Directiva 2013/40/UE del Parlamento Europeo y del Consejo de 12 de agosto de 2013 relativa a los ataques contra los sistemas de información por la cual se sustituye la Decisión marco 2005/222/JAI del Consejo.

El pasado 1 de septiembre entró en vigor la Directiva 2013/40/UE del Parlamento Europeo y del Consejo de 12 de agosto de 2013 relativa a los ataques contra los sistemas de información y por la cual se sustituye la Decisión marco 2005/222/JAI del Consejo (DOUE, nº L 218/8, de 14 de agosto de 2013).

El objetivo principal es aproximar el derecho penal de los estados miembros en materia de ataques contra los sistemas de información, mediante un conjunto de normas mínimas sobre la definición de las infracciones penales y las sanciones aplicables, así como mejorar la cooperación entre las autoridades competentes.

Tal como cita el propio texto en el suyo considerando “La naturaleza transnacional y transfronteriza de los modernos sistemas de información significa que los ataques suelen revestir un carácter transfronterizo, hecho que plantea la necesidad urgente de proseguir la aproximación del derecho penal en este ámbito”.

Así mismo, el texto define sistema de información como “todo aparato o grupo de aparatos interconectados o relacionados entre si, uno o varios de los cuales realizan, mediante un programa, el tratamiento automático de datos informáticos, así como los datos informáticos almacenados, tratados, recuperados o transmitidos por este aparato o grupo de aparatos para su funcionamiento, utilización, protección y mantenimiento”.

Por un lado comentar que, si bien por una cuestión de forma, para ser efectiva tendrá que transponerse dentro del marco normativo interno de cada uno de los estados miembros, respeto el fondo de la norma conviene destacar, entre otros, la introducción de infracciones penales comunes, tales como el acceso y la intromisión ilegal a los sistemas, así como la intromisión y la interceptación ilegal de los datos (por ejemplo la escucha, el seguimiento y el análisis del contenido de comunicaciones y la obtención de los datos, todos ellos temas de rabiosa actualidad).

También prevé sanciones más severas en aquellos casos en que el ataque se cometa en el contexto de una organización delictiva, tengan efectos a gran escala o bien afecte a una infraestructura crítica de los estados miembros o de la Unión.

Otros aspectos a los cuales hace especial referencia son el establecimiento de medidas contra la usurpación de la identidad, así como otras infracciones relacionadas con esta y la responsabilidad de las personas jurídicas, concretamente cuando alguna de estas infracciones comporte un beneficio por esta, cometidos por cualquier persona que, actuando a título particular o como parte de un órgano de la persona jurídica, ostente un cargo directivo dentro de esta.

En relación al intercambio de información y la cooperación entre autoridades, subraya la necesidad de recopilar y poner a disposición de los organismos especializados competentes de la Unión (cómo por ejemplo la Europol) datos comparables sobre las infracciones previstas a la citada Directiva, así como la creación de puntos de contacto nacionales y procedimientos de colaboración en casos de urgencia.

La fecha máxima por la transposición de la citada Directiva a los ordenamientos internos de los estados miembros es el 4 de septiembre de 2015.