2.1 Planteamiento

El artículo 197 quinquies CP establece para el hacking y los delitos contra la intimidad que “Cuando de acuerdo con lo establecido en el artículo 31 bis una persona jurídica sea responsable de los delitos comprendidos en los artículos 197, 197 bis y 197 ter, se le impondrá la pena de multa de seis meses a dos años. Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribunales podrán asimismo imponer las penas recogidas en las letras b) a g) del apartado 7 del artículo 33”.

En el mismo sentido se refiere el Código Penal a los daños informáticos en su artículo 264 quater (“Cuando de acuerdo con lo establecido en el artículo 31 bis una persona jurídica sea responsable de los delitos comprendidos en los tres artículos anteriores, se le impondrán las siguientes penas ...”), en el artículo 251 bis a las estafas (“Cuando de acuerdo con lo establecido en el artículo 31 bis una persona jurídica sea responsable de los delitos comprendidos en esta Sección, se le impondrán las siguientes penas ...”), 189 ter a la pornografía infantil (“Cuando de acuerdo con lo establecido en el artículo 31 bis una persona jurídica sea responsable de los delitos comprendidos en este Capítulo, se le impondrán las siguientes penas ...”), 288, párrafo segundo, a la piratería digital (“Cuando de acuerdo con lo establecido en el artículo 31 bis una persona jurídica sea responsable de los delitos recogidos en este Capítulo, se le impondrán las siguientes penas ...”) o en el artículo 510 bis ("Cuando de acuerdo con lo establecido en el artículo 31 bis una persona jurídica sea responsable de los delitos comprendidos en los dos artículos anteriores, se le impondrá la pena ...").

De esta forma, los preceptos se remiten al artículo 31 bis para determinar cuándo una persona jurídica puede ser responsable por estos ciberdelitos, y el apartado 1 de este artículo se ocupa de delimitar la responsabilidad de las personas jurídicas en dos supuestos distintos relativos a su propio beneficio:

Por tanto, podemos distinguir una doble vía de imputación33, es decir, dos tipos de comportamientos que pueden motivar la responsabilidad penal de la persona moral: (i) conductas en nombre o por cuenta de ella, por parte de sus representantes legales o quienes están autorizados para tomar decisiones o tienen facultades de organización y control; y (ii) en los supuestos en que se ejercitan actividades sociales y por cuenta de la persona jurídica, por quienes están sometidos a la autoridad de las personas anteriores.

Como indica DOPICO GÓMEZ-ALLER34, se trata de incentivar que las personas jurídicas asuman una autoorganización para impedir modelos delictivos con el fin de lograr sus objetivos sociales, intentando así que la persona jurídica sea quien adopte las medidas para investigar y evitar las conductas que le puedan favorecer pero que sean delictivas.

En este sentido, la estructura compleja de las empresas dificultaba la investigación de los delitos cometidos en su seno o desplazaba la responsabilidad hacia niveles inferiores. También era posible, como apunta NIETO MARTÍN35, que los presuntos delitos cometidos por la empresa tuvieran lugar bajo el mandato de administradores que han cesado en sus funciones. Por ello, se intenta evitar su impunidad y, además de la previsión de una pena, se obliga a las sociedades a asumir determinadas medidas, actuando también desde el plano preventivo36.

En consecuencia, resultaba necesario introducir esta responsabilidad penal en nuestra legislación, ya que en algunos casos nos encontramos ante delitos complejos de nuevo cuño, como en el hacking, y en todos ellos continuamente se modifican o perfeccionan las técnicas de ejecución, resultando difícil su prevención y persecución por el Estado. Así, en estos casos parecen plenamente válidos los argumentos expuestos por NIETO MARTÍN37 y seguidos por RIVAS VERDES-MONTEGRO38 para justificar la responsabilidad penal de la persona jurídica en general, como son:

De esta forma, parece razonable castigar a las personas jurídicas también en este ámbito y forzar al sector empresarial a adoptar medidas preventivas en materia de delincuencia informática, atendido el incremento y acelerado desarrollo de las nuevas tecnologías y las nuevas formas de ciberdelitos que dificultan su persecución. Como indica MORILLAS CUEVA39, los avances de naturaleza económica, social o tecnológica en el marco de la globalización dan lugar a novedosas formas de sociedades y con ellas también nuevas formas de cometer delitos, razón por la cual la estructura penal requiere de nuevos instrumentos en la lucha contra esta nueva delincuencia.

Con este planteamiento, procede determinar qué se entiende por “persona jurídica” en relación con las conductas que nos ocupan y delimitar quiénes deben llevar a cabo estos comportamientos para que nos encontremos en los supuestos de los artículos 197 quinquies, 264 quater, 251 bis, 189 ter, 288 o 510 bis del CP.

2.2 Aproximación al concepto de persona jurídica en los ciberdelitos

Aunque no constituye el objeto del presente artículo el concepto de las personas jurídicas ni su responsabilidad penal general, a efectos de premisa conviene tener presente que tanto la DM 2005/222/JAI en su artículo 1, como la Directiva 2013/40/UE en su artículo 2, definen a la persona jurídica de forma similar, como “toda entidad a la cual el derecho vigente reconoce este estatuto, salvo los Estados y otros organismos públicos que ejercen prerrogativas estatales y las organizaciones internacionales de derecho público”, si bien la Directiva cambia el término “prerrogativas estatales” por “prerrogativas públicas”, matiz que en el plano teórico tiene trascendencia en nuestro ordenamiento, por cuanto pueden existir prerrogativas dimanantes de las Comunidades Autónomas o entidades locales, y al tratarse de prerrogativas igualmente públicas, tras la Directiva 2013/40/UE, también quedarían excluidas de la consideración de personas jurídicas. Así, si pensamos en el ejercicio de las competencias que puede asumir una Comunidad Autónoma conforme al artículo 148 CE, p.ej. en materia de Policía autonómica, o la Administración municipal o provincial según el artículo 3 del Real Decreto 2568/1986, de 28 de noviembre, por el que se aprueba el Reglamento de Organización, Funcionamiento y Régimen Jurídico de las Entidades Locales, p.ej. en la contratación de servicios de su interés, el concepto de la Directiva también excluiría a estas Administraciones de la consideración de persona jurídica, por lo que no sería posible exigir su responsabilidad penal por los ciberdelitos llevados a cabo por sus funcionarios.

Por su parte, el legislador español no ha incluido un concepto que, obviamente, como indica DE LA CUESTA40, deberá ser más amplio que el establecido en el artículo 297 del CP41, referido sólo a la sociedad y a los delitos societarios. En nuestro ordenamiento interno más bien se ha optado con la LO 5/2010 y con la LO 1/2015 por hacer una remisión al artículo 31 bisdel CP, si bien tras la reforma de 2015 el precepto se ha visto desgranado en los nuevos artículos 31 bis, 31 ter, 31 quater y 31 quinquies. Ninguna de estas disposiciones establece un concepto positivo de persona jurídica, por lo que parece lógico seguir la definición contenida en los citados instrumentos internacionales que les sirven de fundamento. No obstante, el artículo 31 quinquies se ocupa de incluir una definición negativa para excluir a determinadas personas jurídicas del ámbito de la responsabilidad penal, que podemos incluir en dos grupos:

En este sentido, la FGE ha considerado en su Circular 1/201642 que “Debe entenderse que el ejercicio de potestades públicas de soberanía o administrativas, por su tenor literal, resulta aplicable solo a las administraciones públicas y no a entes de naturaleza asociativa privada, como los Colegios profesionales, las Cámaras de comercio, los sindicatos o los propios partidos políticos”. Por tanto, a criterio de la FGE debe realizarse una interpretación restrictiva del precepto, posición que resulta coherente con el principio de legalidad.

Por otra parte, estas exclusiones parecen plenamente justificadas si atendemos a que resultaría absurdo que el Estado impusiera sanciones a sus propios organismos por un ciberdelito llevado a cabo por sus funcionarios para así dar cumplimiento a sus fines. Tampoco constituye el objeto del presente trabajo el análisis de los fines de la pena, por lo que siguiendo a DOPICO GÓMEZ-ALLER43, nos limitamos en este punto a señalar que el Estado no necesita sancionar a sus entidades para cumplir con sus fines de prevención general y especial44.

A ello se añade que, frente a la originaria redacción del artículo 31 bis por la LO 5/2010, con el nuevo texto ya no quedan excluidos los “partidos políticos y sindicatos”45, derogados por la LO 7/201246, ni las “sociedades mercantiles Estatales”, referencia que ha sido suprimida por la LO 1/2015.

Por tanto, al no quedar apartados del régimen de responsabilidad penal las citadas entidades y organizaciones, se han eliminado, por una parte, las referencias a los partidos políticos y sindicatos, donde se habían dado supuestos de irregularidades en su financiación y en materia electoral. Según dispone el apartado II del Preámbulo de la LO 7/2012:

También se ha excluido a las sociedades mercantiles Estatales, cuya falta de responsabilidad penal tenía difícil justificación, por cuanto precisamente estas sociedades, por huir del régimen administrativo47, exigían un mayor control por parte del Estado en materia delictiva48.

En consecuencia, tras la LO 1/2015 es posible la exigencia de responsabilidad penal por hacking, daños informáticos, ciberfraudes, pornografía infantil, piratería digital o cyberhate a los partidos políticos, sindicatos o sociedades mercantiles Estatales. Al respecto, interpreta la citada Circular 1/2016 de la FGE que la responsabilidad de los partidos políticos y sindicatos se extiende a “a las fundaciones y entidades con personalidad jurídica a ellos vinculados” y que los partidos políticos deben establecer programas de prevención en lo que respecta a su financiación49.

Esta nueva inclusión de los partidos políticos, con la posibilidad de su imputación e incluso su condena con las penas del artículo 33.7, apartados b) a g)50 al que se remiten los artículos 197 quinquies, 264 quater, 251 bis, 189 ter, 288 o 510 bis51, puede tener graves consecuencias, como indican CAMACHO VIZCAÍNO y CORTÉS LABADÍA52, no sólo para el funcionamiento del partido, sino para la estructura institucional del país, en la medida en que el artículo 6 de la CE establece que “expresan el pluralismo político, concurren a la formación y manifestación de la voluntad popular y son instrumento fundamental para la participación política” y la Exposición de Motivos de la LO 6/2002, de 27 de junio, de Partidos Políticos dispone en su apartado I que “forman parte esencial de la arquitectura constitucional, realizan funciones de una importancia constitucional primaria”. Por ejemplo, en la hipótesis de que fuese declarado responsable penal de un delito de hacking el partido político gobernante del país, porque alguno de sus representantes hubiese accedido al sistema informático de un partido de la oposición, actuando por cuenta del partido gobernante, la posibilidad de que se le condenase a su disolución o los efectos en la organización parlamentaria, provocaría unas consecuencias imprevisibles a todos los niveles institucionales y dejarían de ser atendidas las citadas funciones constitucionales.

En el mismo sentido podemos entender la trascendencia que supondría para el sistema económico, político o social, las penas de disolución, suspensión de actividades o clausura previstas, entre otras, en el citado artículo 33.7 del CP si se aplicasen a los sindicatos, que también tienen declarada constitucionalmente la función de contribuir “a la defensa y promoción de los intereses económicos y sociales que les son propios” (artículo 7 de la CE). El hecho de que por ejemplo se disolvieran CCOO o UGT, por haber accedido por cuenta de ellos alguno de sus empleados de forma ilícita a un sistema informático, dejaría sin representación sindical a la mayoría de trabajadores del país y se imposibilitaría la función de cumplir los fines constitucionales de ese sindicato.

Y otro tanto cabe decir de las sociedades mercantiles Estatales53, en las que participa el patrimonio de la Administración General del Estado, por cuanto las consecuencias penales en el caso de que por su cuenta se cometiese alguno de los citados ciberdelitos se podrían traducir en pérdidas económicas para todos los ciudadanos. El hecho de que, por ejemplo, las empresas estatales Museo Nacional del Prado Difusión SA54, Paradores de Turismo de España SA55 o Sociedad Estatal Correos y Telégrafos SA56, fuesen disueltas, supondría de forma inmediata, entre otros efectos, el cese en la comercialización de productos y publicaciones del Museo Nacional del Prado, en la gestión de los paradores turísticos o en un servicio tan básico como las comunicaciones a través de Correos.

En este sentido, el artículo 115 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, dispone:

Esto nos lleva a plantearnos si es lógico que el Estado imponga sanciones a las empresas en las que participa con el patrimonio público57. Precisamente, por la actuación de las personas que nombra y por las que responde, es decir, responder penalmente como consecuencia de la actuación de individuos que por cuenta de esas sociedades mercantiles hubieran cometido alguno de estos ciberdelitos, haciendo responsable también a la Administración General del Estado por la falta de los modelos de prevención y control que veremos en el siguiente subepígrafe. Todo ello por cuanto, siguiendo el criterio indicado de DOPICO GÓMEZ-ALLER, la finalidad de que el artículo 31 quinquies del CP excluya a determinadas personas jurídicas de la responsabilidad penal se encontraría en que el Estado no necesita la sanción de sus entidades para cumplir con sus fines.

Los citados inconvenientes en la condena a los partidos políticos, sindicatos o sociedades mercantiles Estatales por estas conductas, supone traer a colación los mismos motivos por los cuales habían quedado excluidos de responsabilidad penal con la LO 5/2010. Esas razones son expuestas desde dos puntos de vista, el exterior y el interior de los partidos políticos o sindicatos, por ZUGALDÍA ESPINAR58.

Así, cuando actúan “hacia el exterior”, lo harían para atender a sus fines constitucionales, de forma que si se exigiera su responsabilidad penal podría peligrar la división de poderes, pudiendo imponerse el “gobierno de los jueces”, y se privaría a la sociedad de esas funciones que cumplen las citadas personas jurídicas.

Distinta es la actuación de estas entidades “hacia el interior”, es decir, en lo relativo a su actividad interna, donde deben responder ante las distintas jurisdicciones por su gestión, razón por la cual también resulta coherente que tenga que hacerlo conforme a la normativa penal, por no haber realizado un adecuado control para prevenir que sus individuos lleven a cabo un acceso ilícito a un sistema informático ajeno, causen daños informáticos, cometan ciberfraudes, o realicen conductas relativas a pornografía infantil o piratería digital. De esta forma, la inclusión de su responsabilidad penal de los partidos políticos y sindicatos tras la LO 7/2012, según el apartado I de su Preámbulo “se corresponde con el reforzamiento de la transparencia de la actividad de la administración y del régimen de responsabilidad de partidos políticos y sindicatos”.

Y estos argumentos “hacia el exterior” me parecen igualmente válidos para las sociedades mercantiles Estatales, a quienes también se asignan funciones constitucionales o de interés público, por lo que en principio puede considerarse coherente que no puedan ser castigadas por un ciberdelito llevado a cabo por alguno de sus funcionarios, ya que no parece acertado que el Estado se castigue a sí mismo, o bien si atendemos al principio de división de poderes, o porque el sujeto que realizase estas conductas lo haría con alguna finalidad ajena a reportar ilegalmente un beneficio al interés general. Distinta es la gestión “hacia el interior” de estas sociedades, donde también responden ante las distintas jurisdicciones y conforme a las correspondientes normativas civiles, laborales o administrativas, con ciertas peculiaridades59, por lo que parece razonable que respondan, también con determinadas cautelas, cuando no se adoptan las medidas adecuadas para la prevención de las conductas delictivas que nos ocupan, al ser cometidas por sus funcionarios. Posiblemente estos son los motivos que han llevado al legislador a introducir su responsabilidad con la reforma del año 2015. Precisamente, por la singularidad que presentan las sociedades mercantiles Estatales, es por lo que se decidió incluir con la LO 1/2015 “el régimen de responsabilidad penal a las sociedades mercantiles estatales que ejecuten políticas públicas o presten servicios de interés económico general, a las que se podrán imponer las sanciones actualmente previstas en las letras a) y g) del apartado 7 del artículo 33 del Código Penal” (Preámbulo III). Y el reformado artículo 31 quinquies CP establece en su apartado 2 que las sociedades mercantiles Estatales “que ejecuten políticas públicas o presten servicios de interés económico general, solamente les podrán ser impuestas las penas previstas en las letras a) y g) del apartado 7 del artículo 33”, si bien, según continúa, “Esta limitación no será aplicable cuando el juez o tribunal aprecie que se trata de una forma jurídica creada por sus promotores, fundadores, administradores o representantes con el propósito de eludir una eventual responsabilidad penal”. Es decir, la peculiaridad para las sociedades mercantiles Estatales se encuentra en que podrá exigirse su responsabilidad penal por los referidos ciberdelitos, cuando lleven a cabo políticas públicas o servicios de interés económico general y, además, tan sólo se podrá imponer la pena de “Multa por cuotas o proporcional” o la “Intervención judicial para salvaguardar los derechos de los trabajadores o de los acreedores por el tiempo que se estime necesario, que no podrá exceder de cinco años”, conforme al reformado artículo 31 quinquies y el artículo 33.7, apartados a) y g), del CP. A ello se añade que la limitación no existe en el hipotético supuesto que se apreciase que la entidad ha sido creada para acceder de forma ilícita, permanecer en sistemas informáticos ajenos de forma no autorizada, facilitar estas conductas, para causar daños informáticos, cometer ciberfraudes o delitos de pornografía infantil, piratería digital o delitos de odio a través de Internet.

En definitiva, existen determinados ámbitos que no son el hábitat natural de actuación de partidos políticos, sindicatos o sociedades mercantiles Estatales, como son los citados ciberdelitos. Por ello, cuando alguno de sus miembros, representantes o funcionarios cometen, por ejemplo, un delito de hacking, por no tratarse propiamente de las funciones constitucionales o de interés general asignadas a estas entidades, resulta lógico que se considere responsable penalmente a estas entidades por no haber adoptado las medidas de control adecuadas para prevenirlo y evitarlo, de igual forma que resultarían responsables civil, administrativa o socialmente por el incumplimiento de esta normativa. Como indica ZUGALDÍA ESPINAR60, cuando las citadas personas morales asumen el rol ajeno a sus funciones constitucional y legalmente asignadas, atribuirles un privilegio penal no tiene justificación alguna.

Con estos planteamientos, los problemas en la práctica para la exigencia de responsabilidad penal de estas personas jurídicas por el ciberdelito cometido serán numerosos. QUINTERO OLIVARES61 critica el nuevo régimen establecido respecto a partidos políticos si bien refiriéndolo a la corrupción, entre otros motivos, porque va a ser necesario diferenciar los casos de un partido político, según exista beneficio o no para el partido, y si esa ventaja es tan sólo en una zona o es extensible a todo su ámbito de actuación, así como el problema de que el sujeto esté vinculado a más de un partido. Este argumento también resulta válido para los sindicatos y las sociedades mercantiles Estatales, donde será preciso delimitar el beneficio obtenido individual o no, quién y dónde se ha obtenido62. Es decir, trasladándolo al ejemplo del intrusismo informático, uno de los principales obstáculos con lo que en la práctica podrá encontrarse el intérprete serán los supuestos en que el delito de hacking se cometa por una persona que pertenece a más de un partido político o sindicato, concretando en beneficio de quién actúa y si afecta a todo el organismo o a una delegación; o si es funcionario de una sociedad mercantil Estatal, si el intrusismo se realiza en beneficio de ella o en el propio, afecta a una de las ramas de su actividad o a su funcionamiento general.

Conforme a los argumentos expuestos, podemos entender como persona jurídica a los efectos de los ciberdelitos toda entidad a la cual el derecho vigente reconoce este estatuto, salvo el Estado, otros organismos públicos que ejercen prerrogativas públicas, las organizaciones internacionales de Derecho público, las Administraciones públicas territoriales e institucionales, los Organismos Reguladores, las organizaciones internacionales de derecho público, las Agencias y Entidades públicas Empresariales y las organizaciones que ejerzan potestades públicas de soberanía o administrativas.

Por último, para que estas entidades sean responsables por el delito de hacking, daños informáticos, ciberestafas, pornografía infantil, piratería digital o cyberhate es necesario que una persona física lleve a cabo la conducta de los artículos 197 bis 1, 264, 264 bis, 264 ter, 189.1.b), 249, 270, 273 o 510 y se cumplan los requisitos del artículo 31 bis 1, es decir, se ejecuten por sus representantes o por quienes estén sujetos a su autoridad, según se expone en el siguiente epígrafe.

2.3 Las conductas llevadas a cabo por sus representantes legales o por quienes están sometidos a su autoridad

Para que los citados ciberdelitos puedan entenderse cometidos por una persona jurídica, deben concurrir dos requisitos que cita el Tribunal Supremo en su Sentencia de fecha 29 de febrero de 2016, “previstos en el artículo 31 bis del Código Penal, tanto en su redacción originaria de la LO 5/2010 como en la actualmente vigente tras la reforma operada por la LO 1/2015”: en primer lugar, “La comisión de uno de los delitos integrantes del catálogo de aquellas infracciones susceptibles de generar responsabilidad penal para la persona jurídica en cuyo seno se comete”, circunstancia que como hemos visto concurre en el hacking, daños informáticos, ciberestafas, pornografía infantil, piratería digital o delitos de odio en Internet, conforme a los artículos 197 quinquies, 264 quater, 251 bis, 189 ter, 288 o 510 bis del CP; y en segundo término, “Que las personas físicas autoras de dicho delito son integrantes de la persona jurídica”63.

Respecto al segundo presupuesto, en estos delitos es necesario que el comportamiento se realice en beneficio de la persona jurídica por las personas físicas que cita el artículo 31 bis: (i) sus representantes legales o quienes están autorizados para tomar decisiones o tienen facultades de organización y control, dando lugar a lo que DEL ROSAL BLASCO denomina delitos de directivos; o (ii) quienes están sometidos a la autoridad de las personas anteriores, también conocidos como delitos de empleados64. O, si se prefiere, siguiendo la Circular 1/2016 de la FGE, el primer caso viene referido a una vinculación generada por “las personas con mayores responsabilidades en la entidad”, mientras que en el segundo supuesto el hecho de conexión lo crean “las personas indebidamente controladas por aquellas”65. Si bien, parece más acorde con la regulación de estos ciberdelitos y el régimen propio de responsabilidad penal de las personas jurídicas establecido en el artículo 31 bis CP, entender, como ha declarado el Tribunal Supremo en su Sentencia de 16 de marzo de 201666, que se puede distinguir entre un delito corporativo que, como mantiene GÓMEZ-JARA DÍEZ, abarcaría lo "propio" de la responsabilidad penal de la persona jurídica67, frente al delito individual, que comprendería la de la persona física. En concreto, la resolución establece en su FJ 5, “Nuestro sistema, en fin, no puede acoger fórmulas de responsabilidad objetiva, en las que el hecho de uno se transfiera a la responsabilidad del otro, aunque ese otro sea un ente ficticio sometido, hasta hace bien poco, a otras formas de responsabilidad. La pena impuesta a la persona jurídica sólo puede apoyarse en la previa declaración como probado de un hecho delictivo propio”.

Esta conclusión supone posicionarse a favor de un régimen de responsabilidad propia de la persona jurídica con independencia de la correspondiente a la persona física que pudiera cometer alguno de estos ciberdelitos.

Así, señala MORILLAS CUEVA68 dos modelos de exigencia de responsabilidad penal de la persona jurídica: (i) el directo y cumulativo con la de la persona física; y (ii) el subsidiario, que tendría lugar cuando no es posible condenar al sujeto físico. Y defiende este autor el primer modelo, apoyándose tanto en el Preámbulo de la LO 5/201069 como en el artículo 5.3 de la Directiva 2011/36/UE70, donde se menciona la independencia de la responsabilidad entre uno y otro tipo de persona.

Por su parte, DE LA CUESTA71 menciona (i) el modelo de responsabilidad indirecta, por el cual la exigencia a la entidad tiene su base en el hecho de otros, compensando los posibles excesos con la limitación de las personas que sirven de referencia e incluyendo otros requisitos de naturaleza material; (ii) el sistema de autonomía de responsabilidad, que en nuestro ordenamiento resultaría del artículo 31 bis 2 del CP, donde está prevista la exigencia de responsabilidad penal con independencia de que la persona física no haya sido individualizada o no se haya podido dirigir el procedimiento contra ella, tal y como se verá en el siguiente subepígrafe; y (iii) el mixto, en el que siendo independiente la responsabilidad penal de unos y otros, la de la persona jurídica se apoya en la identificación del delito cometido por la persona física, dando lugar a una mayor autorresponsabilidad con base en la falta de control. Este último sistema ha sido defendido por RIVAS VERDES-MONTENEGRO72. Este autor distingue (i) el sistema vicarial de imputación de responsabilidad a la persona jurídica, basado en la infracción por parte del agente de la empresa, en el ejercicio de las funciones atribuidas o por cuenta de la entidad, y con la intención de un beneficio para la empresa, modelo criticado por los posibles problemas de identificación del sujeto y las pocas posibilidades de defensa de la persona jurídica; (ii) el sistema de la culpabilidad, centrado en la actuación de la persona jurídica antes y después del comportamiento del agente, pudiendo quedar exenta de responsabilidad si ha adoptado las medas adecuadas de prevención y descubrimiento del delito; y (iii) el citado sistema mixto, por el que se imputa la responsabilidad a la persona moral por la actuación de la persona física (como en el vicarial) pero desde ese momento se considera la actuación de la entidad (como en el de culpabilidad), para concretar con agravantes y atenuantes la sanción.

Para el Tribunal Supremo, en la mencionada Sentencia de 16 de marzo de 201673, no es posible un sistema penal de transferencia de la responsabilidad, donde la responsabilidad de la persona jurídica descanse sobre el hecho ajeno, lo que me parece coherente con los principios informadores del Derecho penal, como son el principio del hecho y el de culpabilidad. Esta conclusión resulta de la citada regulación propia de la responsabilidad penal de la persona jurídica en los delitos de hacking, daños informáticos, ciberestafas, pornografía infantil, piratería digital o cyberhate. Frente a esta postura, la citada Sentencia rechaza el criterio de la Circular 1/2016 de la FGE, donde se considera que estamos ante un sistema de responsabilidad penal vicarial o por representación, en el que es necesaria “la previa comisión de un delito por una persona física en las concretas circunstancias que se establecen” y una conexión entre la persona física y la jurídica74.

Lo expuesto no significa, tal y como se viene anticipando, que la responsabilidad de la entidad aparezca totalmente desvinculada de estos ciberdelitos llevados a cabo por sus empleados o representantes, que se convierten en delitos de referencia. Es decir, desde un punto de vista estructural habrá que comprobar si la persona jurídica ha adoptado las medidas de prevención y control que veremos en el siguiente subepígrafe. Así, como concluye la citada STS de 16 de marzo de 2016:

Más concretamente, para que los citados delitos puedan entenderse cometidos por una persona jurídica, es necesario que sean llevados a cabo en su propio beneficio por las personas físicas que cita el artículo 31 bis: (i) sus representantes legales o quienes están autorizados para tomar decisiones o tienen facultades de organización y control, dando lugar a lo que DEL ROSAL BLASCO denomina delitos de directivos; o (ii) quienes están sometidos a la autoridad de las personas anteriores, también conocidos como delitos de empleados75.

Así pues, analizando los dos supuestos contemplados en los apartados a) y b) del mencionado precepto, partiendo en ambos casos de que “En los supuestos previstos en este Código, las personas jurídicas serán penalmente responsables” “De los delitos cometidos en nombre o por cuenta de las mismas, y en su beneficio directo o indirecto”:

Se trata, como indica PORRES ORTIZ DE URBINA76, de la responsabilidad penal de la persona jurídica por los actos de directivos. De tal forma que, en el delito de intrusismo informático, daños informáticos, ciberestafas, pornografía infantil, piratería digital o cyberhate es preciso, siguiendo el planteamiento general de este autor, que: (i) el directivo lleve a cabo alguna de estas conductas en nombre o por cuenta de la persona jurídica, es decir, dentro del contenido formal y material del mandato y representación quedando excluido el caso en el que el sujeto se extralimite. Esto implica que el ciberdelito se realizaría, conforme analiza DOPICO GÓMEZ-ALLER77 en el marco de las funciones empresariales, desviándose del correcto ejercicio de las funciones y actuando por la persona jurídica; y (ii) que lo haga en beneficio de esa entidad, término que comprende cualquier beneficio o ventaja, como podría ser tomar el control de los sistemas informáticos de la competencia de una empresa, y sustituye al anterior "en provecho", que daba lugar a numerosas interpretaciones. Puede ser un beneficio directo o empresarial, o indirecto o ahorro en costes a través de la conducta delictiva, lo que excluye la comisión del ciberdelito por estas personas físicas cuando su realización no tienen relación con la persona jurídica.

El término representante legal deberá interpretarse restrictivamente y, en consecuencia, considerar como tal a las personas cuya representación se extiende a todos los actos comprendidos en el objeto social delimitado en los estatutos de conformidad con los artículos 233 y 234 del Real Decreto Legislativo 1/2010, de 2 de julio, por el que se aprueba el texto refundido de la Ley de Sociedades de Capital, y pueden ser tanto representantes orgánicos como no orgánicos de la persona jurídica en un sentido legal, dentro de las facultades que se les han atribuido78, mientras que los que actúan individualmente o como integrantes de un órgano de la persona jurídica deberán estar autorizados para tomar decisiones en nombre de la persona jurídica o tener facultades para su organización y control.

En este caso, se trata de una falta de control debido sobre la persona dependiente, que como indica POORRES ORTIZ DE URBINA79 no supone que todo incumplimiento de esos deberes conlleve la responsabilidad de la persona jurídica, sino tan solo el grave, lo que implica analizar cada caso particular y verificar si se habían asumido medidas de prevención y represión ante un posible intrusismo informático, daño informático, ciberestafa, o conducta de pornografía infantil, piratería digital o delito de odio en Internet. De esta forma, se complica la responsabilidad penal en estos casos, ya que siguiendo a este autor, se hace preciso acudir a la normativa extrapenal para delimitar las obligaciones personales de control que tienen atribuidas las personas físicas para que no se lleve a cabo el ciberdelito. En este sentido, el Consejo de Estado, en su Informe a la futura LO 1/2015 manifestaba la necesidad de una reforma inmediata en la legislación mercantil para regular esas funciones de vigilancia y control en los siguientes términos: “el principio de seguridad jurídica impone un determinado nivel de certeza en torno a los medios, órganos y cauces exigibles para el desarrollo de esas funciones de vigilancia y control, aspectos cuya regulación corresponde, por su propia naturaleza, a la legislación mercantil o a la que resulte de aplicación a las personas jurídicas de que en cada caso se trate”80.

Por otra parte, concurre una cierta contradicción, ya que, si el fundamento de estos casos se ubica en la omisión de diligencia de los directivos hacia los empleados, no resulta coherente que se afirme que la persona jurídica quede exenta si ha existido un sistema adecuado de prevención, sin establecer condiciones adicionales como en el caso de los directivos.

Por último, en este segundo grupo la conducta se debe llevar a cabo “en el ejercicio de actividades sociales”, lo que supone una desviación de su correcto ejercicio, y “por cuenta y en beneficio directo o indirecto de las mismas”, elemento al que ya nos hemos referido en relación con las conductas realizadas por los representantes de la persona jurídica.

2.4 La exigencia de responsabilidad penal a las personas jurídicas por los ciberdelitos

Por último, el legislador ha regulado la responsabilidad de la persona jurídica aun cuando no fuese posible individualizar a la persona física que ha cometido alguno de estos ciberdelitos, y con independencia de la culpabilidad de estas personas o que hayan fallecido o hayan eludido su enjuiciamiento. Así, según lo establecido en el artículo 31 ter del CP:

De esta forma, como indica BACIGALUPO SEGGESE, la responsabilidad penal de la persona jurídica no depende de la que resulte para la persona física, sino de que exista un hecho de enlace que se atribuya a este sujeto81. Es decir, los vínculos de conexión a los que se ha hecho referencia en este epígrafe.

Por otra parte, esta previsión es adecuada en el difícil ámbito de lucha contra la criminalidad informática. Castigar a la persona jurídica con independencia de la falta de individualización del delito en persona física concreta supone, desde mi punto de vista, un fortalecimiento de las medidas de presión sobre la persona jurídica en cuanto a la adopción de medios para tratar de evitar la comisión de un ciberdelito y, a su vez, obstaculizar obras de ingeniería procesal o que por parte de los encargados o representantes de la persona jurídica se trate de esconder o ayudar al infractor para de esta forma dificultar a su vez el enjuiciamiento de estas entidades. Es decir, estamos ante una medida más, dirigida a facilitar la prevención y persecución de estos delitos, ya de por sí complejos.

Con las citadas premisas, en el caso de las personas jurídicas es preciso el mismo respeto de los derechos y garantías constitucionales y principios que informan el Derecho penal, que como ha declarado el Tribunal Supremo en la mencionada Sentencia de 29 de febrero de 2016 “ampararían también a la persona jurídica de igual forma que lo hacen en el caso de las personas físicas cuyas conductas son objeto del procedimiento penal”82.

Además, cuando se realice alguno de estos ciberdelitos por los representantes legales de una persona jurídica, o bien por las personas físicas que estén autorizadas para tomar decisiones o tienen facultades de organización y control, o por quienes estén sometidos a la autoridad de las personas anteriores, siguiendo la mencionada resolución, será necesario como presupuesto “la exigencia del establecimiento y correcta aplicación de medidas de control eficaces que prevengan e intenten evitar, en lo posible, la comisión de infracciones delictivas por quienes integran la organización", es decir, "ha de establecerse a partir del análisis acerca de si el delito cometido por la persona física en el seno de aquella ha sido posible, o facilitado, por la ausencia de una cultura de respeto al Derecho, como fuente de inspiración de la actuación de su estructura organizativa e independiente de la de cada una de las personas físicas que la integran, que habría de manifestarse en alguna clase de formas concretas de vigilancia y control del comportamiento de sus directivos y subordinados jerárquicos, tendentes a la evitación de la comisión por éstos de los delitos enumerados en el Libro II del Código Penal como posibles antecedentes de esa responsabilidad de la persona jurídica”83.

De esta forma, como se ha apuntado anteriormente, el legislador ha optado por hacer partícipe en la prevención de estos delitos a la propia persona jurídica, por cuanto va a poder eludir su responsabilidad adoptando las medidas que se establecen en el artículo 31 bis, apartados 2 y 5 del CP. En concreto, está prevista la exención de responsabilidad de la persona jurídica cuando concurran las siguientes condiciones:

Además, en relación con este primer requisito, el legislador exige en el apartado 5 del mencionado artículo 31 bis, que esos modelos deben cumplir a su vez una serie de requisitos: “Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos”, “Establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos”, “Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos”, “Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención”, “Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo” y “Realizarán una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios”.

Al respecto, pensemos en una empresa de servicios informáticos, donde sus empleados cuentan con numerosos recursos técnicos para el acceso remoto a los sistemas informáticos de clientes y esta circunstancia es aprovechada por alguno de sus representantes o trabajadores para cometer el delito de hacking. En estos casos, para que la persona jurídica no fuese responsable conforme al artículo 197 quinquies del CP, debería haber existido con anterioridad a la comisión del delito un sistema de medidas de prevención y control eficaces para impedir ese delito, adoptadas por su administrador o consejo de administración. Por ejemplo, estableciendo un protocolo que exija la identificación de la persona física para el acceso y la previa autorización del cliente para llevar a cabo esa entrada en concreto en su sistema. Además, ese protocolo debería identificar la posible comisión del delito de hacking, el consentimiento a su vez que tiene la persona física para actuar por cuenta de la persona jurídica, debería estar debidamente financiado para hacer posible su funcionamiento, se tendría que dar cuenta de su funcionamiento y riesgos al órgano de control de su cumplimiento, incluiría un régimen disciplinario en caso de no respetarse su contenido y, por último, debería verificarse en caso de que se produjese un caso de hacking o existieran cambios en la estructura u organización de la persona jurídica.

Por tanto, en el ejemplo citado también sería preciso que el citado protocolo o las medidas que se hubiesen adoptado por la empresa para prevenir el delito específico del intrusismo informático sean supervisados por un órgano autónomo de control de la persona jurídica, o que tuviese esa función de vigilancia por imperativo legal. Así, según establece el artículo 31 bis, apartado 3, “En las personas jurídicas de pequeñas dimensiones, las funciones de supervisión a que se refiere la condición 2.ª del apartado 2 podrán ser asumidas directamente por el órgano de administración. A estos efectos, son personas jurídicas de pequeñas dimensiones aquéllas que, según la legislación aplicable, estén autorizadas a presentar cuenta de pérdidas y ganancias abreviada”.

En cualquier caso, según concluye el artículo 31 bis, apartado 2, “En los casos en los que las anteriores circunstancias solamente puedan ser objeto de acreditación parcial, esta circunstancia será valorada a los efectos de atenuación de la pena”.

Por último, se ha discutido la naturaleza de esta exención de responsabilidad de la persona jurídica. Para BACIGALUPO SAGGESE84 el modelo de imputación debe basarse en que exista el hecho de conexión y en la idea de la culpabilidad por el defecto de organización.

Sin embargo, la FGE ha considerado en su Circular 1/201685, respecto de la exención de responsabilidad penal del artículo 31 bis del CP, que en principio podría considerarse un supuesto de falta de tipicidad, por cuanto si se parte de una mala organización para exigir la responsabilidad penal de la persona jurídica, en el caso de que exista un plan diligente de prevención, supone que desaparece el elemento del tipo, ya sea en su parte subjetiva o en su parte objetiva. No estaríamos en el caso de una eximente, que nos remite a una conducta antijurídica o entender que la persona jurídica no le fuera imputable la conducta, sino que, al existir unas medidas anteriores a la comisión del delito, faltaría el elemento básico del hecho típico (tipo objetivo) o, en todo caso, un elemento del tipo subjetivo, dolo o culpa (tipicidad subjetiva).

Para la FGE puesto que, según su postura, el sistema establecido por el legislador es de responsabilidad indirecta o vicarial en la medida en que la responsabilidad de la persona jurídica se basa en el hecho ajeno, la comisión del delito por la persona física va a determinar la responsabilidad de la persona jurídica, que no obstante va a quedar exenta probando la existencia del modelo de prevención y control. Por ello, atendido el sistema establecido en el artículo 31 bis del CP, considera la Fiscalía que estamos ante un supuesto de exclusión personal de punibilidad. Así, “concurrentes en el momento en el que la persona física comete el delito y transfiere la responsabilidad a la persona jurídica, los modelos de organización que cumplen los presupuestos legales operarán a modo de excusa absolutoria, como una causa de exclusión personal de la punibilidad y no de supresión de la punibilidad, reservadas estas últimas causas para comportamientos post delictivos o de rectificación positiva, como los contemplados en las circunstancias atenuantes del art. 31 quater”.

Por su parte, el Tribunal Supremo, en el FJ 8º de la mencionada Sentencia de 29 de febrero de 201686, ha mantenido distinto criterio al de la FGE. En concreto, el Tribunal ha destacado la discutible naturaleza de la eximente, “en cuanto relacionada con la exclusión de la culpabilidad, lo que parece incorrecto, con la concurrencia de una causa de justificación o, más bien, con el tipo objetivo, lo que sería quizá lo más adecuado puesto que la exoneración se basa en la prueba de la existencia de herramientas de control idóneas y eficaces cuya ausencia integraría, por el contrario, el núcleo típico de la responsabilidad penal de la persona jurídica, complementario de la comisión del ilícito por la persona física”.

Así, en esa resolución se considera que la eximente tiene una naturaleza que se correspondería con la falta de tipicidad y de paso se rebate, en el mismo Fundamento, la conclusión de la Circular 1/2016, porque “una «excusa absolutoria» ha de partir, por su propia esencia, de la previa afirmación de la existencia de la responsabilidad, cuya punición se excluye, mientras que a nuestro juicio la presencia de adecuados mecanismos de control lo que supone es la inexistencia misma de la infracción. Circunstancia de exención de responsabilidad que, en definitiva, lo que persigue esencialmente no es otra cosa que posibilitar la pronta exoneración de esa responsabilidad de la persona jurídica, en evitación de mayores daños reputacionales para la entidad, pero que en cualquier caso no debe confundirse con el núcleo básico de la responsabilidad de la persona jurídica, cuya acreditación por ello habrá de corresponder a la acusación, en caso de no tomar la iniciativa la propia persona jurídica de la búsqueda inmediata de la exención corriendo con la carga de su acreditación como tal eximente”. Este criterio también ha sido defendido por DE LA CUESTA87, quien concluye que, partiendo de la capacidad general de autoorganización de la persona jurídica, estamos ante un supuesto de falta de tipicidad respecto del resultado imprevisible o inevitable. Así, según este autor, en lugar de la culpabilidad, mejor se debe elaborar el núcleo de injusto de la persona moral sobre la vulneración de su posición de garante, es decir, su deber de autoorganización adecuada para evitar el delito en el marco de las actividades realizadas por su cuenta y beneficio. De esta forma, la responsabilidad penal de la persona jurídica por el ciberdelito cometido surgiría cuando a la infracción del deber de adoptar medidas de prevención y control se pueda imputar objetivamente la comisión de ese delito por parte de alguna de las personas físicas que cita el precepto.

Desde mi punto de vista, esta última postura, que defiende la naturaleza de la exención de responsabilidad de la persona jurídica por la falta de tipicidad, se presenta como la más acertada. No parece que estemos ante un supuesto de falta de culpabilidad de la persona jurídica, por el hecho de que adopte las medidas adecuadas para impedir el ciberdelito y aun así se haya cometido por alguno de sus agentes. Si se considera, siguiendo a MEZGER, desde el punto de vista del juicio de reproche, que la culpabilidad es “una determinada situación de hecho, de ordinario psicológica (situación de hecho de la culpabilidad), en la que se conecta el reproche contra el autor y, consiguientemente, la pena que al autor ha de aplicarse”88, la posición que defiende la naturaleza de la exclusión de responsabilidad basada en falta de culpabilidad no resulta la más ajustada a la previsión del artículo 31 bis CP, porque ello obligaría al correspondiente juicio de reprochabilidad con todos los matices e inconvenientes que todo juicio conlleva. Más bien, si consideramos la tipicidad como entendía VON LISZT, es decir, “aquel acto que corresponde a uno de los hechos exactamente circunscritos y exclusivamente enumerados en la ley”89 o siguiendo a MEZGER como “el injusto descrito concretamente por la ley en sus diversos artículos y a cuya realización va ligada la sanción penal”90, en el caso de los cibercrímenes citados a priori no hay duda en cuanto al punto de partida, relativo a la inexistencia de un sistema de prevención y control por parte de la persona jurídica para su comisión por parte de sus empleados o representantes. De tal forma que, sin ese presupuesto inicial, es decir, si existe un adecuado sistema de prevención y control y la persona física que actúa por la persona jurídica lo burla fraudulentamente, no va a existir responsabilidad penal para ésta última. Por ello, considero que, en lugar de una falta de reproche hacia la persona jurídica que obligaría al correspondiente juicio de valor con los problemas que ello entrañaría, en estos casos faltará el elemento básico de la tipicidad de la conducta. Esta idea, además contribuye a eludir un planteamiento de responsabilidad de la persona jurídica desde el principio, imponiéndole la carga de la prueba de su propia inocencia en el procedimiento que condujese a la exclusión de la punibilidad, que sería la postura que plantea la FGE. Esta naturaleza expuesta en su Circular 1/2016, considerando estos supuestos como excusas absolutorias vinculadas a la punibilidad, partiría de la previa afirmación de la responsabilidad de la persona jurídica, que se excluiría por la falta de punibilidad. Sin embargo, si atendemos a la definición de las condiciones de punibilidad como una serie de casos en los que el legislador ha hecho depender la efectividad de la sanción penal de la existencia de circunstancias externas, independientes del acto punible mismo y que se añaden a él91, resulta obvio que la autoorganización de la persona jurídica no es una circunstancia externa, sino una medida adoptada por la entidad que determina su exclusión de responsabilidad. Por ello entiendo, siguiendo el criterio del Tribunal Supremo, que la existencia de las medidas de prevención y control precisamente lo que evidenciarían es la falta de responsabilidad de la entidad en el ciberdelito, evitando así un juicio ab initio a la propia persona jurídica por el simple hecho de que alguno de sus empleados cometiesen el delito de hacking, daños informáticos, ciberfraudes, pornografía infantil, piratería digital o delito de odio a través de Internet, e impondría a la acusación la carga de la prueba de que las medidas no se han adoptado conforme exige el artículo 31 bis del CP para poder proceder también contra la persona moral por ese delito, lo que resulta más acorde con el principio acusatorio del procedimiento penal y el derecho fundamental a la presunción de inocencia declarado en el artículo 24.2 de la CE.