interesados en los nuevos modelos de negocio y sumar otros expertos que, al igual que han hecho Jordi Estalella, Marta Plana, Alexi Fernández, Javier Muñoz, Ferran Sala y Guillermo Navarro, comenten sus valiosas experiencias y ayuden con sus consejos a implantar negocios jurídicos en línea. IDP Número 16 (Junio, 2013) I ISSN 1699-8154 Eloi EloiPuig Puig Blanca Torrubia Jordi Estalella concluyó la ronda de intervenciones advirtiendo del futuro desarrollo exponencial de la abogacía virtual y de la segmentación por el tipo de público destinatario. Los nativos digitales serán más proclives a contratar servicios por internet, mientras que el resto de la población continuará contratando los servicios tradicionales. Internet en el sector jurídico afectará a la producción, gestión y comunicación interna y externa de los servicios. También recordó que en Google ya hay más de noventa y cinco millones de entradas jurídicas en español y advirtió que el conocimiento jurídico ha dejado de ser monopolio de los abogados: «Hay tareas que los abogados dejarán de hacer. Ya no serán ellos los que volcarán los conocimientos, sino otro tipo de profesionales y los mismos clientes, que lo comunicarán en blogs y plataformas similares a una wiki». Tenemos que estar preparados. Se puede acceder a los vídeos, resúmenes y tweets de la Jornada en este Storify: http://ow.ly/iVGsp. 99 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Primera Jornada de Abogacía Virtual Cita recomendada TORRUBIA, Blanca (2013). «Reseña de la Primera Jornada de Abogacía Virtual». IDP. Revista de Internet, Derecho y Política. Número 16, pág. 97-100. UOC. [Fecha de consulta: dd/mm/aa] <http://idp.uoc.edu/ojs/index.php/idp/article/view/n16-torrubia/n16-torrubia-es> DOI: http://10.7238/idp.v0i16.1852 Los textos publicados en esta revista están –si no se indica lo contrario– bajo una licencia Reconocimiento-Sin obras derivadas 3.0 España de Creative Commons. Puede copiarlos, distribuirlos y comunicarlos públicamente siempre que cite su autor y la revista y la institución que los publica (IDP. Revista de Internet, Derecho y Política; UOC); no haga con ellos obras derivadas. La licencia completa se puede consultar en http://creativecommons.org/ licenses/by-nd/3.0/es/deed.es. Blanca Torrubia Directora del máster de Abogacía de la UOC Doctora en Derecho (2000) por la Universidad de Navarra http://www.uoc.edu/webs/btorrubia/ES/curriculum/index.html https://twitter.com/BTorrubia IDP Número 16 (Junio, 2013) I ISSN 1699-8154 Eloi EloiPuig Puig Blanca Torrubia 100 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Ressenya Primera Jornada d’Advocacia Virtual Blanca Torrubia Directora del màster en Advocacia de la UOC Data de presentació: abril de 2013 Data d’acceptació: juny de 2013 Data de publicació: juny de 2013 Resum El 22 de febrer passat va tenir lloc a la seu central de la UOC la primera Jornada d’Advocacia Virtual: Com internet i la tecnologia estan transformant la professió. La Jornada, organitzada pels Estudis de Dret i Ciència Política de la UOC amb la col·laboració de l’advocat i consultor del màster d’Advocacia Jordi Estalella, ha estat la primera amb aquesta temàtica celebrada a Espanya. Els seus objectius, com els de les futures jornades, són obrir un espai de debat i reflexió sobre com les noves tecnologies afecten els serveis legals i ajudar els professionals en general, i els estudiants del màster d’Advocacia de la UOC en particular, a implantar un model de negoci virtual. Es tracta que els advocats s’adonin que la xarxa els ofereix una oportunitat professional. Paraules clau advocacia virtual, dret, internet Tema dret, advocacia First Conference on Virtual Legal Practice Abstract The first Conference on Virtual Legal Practice: How the Internet and Technology are Transforming the Profession took place at the UOC’s headquarters on 22 February. The conference, organized by the UOC’s Law and Political Science Department in collaboration with the lawyer and tutor on the Master’s Degree in the Legal Profession Jordi Estalella, was the first to look at this subject in Spain. Its aims, as with future editions of the conference, are to provide a forum for debate and reflection on how new technologies affect the legal services and help professionals, in general, and students on the UOC’s Master’s Degree in the Legal Profession, in particular, to introduce a virtual business model. It is designed to raise awareness among lawyers of how the web represents a professional opportunity. Keywords virtual legal practice, law, internet Subject law, legal profession IDP Número 16 (Juny, 2013) I ISSN 1699-8154 Eloi EloiPuig Puig Blanca Torrubia 101 Revista dels Estudis de Dret i Ciència Política Universitat Oberta de Catalunya www.uoc.edu/idp El 22 de febrer passat va tenir lloc a la seu central de la UOC la primera Jornada d’Advocacia Virtual: Com internet i la tecnologia estan transformant la professió. La Jornada, organitzada pels Estudis de Dret i Ciència Política de la UOC amb la col·laboració de l’advocat i consultor del màster d’Advocacia Jordi Estalella, ha estat la primera amb aquesta temàtica celebrada a Espanya. Els seus objectius, com els de les futures jornades, són obrir un espai de debat i reflexió sobre com les noves tecnologies afecten els serveis legals i ajudar els professionals en general, i els estudiants del màster d’Advocacia de la UOC en particular, a implantar un model de negoci virtual. Es tracta que els advocats s’adonin que la xarxa els ofereix una oportunitat professional. El guru del sector jurídic en línia, Richard Susskind, ja ho ha advertit: en la pròxima dècada hi haurà més canvis en l’advocacia que en els últims dos-cents anys. El sector jurídic, considerat un dels més lents a l’hora d’adaptar-se a les noves tecnologies, està immers en un procés de revolució que canviarà la manera tradicional de treballar dels advocats. Aquesta és una de les conclusions de la Jornada, a la qual van assistir al voltant de setanta professionals disposats a no quedar-se enrere en la creació i el maneig d’un despatx virtual, un despatx capaç d’oferir valor al client. Encara són pocs els advocats que exerceixen en despatxos virtuals si bé l’advocacia és una professió que presenta un perfil molt propici per a beneficiar-se d’aquesta –imparable– revolució tecnològica. La UOC vol ser un referent en aquest nou model d’exercici de l’advocacia que, igual que passa als Estats Units, s’anirà implantant progressivament. Marta Plana, advocada, experta en noves tecnologies i consellera de la Comissió del Mercat de les Telecomunicacions (CMT), va ressaltar els aspectes clau d’un fenomen que a l’altre costat de l’Atlàntic va a l’alça. Cada vegada més s’estan creant negocis en línia en entorns jurídics». Per a Plana, la força del canvi és el que convida la gent a sumar-s’hi. Cal superar la por de no tirar endavant. «Si no va bé, no passa res», va assenyalar l’experta, que també va criticar la manca d’implantació –i positivització– de la cultura del fracàs a Espanya. Alexi Fernández, advocat, emprenedor i fundador del portal d’advocacia virtual LawYeah! –que opera amb eines digitals d’última generació–, va assenyalar que «als Estats Units ja hi ha productes que estan traient feina als advocats», i va posar l’exemple d’un sistema d’automatització de divorcis. Es tracta, no d’experimentar-lo com una cosa negativa, sinó IDP Número 16 (Juny, 2013) I ISSN 1699-8154 Eloi EloiPuig Puig Blanca Torrubia Primera Jornada d’Advocacia Virtual de conèixer les tendències i aprendre a trobar-hi oportunitats. Aquest expert va incidir en els avantatges dels serveis jurídics en línia, com ara la coordinació virtual amb altres advocats o la democratització dels serveis jurídics. Estudis actuals demostren que la meitat de la població no utilitza mai els serveis d’un advocat. «S’ha d’universalitzar l’accés a l’advocacia. Hi ha un gran potencial de creixement i de gent». Javier Muñoz, fundador de iAbogado –empresa pionera en serveis jurídics en línia– va explicar com han canviat les coses en poc temps i va recordar les fortes restriccions que fins fa poc hi havia en matèria de publicitat dels serveis jurídics –fins i tot afectaven la mida dels cartells de la porta del bufet. Muñoz va abordar les eines per a aconseguir gestionar amb èxit els canvis i va advertir dels errors més comuns a l’hora d’iniciar un serveis jurídics en línia (p. ex.: buscar noms massa llargs o massa genèrics; excés de sigles i llatinismes). També va explicar com s’ha de fer per situar-se bé a internet (dominis curts i fàcils de memoritzar, selecció de paraules clau per als cercadors, cuidar les etiquetes de titulars i subtítols, apostar pels vídeos, un URL fàcil d’entendre...). «El contingut del web ha de ser propi, fresc i que es renovi, perquè així Google veu que ets una persona i no una màquina», va afirmar. També va destacar la importància de ser present en les diferents xarxes socials. Conscient del canvi radical que el sector jurídic experimentarà en els propers anys, Guillermo Navarro, fundador de Unabogado, el primer comparador en línia de serveis jurídics d’Espanya, va assenyalar: «El boca a boca tradicional s’està traslladant a internet». Navarro va constatar que en la mesura que aquest mercat virtual va creixent de manera dràstica, són més els advocats que apareixen a la xarxa. És interessant comprovar com el low cost ha irromput amb força en els despatxos d’advocats. És clar que la seva presència a internet ho afavoreix. Però no són únicament els clients els qui busquen solucions eficaces i més barates als seus problemes jurídics, també els professionals del dret volen disposar de plataformes des de les quals puguin oferir els seus serveis i generar, d’aquesta manera, una oferta més competitiva. Un punt en què van sorgir discrepàncies entre els diferents ponents va ser el relatiu a la possibilitat –o no– de mantenir la relació de confiança advocat-client en un entorn digital. Així, mentre que Javier Muñoz es va mostrar escèptic en aquest sentit –«La confiança apareix en el tracte personal»–, altres experts van mostrar el seu convenciment que la revolució tecnològica també afectarà aquesta qüestió. Així, per a Estalella «el paradigma de la confiança entre l’advocat i el 102 Revista dels Estudis de Dret i Ciència Política Universitat Oberta de Catalunya www.uoc.edu/idp Primera Jornada d’Advocacia Virtual client es transforma, i en els propers anys encara canviarà més». Per a argumentar-ho va citar un estudi del setembre passat elaborat per una consultora de York (Regne Unit), segons el qual el 46% dels usuaris van buscar advocat per mitjà de la xarxa. Per la seva banda, Alexi Fernández aposta per l’ús d’«eines telemàtiques que permeten crear aquesta confiança», com ara rànquings d’avaluació pels usuaris, un sistema que ja fan servir des de fa temps portals com ebay. es o tripadvisor.es. A la importància de crear una marca personal, punt tractat en diferents ponències, es va referir detalladament Ferran Sala, director de vLex –portal de continguts jurídics amb cinc milions de visites mensuals– ressaltant la necessitat de crear una marca molt diferenciada. Per la seva part, Alexi Fernández va advertir que «s’ha d’aprendre a controlar la identitat digital ja que és la nostra reputació en línia». Un altre aspecte que cal controlar, d’acord amb Sala, és el màrqueting de continguts. Aquests no poden versar sobre tot l’àmbit jurídic, sinó que s’han de concretar a aspectes determinats. «L’especialització cada vegada serà més important. A internet la gent busca experts», va justificar Alexi Fernández. Jordi Estalella va tancar la ronda d’intervencions advertint del futur desenvolupament exponencial de l’advocacia virtual i de la segmentació pel tipus de públic destinatari. Els nadius digitals seran més proclius a contractar serveis per internet, mentre que la resta de la població continuarà contractant els serveis tradicio­nals. Internet en el sector jurídic afectarà la producció, la gestió i la comunicació interna i externa dels serveis. També va recordar que a Google ja hi ha més de noranta-cinc milions d’entrades jurídiques en espanyol i ha advertit que el coneixement jurídic ha deixat de ser monopoli dels advocats: «Hi ha tasques que els advocats deixaran de fer. Ja no seran ells els qui bolcaran els coneixements, sinó un altre tipus de professionals i els mateixos clients, que ho comunicaran en blocs i plataformes similars a una wiki». Hem d’estar preparats. La Primera Jornada d’Advocacia Virtual ha tingut un gran impacte en l’àmbit del dret. Esperem poder comptar en les futures Jornades amb cada vegada més interessats en els nous models de negoci i sumar experts que, de la mateixa manera que ho han fet Jordi Estalella, Marta Plana, Alexi Fernández, Javier Muñoz, Ferran Sala i Guillermo Navarro, comentin les seves valuoses experiències i ajudin amb els seus consells a implantar negocis jurídics en línia. Es pot accedir als vídeos, resum i twits de la Jornada en aquest Storify: http://ow.ly/iVGsp Citació recomanada TORRUBIA, Blanca (2013). «Ressenya de la Primera Jornada d’Advocacia Virtual». IDP. Revista d’Internet, Dret i Política. Número 16, pàg. 101-103. UOC. [Data de consulta: dd/mm/aa] <http://idp.uoc.edu/ojs/index.php/idp/article/view/n16-torrubia/n16-torrubia-ca> DOI: http://10.7238/idp.v0i16.1852 Els textos publicats en aquesta revista estan subjectes –llevat que s’indiqui el contrari– a una llicència de Reconeixement-Sense obres derivades 3.0 Espanya de Creative Commons. Podeu copiar-los, distribuir-los i transmetre’ls públicament sempre que citeu l’autor, la revista i la institució que els publica (IDP. Revista d’Internet, Dret i Política; UOC), no en feu obres derivades. La llicència completa es pot consultar a http://creativecommons.org/licenses/by-nd/3.0/es/deed.ca. Blanca Torrubia Directora del màster en Advocacia de la UOC Doctora en Dret (2000) per la Universitat de Navarra http://www.uoc.edu/webs/btorrubia/CA/curriculum/index.html https://twitter.com/BTorrubia IDP Número 16 (Juny, 2013) I ISSN 1699-8154 Eloi EloiPuig Puig Blanca Torrubia 103 Revista dels Estudis de Dret i Ciència Política Universitat Oberta de Catalunya www.uoc.edu/idp RESEÑA Sociedad Red. Estado, Economía y Sociedad en la era de la Información Sociedad Red. Estado, Economía y Sociedad en la era de la Información Marian Ortiz del Amo, Yanina Welp (2013) Editorial UOC ISBN 978-84-9029-957-9 Yanina Welp Directora Regional para América Latina en el Centre for Research on Direct Democracy (C2D), Zentrum für Demokratie Aarau (ZDA) – Universidad de Zúrich Marian Ortiz del Amo Directora de aplicaciones y soluciones de negocio en la empresa multinacional Giesecke & Devrient Fecha de presentación: mayo de 2013 Fecha de aceptación: junio de 2013 Fecha de publicación: junio de 2013 IDP Número 16 (Junio, 2013) I ISSN 1699-8154 Eloi EloiPuig Puig Yanina Welp, Marian Ortiz del Amo 104 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Sociedad Red. Estado, Economía y Sociedad en la era de la Información Resumen En el libro Sociedad Red. Estado, Economía y Sociedad en la era de la Información exploramos algunas de las transformaciones más relevantes que se han producido en el paso de la sociedad industrial (caracterizada por la organización jerárquica, el modo de producción fordista y estructuras de participación dominadas por partidos políticos y sindicatos, entre otras) a la sociedad de la información o sociedad red (caracterizada por la organización en redes, modos de producción flexibles, dinámicas de participación más directas y la enorme difusión de las tecnologías de la información y la comunicación, TIC). Palabras clave Sociedad red, estado, economía, sociedad Tema: Sociedad red Sociedad Red. Estado, Economía y Sociedad en la era de la Información Abstract The book Sociedad red. Estado, economía y sociedad en la era de la información explores some of the most important transformations that have been produced by the passing from the industrial society (characterized by hierarchical organization, Ford-style production models and participation structures dominated by political parties and unions, among others) to the information or network society (characterized by networked organization, flexible production models, more direct participation dynamics and the massive spread of information and communication technologies, ICTs). Keywords network society, state, economy, society Subject network society IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Yanina R.Welp, Agustina Marian Ortiz del Amo 105 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Los orígenes del cambio de paradigma se remontan a distintos procesos que confluyeron en la década de los setenta. En particular, mencionamos las crisis del petróleo (1973-1974 y 1979), que condujeron a la reestructuración del sistema productivo; los avances de la ciencia y la tecnología que pusieron a disposición de los agentes económicos una serie de herramientas para superar la crisis, y la globalización del capital, la producción y el comercio. Los objetivos centrales de la reforma de las instituciones y la gestión empresarial fueron: 1) mantener los beneficios, 2) aumentar la productividad del trabajo y la rentabilidad del capital y 3) globalizar la producción y los mercados aprovechando las oportunidades de condiciones más ventajosas en diferentes partes del mundo. Como señala el sociólogo Manuel Castells, el apoyo estatal para el aumento de la productividad y la competitividad de las economías nacionales se consiguió a menudo en detrimento de la protección social y el interés público. En la actualidad, más de un 30% de la población mundial es usuaria de internet, o sea, más de 2.200 millones de personas, aunque distribuidas muy desigualmente ya que, por ejemplo, casi el 80% de los habitantes de norteamérica son usuarios frente al 13% de los africanos.1 La fractura digital es la brecha que separa a los que tienen acceso a las nuevas tecnologías de los que no lo tienen. Esta distancia se puede medir en la relación entre países, entre los ciudadanos o las regiones de un mismo estado, entre sectores del planeta, etc. Las visiones más optimistas plantean que las TIC representan el progreso absoluto y el remedio para resolver cualquier crisis social o económica (ciberoptimistas o tecnófilos); los pesimistas concluyen que las nuevas tecnologías no tienen suficiente poder transformador (ciberpesimistas o tecnófobos) y que producen más trabas que beneficios; en el medio, muchos entienden que la tecnología es un instrumento más y que el cambio siempre es promovido por el hombre, quien, a su vez, impulsa una u otra tecnología dependiendo de las transformaciones que espere conseguir. La globalización, como telón de fondo, es fundamentalmente un fenómeno económico caracterizado por la libre circulación de capitales entre países, el libre comercio y la superación de los límites geográficos para las empresas transnacionales. Es indispensable considerar, y en el libro lo enfatizamos, que los cambios no son lineales ni mucho Sociedad Red. Estado, Economía y Sociedad en la era de la Información menos inevitables. La tecnología no determina, sino que impulsa y permite transformaciones, pero las mismas responden a relaciones de intercambio y confrontación entre intereses económicos, valores e ideas políticas. En este sentido, la relación entre tecnología y sociedad es la de una constante interinfluencia y adaptación recíproca. En el ámbito del estado, observamos una tensión creciente entre un estado-nación que sigue siendo la base de la legitimidad democrática y el crecimiento de instituciones supranacionales, que se da a la par de la reconfiguración y el incremento del poder de otros actores. El concepto gobernanza ha sido concebido con la idea de explicitar la necesidad de articulación y coordinación entre todos estos actores. Observamos también el nuevo rol de los gobiernos introduciendo tecnología a sus procesos y promoviendo su expansión en áreas clave como la salud o la educación. Asimismo, ante los crecientes indicios de crisis de la democracia representativa, las TIC han permitido pensar en transformaciones que con mayor o menor radicalismo contribuyan a cambiar los gobiernos para incrementar la transparencia o abrir la toma de decisiones a una mayor participación ciudadana. En el recorrido por diversos ámbitos de la sociedad de la información, el volumen muestra como, por ejemplo, la tecnología ha permitido la consolidación de un nuevo modelo de empresa, la empresa red, cuyas características han sido potenciadas por la interconexión global y la digitalización de procesos, lo que ha permitido a las empresas aumentar su productividad y eficiencia. Lo cierto es que las transformaciones técnicas que se han desarrollado en los últimos cincuenta años y que han dado lugar a la red y a los avances en comunicaciones y transportes no han disminuido la desigualdad, sino que han aportado una causa más de diferencia entre ricos y pobres. También los modos de producción han sufrido transformaciones radicales. En un contexto de creciente globalización de mercados, deslocalización de empresas y articulación de las mismas en red, los trabajadores han experimentado cambios en sus relaciones laborales. En el ámbito individual y social hemos observado como la sociedad red se ha constituido como un modelo organizativo y una meta cultural: acceso abierto, libre circulación de información, autogestión, coordinación basada en la 1.Compiladas en www.internetworldstats.com. IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Yanina R.Welp, Agustina Marian Ortiz del Amo 106 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Sociedad Red. Estado, Economía y Sociedad en la era de la Información diversidad y la autonomía. Claro que este nuevo modelo cultural convive con otros modelos y en cierto sentido está fuertemente subyugado a ellos –en particular por los valores del capitalismo. En la sociedad red conviven tanto los efectos potencialmente liberadores de la tecnología, como un creciente control sobre las personas, mientras los valores asociados al dinero y la utilidad siguen siendo dominantes. Aún así, cabe destacar una convivencia conflictiva entre fuerzas de distinto signo que podrían derivar en transformaciones más profundas, por ejemplo, si los movimientos sociales por la justicia global siguen creciendo. Las nuevas tecnologías no han provocado estos cambios, pero contribuyen a fortalecer unas nuevas formas de actuar. Señalábamos más arriba que el desarrollo de la tecnolo- gía ha estado indefectiblemente asociado a los poderes económicos; por tanto se ve más influenciado por estos que por la ciudadanía y, así, se tiende a favorecer aquellas innovaciones que son rentables. Es por este motivo que la intervención de las instituciones públicas debería ser determinante en la protección de la innovación tecnológica como herramienta contra la exclusión social o, por ejemplo, como instrumento de divulgación cultural. El análisis de una sociedad en continua transformación no finaliza. En la obra nos conformamos con haber logrado abordar aspectos fundamentales del paradigma tecnológico aplicado a los tres ámbitos de estudio señalados y también con mostrar viejos y nuevos debates que ayuden a entender qué es la sociedad red. Cita recomendada WELP, Yanina; ORTIZ DEL AMO, Marian (2013). «Reseña del libro Sociedad Red. Estado, Economía y Sociedad en la era de la Información». IDP. Revista de Internet, Derecho y Política. Número 16, pág. 104-108. UOC. [Fecha de consulta: dd/mm/aa] <http://idp.uoc.edu/ojs/index.php/idp/article/view/n16-welp-ortiz/n16-welp-ortiz-es> DOI: http://10.7238/idp.v0i16.1847 Los textos publicados en esta revista están –si no se indica lo contrario– bajo una licencia Reconocimiento-Sin obras derivadas 3.0 España de Creative Commons. Puede copiarlos, distribuirlos y comunicarlos públicamente siempre que cite su autor y la revista y la institución que los publica (IDP. Revista de Internet, Derecho y Política; UOC); no haga con ellos obras derivadas. La licencia completa se puede consultar en http://creativecommons.org/licenses/by-nd/3.0/es/deed.es. . IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Yanina R.Welp, Agustina Marian Ortiz del Amo 107 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Sociedad Red. Estado, Economía y Sociedad en la era de la Información Sobre las autoras Yanina Welp yanina.welp@zda.uzh.ch Directora Regional para América Latina en el Centre for Research on Direct Democracy (C2D), Zentrum für Demokratie Aarau (ZDA)- Universidad de Zúrich Directora regional para América Latina en el Centre for Research on Direct Democracy (C2D), Zentrum für Demokratie Aarau, investigadora asociada en el e-Democracy Center, de la Universidad de Zúrich y coordinadora académica del programa de doctorado The Dynamics of Transcultural Governance and Management in Latin America, Universidad de St. Gallen. Es doctora en Ciencias Políticas y Sociales por la Universidad Pompeu Fabra (UPF) y licenciada en Ciencia Política y en Ciencias de la Comunicación Social, ambas por la Universidad de Buenos Aires (UBA). Ha formado parte de equipos de investigación en el Internet Interdisciplinary Institute (IN3-UOC) (2004-2006), en la UPF (2001-2003) y en la UBA (19971999). Ha publicado extensamente sobre democracia participativa, democracia electrónica, participación ciudadana y mecanismos de democracia directa en revistas especializadas de diferentes países (lista de publicaciones disponible en http://yaninawelp.wordpress.com/publications). Marian Ortiz del Amo e.marianortiz@gmail.com Directora de aplicaciones y soluciones de negocio en la empresa multinacional Giesecke & Devrient Directora de aplicaciones y soluciones de negocio en la empresa multinacional Giesecke & Devrient, donde ejerce su actividad en el ámbito de la optimización de procesos organizativos y el desarrollo de sistemas de información. Dirige un equipo dedicado a la implantación y el desarrollo de sistemas de información de ámbito internacional. Licenciada en Filosofía por la Universidad Autónoma de Madrid (UAM), completó posteriormente estos estudios con los de doctorado de Sociedad de la Información en la Universitat Oberta de Catalunya (UOC). Es máster en Dirección de Sistemas de Información por la UOC. Desde el año 2007 colabora como consultora en la UOC en las asignaturas Sociedad de la información y Sistemas de información en la organización. Zentrum für Demokratie Aarau (ZDA) Villa Blumenhalde Küttigerstrasse 21 CH-5000 Aarau IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jose Yanina R.Welp, Agustina Marian Ortiz del Amo 108 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp RESSENYA Sociedad Red. Estado, Economía y Sociedad en la era de la Información Sociedad Red. Estado, Economía y Sociedad en la era de la Información Marian Ortiz del Amo, Yanina Welp (2013) Editorial UOC ISBN 978-84-9029-957-9 Yanina Welp Directora Regional per a Amèrica Llatina al Centre for Research on Direct Democracy (C2D), Zentrum für Demokratie Aarau (ZDA) – Universitat de Zuric Marian Ortiz del Amo Cap d’aplicacions i solucions de negoci en l’empresa multinacional Giesecke & Devrient Data de presentació: maig de 2013 Data d’acceptació: juny de 2013 Data de publicació: juny de 2013 IDP Número 16 (Juny, 2013) I ISSN 1699-8154 Eloi EloiPuig Puig Yanina Welp, Marian Ortiz del Amo 109 Revista dels Estudis de Dret i Ciència Política Universitat Oberta de Catalunya www.uoc.edu/idp Sociedad Red. Estado, Economía y Sociedad en la era de la Información Resum En el llibre Sociedad Red. Estado, Economía y Sociedad en la era de la Información explorem algunes de les transformacions més rellevants que s’han produït en el pas de la societat industrial (caracteritzada per l’organització jeràrquica, el mode de producció fordista i estructures de participació dominades per partits polítics i sindicats, entre altres) a la societat de la informació o societat xarxa (caracteritzada per l’organització en xarxes, modes de producció flexibles, dinàmiques de participació més directes i l’enorme difusió de les tecnologies de la informació i la comunicació, TIC). Paraules clau societat xarxa, estat, economia, societat Tema: societat xarxa Sociedad Red. Estado, Economía y Sociedad en la era de la Información Abstract The book Sociedad red. Estado, economía y sociedad en la era de la información explores some of the most important transformations that have been produced by the passing from the industrial society (characterized by hierarchical organization, Ford-style production models and participation structures dominated by political parties and unions, among others) to the information or network society (characterized by networked organization, flexible production models, more direct participation dynamics and the massive spread of information and communication technologies, ICTs). Keywords network society, state, economy, society Subject network society IDP Número 16 (Juny, 2013) I ISSN 1699-8154 Eloi EloiPuig Puig Yanina Welp, Marian Ortiz del Amo 110 Revista dels Estudis de Dret i Ciència Política Universitat Oberta de Catalunya www.uoc.edu/idp Sociedad Red. Estado, Economía y Sociedad en la era de la Información En aquest sentit, la relació entre tecnologia i societat és la d’una constant interinfluència i adaptació recíproca. Els orígens del canvi de paradigma es remunten a diferents processos que van confluir en la dècada dels setanta. En particular, esmentem les crisis del petroli (1973-1974 i 1979), que van conduir a la reestructuració del sistema productiu; els avenços de la ciència i la tecnologia que van posar a la disposició dels agents econòmics una sèrie d’eines per a superar la crisi, i la globalització del capital, la producció i el comerç. Els objectius centrals de la reforma de les institucions i la gestió empresarial van ser: 1) mantenir els beneficis, 2) augmentar la productivitat del treball i la rendibilitat del capital i 3) globalitzar la producció i els mercats aprofitant les oportunitats de condicions més avantatjoses en diferents parts del món. Com assenyala el sociòleg Manuel Castells, el suport estatal per a l’augment de la productivitat i la competitivitat de les economies nacionals es va aconseguir sovint en detriment de la protecció social i l’interès públic. En l’àmbit de l’estat, observem una tensió creixent entre un estat-nació que continua essent la base de la legitimitat democràtica i el creixement d’institucions supranacionals, que es dóna paral·lelament a la reconfiguració i l’increment del poder d’altres actors. El concepte governança ha estat concebut amb la idea d’explicitar la necessitat d’articulació i coordinació entre tots aquests actors. Observem també el nou rol dels governs introduint tecnologia als seus processos i promovent la seva expansió en àrees clau com la salut o l’educació. Així mateix, davant els creixents indicis de crisi de la democràcia representativa, les TIC han permès pensar en transformacions que amb més o menys radicalisme contribueixin a canviar els governs per a incrementar la transparència o obrir la presa de decisions a una major participació ciutadana. En l’actualitat, més d’un 30% de la població mundial és usuària d’internet, o sigui, més de 2.200 milions de persones, encara que distribuïdes molt desigualment ja que, per exemple, gairebé el 80% dels habitants de l’Amèrica del Nord en són usuaris, davant del 13% dels africans.1 La fractura digital és la bretxa que separa els individus que tenen accés a les noves tecnologies dels que no en tenen. Aquesta distància es pot mesurar en la relació entre països, entre els ciutadans o les regions d’un mateix estat, entre sectors del planeta, etc. Les visions més optimistes plantegen que les TIC representen el progrés absolut i el remei per a resoldre qualsevol crisi social o econòmica (ciberoptimistes o tecnòfils); els pessimistes conclouen que les noves tecnologies no tenen prou poder transformador (ciberpessimistes o tecnòfobs) i que produeixen més traves que beneficis; al mig, molts entenen que la tecnologia és un instrument més i que el canvi sempre és promogut per l’home, el qual, al seu torn, impulsa una tecnologia o una altra depenent de les transformacions que esperi aconseguir. En el recorregut per diversos àmbits de la societat de la informació, el volum mostra com, per exemple, la tecnologia ha permès la consolidació d’un nou model d’empresa, l’empresa xarxa, les característiques de la qual han estat potenciades per la interconnexió global i la digitalització de processos, cosa que ha permès a les empreses augmentar la seva productivitat i eficiència. La veritat és que les transformacions tècniques que s’han desenvolupat en els últims cinquanta anys i que han donat lloc a la xarxa i als avenços en comunicacions i transports no han disminuït la desigualtat, sinó que han aportat una causa més de diferència entre rics i pobres. També els modes de producció han sofert transformacions radicals. En un context de creixent globalització de mercats, deslocalització d’empreses i la seva articulació en xarxa, els treballadors han experimentat canvis en les seves relacions laborals. En l’àmbit individual i social hem observat com la societat xarxa s’ha constituït com un model organitzatiu i una meta cultural: accés obert, lliure circulació d’informació, autogestió, coordinació basada en la diversitat i l’autonomia. És clar que aquest nou model cultural conviu amb altres models i en cert sentit hi està fortament subjugat –en particular pels valors del capitalisme. En la societat xarxa conviuen tant els efectes potencialment alliberadors de la tecnologia, com un creixent control sobre les persones, mentre que els valors associats als diners i la utilitat continuen essent La globalització, com a teló de fons, és fonamentalment un fenomen econòmic caracteritzat per la lliure circulació de capitals entre països, el lliure comerç i la superació dels límits geogràfics per a les empreses transnacionals. És indispensable considerar, i en el llibre ho emfatitzem, que els canvis no són lineals ni molt menys inevitables. La tecnologia no determina, sinó que impulsa i permet transformacions, però aquestes responen a relacions d’intercanvi i confrontació entre interessos econòmics, valors i idees polítiques. 1.Compilades a www.internetworldstats.com, IDP Número 16 (Juny, 2013) I ISSN 1699-8154 Eloi EloiPuig Puig Yanina Welp, Marian Ortiz del Amo 111 Revista dels Estudis de Dret i Ciència Política Universitat Oberta de Catalunya www.uoc.edu/idp Sociedad Red. Estado, Economía y Sociedad en la era de la Información dominants. Tot i així, cal destacar una convivència conflictiva entre forces de diferent signe que podrien derivar en transformacions més profundes, per exemple, si els moviments socials per la justícia global continuen creixent. Les noves tecnologies no han provocat aquests canvis, però contribueixen a enfortir unes noves maneres d’actuar. Assenyalàvem més amunt que el desenvolupament de la tecnologia ha estat indefectiblement associat als poders econòmics; per tant, es veu més influenciat per aquests poders que per la ciutadania i, així, es tendeix a afavorir les innovacions que són rendibles. És per aquest motiu que la intervenció de les institucions públiques hauria de ser determinant en la protecció de la innovació tecnològica com a eina contra l’exclusió social o, per exemple, com a instrument de divulgació cultural. L’anàlisi d’una societat en contínua transformació no finalitza. En l’obra ens conformem a haver aconseguit abordar aspectes fonamentals del paradigma tecnològic aplicat als tres àmbits d’estudi assenyalats i també a mostrar vells i nous debats que ajudin a entendre què és la societat xarxa. Cita recomanada WELP, Yanina; ORTIZ DEL AMO, Marian (2013). «Ressenya del llibre Sociedad Red. Estado, Economía y Sociedad en la era de la Información». IDP. Revista de Internet, Derecho y Política. Número 16, pàg. 104-113. UOC. [Data de consulta: dd/mm/aa] <http://idp.uoc.edu/ojs/index.php/idp/article/view/n16-welp-ortiz/n16-welp-ortiz-ca> DOI: http://10.7238/idp.v0i16.1847 Els textos publicats en aquesta revista estan –si no s’indica el contrari– sota una llicència Reconeixement-Sense obres derivades 3.0 Espanya de Creative Commons. Pot copiar-los, distribuir-los i comunicar-los públicament sempre que citi el seu autor i la revista i la institució que els publica (IDP. Revista d’Internet, Dret i Política; UOC); no en faci obres derivades. La llicència completa es pot consultar a http://creativecommons.org/licenses/by-nd/3.0/es/deed.es. . IDP Número 16 (Juny, 2013) I ISSN 1699-8154 Eloi EloiPuig Puig Yanina Welp, Marian Ortiz del Amo 112 Revista dels Estudis de Dret i Ciència Política Universitat Oberta de Catalunya www.uoc.edu/idp Sociedad Red. Estado, Economía y Sociedad en la era de la Información Sobre les autores Yanina Welp yanina.welp@zda.uzh.ch Directora Regional per a Amèrica Llatina al Centre for Research on Direct Democracy (C2D), Zentrum für Demokratie Aarau (ZDA) – Universitat de Zuric Directora regional per a l’Amèrica Llatina al Centre for Research on Direct Democracy (C2D), Zentrum für Demokratie Aarau, investigadora associada a l’e-Democracy Center, de la Universitat de Zuric i coordinadora acadèmica del programa de doctorat The Dynamics of Transcultural Governance and Management in Latin America, Universitat de Sant Gallen. És doctora en Ciències Polítiques i Socials per la Universitat Pompeu Fabra (UPF) i llicenciada en Ciència Política i en Ciències de la Comunicació Social, totes dues per la Universitat de Buenos Aires (UBA). Ha format part d’equips de recerca a l’Internet Interdisciplinary Institute (IN3-UOC) (2004-2006), a la UPF (2001-2003) i a la UBA (1997-1999). Ha publicat extensament sobre democràcia participativa, democràcia electrònica, participació ciutadana i mecanismes de democràcia directa en revistes especialitzades de diferents països (llista de publicacions disponible a http://yaninawelp.wordpress.com/publications). Marian Ortiz del Amo e.marianortiz@gmail.com Cap d’aplicacions i solucions de negoci en l’empresa multinacional Giesecke & Devrient Cap d’aplicacions i solucions de negoci en l’empresa multinacional Giesecke & Devrient, on exerceix l’activitat en l’àmbit de l’optimització de processos organitzatius i el desenvolupament de sistemes d’informació. Dirigeix un equip dedicat a la implantació i el desenvolupament de sistemes d’informació d’àmbit internacional. Llicenciada en Filosofia per la Universitat Autònoma de Madrid (UAM), més tard va completar aquests estudis amb els de doctorat de Societat de la Informació a la Universitat Oberta de Catalunya (UOC). És màster en Direcció de Sistemes d’Informació per la UOC. Des de l’any 2007 col·labora de consultora a la UOC en les assignatures Societat de la informació i Sistemes d’informació en l’organització. Zentrum für Demokratie Aarau (ZDA) Villa Blumenhalde Küttigerstrasse 21 CH-5000 Aarau IDP Número 16 (Juny, 2013) I ISSN 1699-8154 Eloi EloiPuig Puig Yanina Welp, Marian Ortiz del Amo 113 Revista dels Estudis de Dret i Ciència Política Universitat Oberta de Catalunya www.uoc.edu/idp Actualidad jurídica Novedades legislativas Jordi García Albero Profesor de los Estudios de Derecho y Ciencia Política de la UOC Normativa estatal Real decreto 1619/2012, de 30 de noviembre, por el que se aprueba el Reglamento por el que se regulan las obligaciones de facturación (BOE 289, 1/12/2012) http://www.boe.es/boe/dias/2012/12/01/pdfs/BOE-A-2012-14696.pdf Real decreto 1657/2012, de 7 de diciembre, por el que se regula el procedimiento de pago de la compensación equitativa por copia privada con cargo a los Presupuestos Generales del Estado (BOE 295, 8/12/2012) http://www.boe.es/boe/dias/2012/12/08/pdfs/BOE-A-2012-14904.pdf Ley 13/2012, de 26 de diciembre, de lucha contra el empleo irregular y el fraude a la Seguridad Social (BOE 311, 27/12/2012) http://www.boe.es/boe/dias/2012/12/27/pdfs/BOE-A-2012-15596.pdf Ley 12/2012, de 26 de diciembre, de medidas urgentes de liberalización del comercio y de determinados servicios (BOE 311, 27/12/2012) http://www.boe.es/boe/dias/2012/12/27/pdfs/BOE-A-2012-15595.pdf Orden PRE/199/2013, de 29 de enero, por la que se define el formato de entrega de los datos conservados por los operadores de servicios de comunicaciones electrónicas o de redes públicas de comunicaciones a los agentes facultados (BOE 40, 15/02/2013) http://www.boe.es/boe/dias/2013/02/15/pdfs/BOE-A-2013-1591.pdf Real decreto-ley 4/2013, de 22 de febrero, de medidas de apoyo al emprendedor y de estímulo del crecimiento y de la creación de empleo (BOE 47 23/2/2013) http://www.boe.es/boe/dias/2013/02/23/pdfs/BOE-A-2013-2030.pdf Orden ESS/485/2013, de 26 de marzo, por la que se regulan las notificaciones y comunicaciones por medios electrónicos en el ámbito de la Seguridad Social (BOE 75, 28/3/2013) http://www.boe.es/boe/dias/2013/03/28/pdfs/BOE-A-2013-3363.pdf IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jordi García Albero 114 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Novedades Legislativas Legislación, documentos y actos preparatorios comunitarios Dictamen del Comité de las Regiones - Revisión de la Directiva relativa a la reutilización de la información del sector público y los datos abiertos (DOUE C 391, 18/12/2012) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2012:391:0120:0126:ES:PDF Dictamen del Comité de las Regiones - Paquete sobre la protección de datos (DOUE C 391, 18/12/2012) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2012:391:0127:0133:ES:PDF Dictamen del Comité de las Regiones - Paquete en materia de contratación pública (2012/C 391/09) (DOUE C 391, 18/12/2012) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2012:391:0049:0083:ES:PDF Conclusiones del Consejo de 26 de noviembre de 2012 relativas a la Estrategia europea en favor de una internet más adecuada para los niños (2012/C 393/04) (DOUE L 349, 19-12-2012) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2012:393:0011:0014:ES:PDF Recomendación de la Comisión, de 12 de diciembre de 2012, relativa al procedimiento de notificación previsto en el artículo 22, apartado 3, de la Directiva 2002/22/CE del Parlamento Europeo y del Consejo relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas (DOUE L 349, 19-12-2012) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2012:349:0072:0076:ES:PDF Dictamen del Comité Económico y Social Europeo sobre la «Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones - Estrategia en pos de la contratación pública electrónica» (DOUE C 11, 15/1/2013) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2013:011:0044:0048:ES:PDF Resumen Ejecutivo del Dictamen del Supervisor Europeo de Protección de Datos sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado (Reglamento de los servicios de confianza electrónicos) (DOUE C 28, 30-1-2013) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2013:028:0006:0008:ES:PDF Dictamen del Comité Económico y Social Europeo sobre la Propuesta de directiva del Parlamento Europeo y del Consejo relativa a la gestión colectiva de los derechos de autor y derechos afines y a la concesión de licencias multiterritoriales de derechos sobre obras musicales para su utilización en línea en el mercado interior [COM(2012) 372 final - 2012/0180 (COD)] (DOUE C 44, 15/2/2013) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2013:044:0104:0108:ES:PDF Dictamen del Comité Económico y Social Europeo sobre la Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones - Liberar el potencial de la computación en nube en Europa [COM(2012) 529 final] (DOUE C 76, 14/3/2013) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2013:076:0059:0065:ES:PDF Dictamen del Comité Económico y Social Europeo sobre el Libro Verde «Un mercado integrado de los servicios de entrega para impulsar el comercio electrónico en la UE» [COM(2012) 698 final] (DOUE C 161, 6/6/2013) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2013:161:0060:0063:ES:PDF IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jordi García Albero 115 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Reglamento (UE) n.º 524/2013 del Parlamento Europeo y del Consejo de 21 de mayo de 2013 sobre resolución de litigios en línea en materia de consumo y por el que se modifica el Reglamento (CE) n.º 2006/2004 y la Directiva 2009/22/CE (DOUE L 165, 18/6/2013) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2013:165:0001:0012:ES:PDF Reglamento (UE) n.º 611/2013 de la Comisión, de 24 de junio de 2013, relativo a las medidas aplicables a la notificación de casos de violación de datos personales en el marco de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo sobre la privacidad y las comunicaciones electrónicas (DOUE L 173, 26/6/2013) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2013:173:0002:0008:ES:PDF Directiva 2013/37/UE, del Parlamento Europeo y del Consejo de 26 de junio de 2013, por la que se modifica la Directiva 2003/98/CE relativa a la reutilización de la información del sector público (DOUE L 175, 27/6/2013) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2013:175:0001:0008:ES:PDF Directiva 2013/40/UE del Parlamento Europeo y del Consejo, de 12 de agosto de 2013, relativa a los ataques contra los sistemas de información y por la que se sustituye la Decisión marco 2005/222/JAI del Consejo (DOUE L 218, 14/8/2013) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2013:218:0008:0014:ES:PDF Resumen del Dictamen del Supervisor Europeo de Protección de Datos sobre la Comunicación de la Comisión «Liberar el potencial de la computación en nube en Europa» (DOUE C 253, 3/9/2013) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2013:253:0003:0007:ES:PDF Reglamento (UE) n.º 859/2013 de la Comisión, de 5 de septiembre de 2013, por el que se aplica el Reglamento (CE) n.º 808/2004 del Parlamento Europeo y del Consejo, relativo a estadísticas comunitarias de la sociedad de la información (DOUE L 238, 6/9/2013) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2013:238:0005:0020:ES:PDF Resolución del Parlamento Europeo, de 20 de abril de 2012, sobre un mercado único digital competitivo – la administración electrónica como factor puntero (2011/2178(INI)) (DOUE C 258, 7/9/2013) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2013:258E:0064:0074:ES:PDF Dictamen del Comité Económico y Social Europeo sobre la Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones «Hacia un marco europeo global para los juegos de azar en línea» [COM(2012) 596 final] (DOUE C 271, 19/9/2013) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2013:271:0048:0054:ES:PDF Dictamen del Comité Económico y Social Europeo sobre la Propuesta de Directiva del Parlamento Europeo y del Consejo sobre la accesibilidad de los sitios web de los organismos del sector público [COM(2012) 721 final – 2012/0340 (COD)] (DOUE C 271, 19/9/2013) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2013:271:0116:0121:ES:PDF Dictamen del Comité Económico y Social Europeo sobre la Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones «Plan de acción sobre la salud electrónica 2012-2020: atención sanitaria innovadora para el siglo xxi» [COM(2012) 736 final] (DOUE C 271, 19/9/2013) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2013:271:0122:0126:ES:PDF IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jordi García Albero 116 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Novedades Legislativas Dictamen del Comité Económico y Social Europeo sobre la Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones «La Agenda Digital para Europa – Motor del crecimiento europeo» [COM(2012) 784 final] (DOUE C 271, 19/9/2013) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2013:271:0127:0132:ES:PDF Dictamen del Comité Económico y Social Europeo sobre la Propuesta de Directiva del Parlamento Europeo y del Consejo relativa a medidas para garantizar un elevado nivel común de seguridad de las redes y de la información en la Unión [COM(2013) 48 final -2013/0027 (COD)] (DOUE C 271, 19/9/2013) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2013:271:0133:0137:ES:PDF Dictamen del Comité de las Regiones – Estrategia de ciberseguridad (DOUE C 280, 27/9/2013) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2013:280:0019:0026:ES:PDF Dictamen del Comité de las Regiones – Plan de acción sobre la salud electrónica 2012-2020 – Atención sanitaria innovadora para el siglo xxi (DOUE C 280, 27/9/2013) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2013:280:0033:0037:ES:PDF Cita recomendada GARCÍA ALBERO, Jordi (2013). «Actualidad jurídica». IDP. Número 16, pág. 114-117. UOC. [Fecha de consulta: dd/mm/aa] <http://idp.uoc.edu/ojs/index.php/idp/article/view/n16-actualidad-juridica/n16-actualidad-juridicaes> DOI: http://10.7238/idp.v0i16.1889 Los textos publicados en esta revista están –si no se indica lo contrario– bajo una licencia Reconocimiento-Sin obras derivadas 3.0 España de CreativeCommons. Puede copiarlos, distribuirlos y comunicarlos públicamente siempre que cite su autor y la revista y la institución que los publica (; UOC); no haga con ellos obras derivadas. La licencia completa se puede consultar en http://creativecommons.org/licenses/by-nd/3.0/es/deed.es. IDP Número 16 (Junio, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jordi García Albero 117 Revista de los Estudios de Derecho y Ciencia Política Universitat Oberta de Catalunya www.uoc.edu/idp Actualitat jurídica Novetats legislatives Jordi García Albero Professor dels Estudis de Dret i Ciència Política de la UOC Normativa estatal Reial decret 1619/2012, de 30 de novembre, pel qual s’aprova el Reglament pel qual es regulen les obligacions de facturació (BOE 289, 1/12/2012) http://www.boe.es/boe/dias/2012/12/01/pdfs/BOE-A-2012-14696.pdf Reial decret 1657/2012, de 7 de desembre, pel qual es regula el procediment de pagament de la compensació equitativa per còpia privada amb càrrec als Pressupostos Generals de l’Estat (BOE 295, 8/12/2012) http://www.boe.es/boe/dias/2012/12/08/pdfs/BOE-A-2012-14904.pdf Llei 13/2012, de 26 de desembre, de lluita contra l’ocupació irregular i el frau a la Seguretat Social (BOE 311, 27/12/2012) http://www.boe.es/boe/dias/2012/12/27/pdfs/BOE-A-2012-15596.pdf Llei 12/2012, de 26 de desembre, de mesures urgents de liberalització del comerç i de determinats serveis (BOE 311, 27/12/2012) http://www.boe.es/boe/dias/2012/12/27/pdfs/BOE-A-2012-15595.pdf Ordre PRE/199/2013, de 29 de gener, per la qual es defineix el format de lliurament de les dades conservades pels operadors de serveis de comunicacions electròniques o de xarxes públiques de comunicacions als agents facultats (BOE 40, 15/02/2013) http://www.boe.es/boe/dias/2013/02/15/pdfs/BOE-A-2013-1591.pdf Reial decret-llei 4/2013, de 22 de febrer, de mesures de suport a l’emprenedor i d’estímul del creixement i de la creació d’ocupació (BOE 47 23/2/2013) http://www.boe.es/boe/dias/2013/02/23/pdfs/BOE-A-2013-2030.pdf Ordre ESS/485/2013, de 26 de març, per la qual es regulen les notificacions i comunicacions per mitjans electrònics en l’àmbit de la Seguretat Social (BOE 75, 28/3/2013) http://www.boe.es/boe/dias/2013/03/28/pdfs/BOE-A-2013-3363.pdf IDP Número 16 (Juny, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jordi García Albero 118 Revista dels Estudis de Dret i Ciència Política Universitat Oberta de Catalunya www.uoc.edu/idp Novetats Legislatives Legislació, documents i actes preparatoris comunitaris Dictamen del Comitè de les Regions - Revisió de la Directiva relativa a la reutilització de la informació del sector públic i les dades obertes (DOUE C 391, 18/12/2012) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2012:391:0120:0126:ES:PDF Dictamen del Comitè de les Regions - Paquet sobre la protecció de dades (DOUE C 391, 18/12/2012) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2012:391:0127:0133:ES:PDF Dictamen del Comitè de les Regions - Paquet en matèria de contractació pública (2012/C 391/09) (DOUE C 391, 18/12/2012) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2012:391:0049:0083:ES:PDF Conclusions del Consell de 26 de novembre de 2012 relatives a l’Estratègia europea en favor d’una internet més adequada per als nens (2012/C 393/04) (DOUE L 349, 19-12-2012) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2012:393:0011:0014:ES:PDF Recomanació de la Comissió, de 12 de desembre de 2012, relativa al procediment de notificació previst en l’article 22, apartat 3, de la Directiva 2002/22/CE del Parlament Europeu i del Consell relativa al servei universal i els drets dels usuaris amb relació a les xarxes i els serveis de comunicacions electròniques (DOUE L 349, 19-12-2012) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2012:349:0072:0076:ES:PDF Dictamen del Comitè Econòmic i Social Europeu sobre la «Comunicació de la Comissió al Parlament Europeu, al Consell, al Comitè Econòmic i Social Europeu i al Comitè de les Regions - Estratègia a favor de la contractació pública electrònica» (DOUE C 11, 15/1/2013) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2013:011:0044:0048:ES:PDF Resum Executiu del Dictamen del Supervisor Europeu de Protecció de Dades sobre la proposta de Reglament del Parlament Europeu i del Consell relatiu a la identificació electrònica i els serveis de confiança per a les transaccions electròniques al mercat (Reglament dels serveis de confiança electrònics) (DOUE C 28, 30-1-2013) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2013:028:0006:0008:ES:PDF Dictamen del Comitè Econòmic i Social Europeu sobre la Proposta de directiva del Parlament Europeu i del Consell relativa a la gestió col·lectiva dels drets d’autor i drets afins i a la concessió de llicències multiterritorials de drets sobre obres musicals per a la seva utilització en línia al mercat interior [COM(2012) 372 final - 2012/0180 (COD)] (DOUE C 44, 15/2/2013) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2013:044:0104:0108:ES:PDF Dictamen del Comitè Econòmic i Social Europeu sobre la Comunicació de la Comissió al Parlament Europeu, al Consell, al Comitè Econòmic i Social Europeu i al Comitè de les Regions - Alliberar el potencial de la computació en núvol a Europa [COM(2012) 529 final] (DOUE C 76, 14/3/2013) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2013:076:0059:0065:ES:PDF Dictamen del Comitè Econòmic i Social Europeu sobre el Llibre Verd «Un mercat integrat dels serveis de lliurament per impulsar el comerç electrònic a la UE». [COM(2012) 698 final] (DOUE C 161, 6/6/2013) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2013:161:0060:0063:ES:PDF IDP Número 16 (Juny, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jordi García Albero 119 Revista dels Estudis de Dret i Ciència Política Universitat Oberta de Catalunya www.uoc.edu/idp Reglament (UE) núm. 524/2013 del Parlament Europeu i del Consell de 21 de maig de 2013 sobre resolució de litigis en línia en matèria de consum i pel qual es modifica el Reglament (CE) núm. 2006/2004 i la Directiva 2009/22/CE (DOUE L 165, 18/6/2013) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2013:165:0001:0012:ES:PDF Reglament (UE) núm. 611/2013 de la Comissió, de 24 de juny de 2013, relatiu a les mesures aplicables a la notificació de casos de violació de dades personals en el marc de la Directiva 2002/58/CE del Parlament Europeu i del Consell sobre la privadesa i les comunicacions electròniques (DOUE L 173, 26/6/2013) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2013:173:0002:0008:ES:PDF Directiva 2013/37/UE del Parlament Europeu i del Consell, de 26 de juny de 2013, per la qual es modifica la Directiva 2003/98/CE relativa a la reutilització de la informació del sector públic (DOUE L 175, 27/6/2013) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2013:175:0001:0008:ES:PDF Directiva 2013/40/UE del Parlament Europeu i del Consell, de 12 d’agost de 2013, relativa als atacs contra els sistemes d’informació i per la qual se substitueix la Decisió marc 2005/222/JAI del Consell (DOUE L 218, 14/8/2013) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2013:218:0008:0014:ES:PDF Resum del Dictamen del Supervisor Europeu de Protecció de Dades sobre la Comunicació de la Comissió «Alliberar el potencial de la computació en núvol a Europa» (DOUE C 253, 3/9/2013) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2013:253:0003:0007:ES:PDF Reglament (UE) núm. 859/2013 de la Comissió, de 5 de setembre de 2013, pel qual s’aplica el Reglament (CE) núm. 808 /2004 del Parlament Europeu i del Consell, relatiu a estadístiques comunitàries de la societat de la informació (DOUE L 238, 6/9/2013) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2013:238:0005:0020:ES:PDF Resolució del Parlament Europeu, de 20 d’abril de 2012, sobre un mercat únic digital competitiu - l’administració electrònica com a factor capdavanter (2011/2178 (INI)) (DOUE C 258, 7/9/2013) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2013:258E:0064:0074:ES:PDF Dictamen del Comitè Econòmic i Social Europeu sobre la Comunicació de la Comissió al Parlament Europeu, al Consell, al Comitè Econòmic i Social Europeu i al Comitè de les Regions «Cap a un marc europeu global per als jocs d’atzar en línia» [COM(2012) 596 final] (DOUE C 271, 19/9/2013) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2013:271:0048:0054:ES:PDF Dictamen del Comitè Econòmic i Social Europeu sobre la Proposta de Directiva del Parlament Europeu i del Consell sobre l’accessibilitat dels llocs web dels organismes del sector públic [COM(2012) 721 final – 2012/0340 (COD)] (DOUE C 271, 19/9/2013) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2013:271:0116:0121:ES:PDF Dictamen del Comitè Econòmic i Social Europeu sobre la Comunicació de la Comissió al Parlament Europeu, al Consell, al Comitè Econòmic i Social Europeu i al Comitè de les Regions «Pla d’acció sobre la salut electrònica 2012-2020: atenció sanitària innovadora per al segle xxi» [COM(2012) 736 final] (DOUE C 271, 19/9/2013) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2013:271:0122:0126:ES:PDF IDP Número 16 (Juny, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jordi García Albero 120 Revista dels Estudis de Dret i Ciència Política Universitat Oberta de Catalunya www.uoc.edu/idp Novetats Legislatives Dictamen del Comitè Econòmic i Social Europeu sobre la Comunicació de la Comissió al Parlament Europeu, al Consell, al Comitè Econòmic i Social Europeu i al Comitè de les Regions «L’Agenda Digital per a Europa – Motor del creixement europeu» [COM(2012) 784 final] (DOUE C 271, 19/9/2013) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2013:271:0127:0132:ES:PDF Dictamen del Comitè Econòmic i Social Europeu sobre la Proposta de Directiva del Parlament Europeu i del Consell relativa a mesures per a garantir un elevat nivell comú de seguretat de les xarxes i de la informació a la Unió [COM(2013) 48 final -2013/0027 (COD)] (DOUE C 271, 19/9/2013) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2013:271:0133:0137:ES:PDF Dictamen del Comitè de les Regions – Estratègia de ciberseguretat (DOUE C 280, 27/9/2013) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2013:280:0019:0026:ES:PDF Dictamen del Comitè de les Regions – Pla d’acció sobre la salut electrònica 2012-2020 – Atenció sanitària innovadora per al segle xxi (DOUE C 280, 27/9/2013) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2013:280:0033:0037:ES:PDF Citació recomanada GARCÍA ALBERO, Jordi (2013). «Actualitat jurídica». IDP. Revista d’Internet, Dret i Política. Número 16, pàg. 118-121. UOC. [Data de consulta: dd/mm/aa] <http://idp.uoc.edu/ojs/index.php/idp/article/view/n16-actualitat-juridica/n16-actualitat-juridicaca> DOI: http://10.7238/idp.v0i16.1889 Els textos publicats en aquesta revista estan –si no s’indica el contrari– sota una llicencia Reconeixement-Sense obres derivades 3.0 Espanya de Creative Commons. Pot copiar-los, distribuir-los i comunicar-los públicament sempre que citi el seu autor i la revista i la institució que els publica (IDP. Revista d’Internet, Dret i Política; UOC); no en faci obres derivades. La llicència completa es pot consultar a http://creativecommons. org/licenses/by-nd/3.0/es/deed.es. IDP Número 16 (Juny, 2013) I ISSN 1699-8154 EloiPuig Puig Eloi Jordi García Albero 121 Revista dels Estudis de Dret i Ciència Política