Muchos máximos responsables de empresa pueden no haber reparado que, desde el 23 diciembre de 2010, fecha en la que entró en vigor la Ley Orgánica 5/2010 sobre Responsabilidad Penal de las Personas Jurídicas, a los riesgos que comprende controlar los elementos de seguridad, disponibilidad, rendimiento y cumplimiento derivados del uso de las Tecnologías de la Información y la Comunicaciones en sus compañías se le ha sumado una nueva responsabilidad, en este caso vinculada expresamente a las personas jurídicas, que puede llevarles a la cárcel por un periodo comprendido entre los seis meses y los dos años.
Hasta la promulgación de esta Ley Orgánica, la persona jurídica era responsable civilmente, es decir, sólo tenía que resarcir daños y perjuicios pero en estos momentos la responsabilidad penal de la persona jurídica podrá declararse con independencia de que se pueda o no individualizar la responsabilidad penal de la persona física. En otras palabras, que si desde su empresa se comete alguno de los delitos tipificados por esta ley pueden imputar penalmente tanto al responsable directo del hecho como al administrador de la empresa.
Según el Directorio Central de Empresas, el número de centros productivos existente en España a 1 de enero de 2011 se elevaba a 3.250.576 (el 95% de ellas pequeñas y medianas, pymes). De todas ellas, no llegan a 600.000 las compañías que están adaptadas a la normativa de la Ley Orgánica de Protección de Datos y disponen de un sistema para proteger los datos personales de sus clientes, trabajadores, asociados, etcétera. Esto quiere decir que los máximos responsables de casi 2.700.000 empresas corren un alto riesgo de enfrentarse a la responsabilidad penal que marca la Ley.
Para Antonio Bosch, presidente del Institute of Audit & IT-Gobernance (IAITG), una iniciativa que contempla la realidad de las tecnologías de la información y su buen gobierno, cumplir con lo que marca la ley, proteger nuestros datos y explotar al máximo los recursos que nos ofrecen las TIC requiere de una perspectiva interdisciplinar que combine gestión, tecnología y Derecho.
Para la fijación de la responsabilidad de las personas jurídicas se ha optado por establecer una doble vía. Junto a la imputación de aquellos delitos cometidos en su nombre o por su cuenta, y en su provecho, por las personas que tienen poder de representación en las mismas, se añade la responsabilidad por aquellas infracciones propiciadas por no haber ejercido la persona jurídica el debido control sobre sus empleados.
En el caso concreto de los delitos informáticos, las conductas punibles son dos. La primera, relativa a los daños, donde quedarían incluidas las consistentes en dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos o programas informáticos ajenos, así como obstaculizar o interrumpir el funcionamiento de un sistema informático ajeno. La segunda se refiere al descubrimiento y revelación de secretos, donde estaría comprendido el acceso sin autorización vulnerando las medidas de seguridad a datos o programas informáticos contenidos en un sistema o en parte del mismo.
Según Leopoldo Mallo, director general de Alcatraz Solutions, empresa especializada en cumplimiento normativo, en España sólo 600.000 empresas están adaptadas a la Ley Orgánica de Protección de Datos. La solución más sencilla es adecuar los sistemas de las empresas para cumplir la normativa y disponer de una herramienta que permita proteger los datos personales de clientes, trabajadores, asociados, etcétera. Algo muy sencillo que evita riesgos, como la responsabilidad penal y multas que van de los 900 a los 600.000 euros.
Pero esta normativa abarca más allá de las empresas. Según establece la legislación, quedan incluidas dentro del concepto de personas jurídicas y pueden ser, por ello, penalmente responsables, las asociaciones, entendidas como agrupación de personas para un determinado fin (sociedades anónimas, de responsabilidad limitada, cooperativas, mutuas, clubes deportivos, organizaciones no gubernamentales, confesiones religiosas, etcétera), así como también las fundaciones, entendidas como organizaciones de bienes establecidas por una persona para la consecución de fines también concretos.
Según el informe Estadísticas pyme, de abril de 2011, realizado por el Directorio Central de Empresas, en la distribución jurídica de las empresas españolas aparecen en primer lugar las inscritas como persona física, (53,09%), en segundo lugar están las empresas cuya condición jurídica es la sociedad limitada (34,21%) y el tercer lugar lo ocupa la comunidad de bienes con el 3,44% del total, seguida de la sociedad anónima con el 3,19%.
El cargo de administrador está sometido a toda una serie de riesgos personales que, con la incorporación de las TIC, se ha visto ampliado. Según un informe sobre la situación actual de la pyme española en el uso de las TIC, desarrollado por Fundetec, en colaboración con la Dirección General de la Pequeña y Mediana Empresa (DGPYME) del Ministerio de Industria, Turismo y Comercio la implantación del ordenador continúa su avance en el tejido empresarial español. En 2010, el 66,3% de las microempresas españolas disponía de ordenador. En el segmento de la pyme el porcentaje asciende al 98,6% de las empresas. El número de empresas que cuentan con acceso a Internet continúa creciendo, de forma más pronunciada en los segmentos empresariales con menos empleados. En las microempresas, el porcentaje de empresas con conexión a Internet ha aumentado 3 puntos, situándose en el 55,9% en 2010, mientras que en las pymes asciende al 96,2%.
