Creación de una sociedad de la información más segura mediante la mejora de las infraestructuras de información

Resumen

La transición de Europa a la sociedad de la
información se está caracterizando por grandes
progresos en todos los aspectos de la vida humana: el trabajo, la
educación y el ocio, el gobierno, la industria y el
comercio. Las nuevas tecnologías de información y
comunicación están teniendo un impacto
revolucionario y fundamental en nuestras economías y
sociedades. El éxito de la sociedad de la
información es importante para el crecimiento, la
competitividad y las posibilidades de empleo de Europa, y tiene
repercusiones económicas, sociales y jurídicas de
gran envergadura.

En diciembre de 1999, la Comisión puso en marcha
la iniciativa eEuropa, con el fin de garantizar que Europa se
beneficie de las tecnologías digitales, y que la nueva
sociedad de la información sea socialmente inclusiva. En
junio de 2000, el Consejo Europeo de Feira adoptó el Plan
de acción eEuropa, y solicitó que se aplicase antes
de finales de 2002. El plan de acción resalta la
importancia de la seguridad de las redes y de la lucha contra la
delincuencia informática.

Las infraestructuras de información y
comunicación se han convertido en una parte crucial de
nuestras economías. Desafortunadamente, estas
infraestructuras tienen sus propias vulnerabilidades y ofrecen
nuevas oportunidades para la delincuencia. Estas actividades
delictivas pueden adoptar una gran variedad de formas y pueden
cruzar muchas fronteras. Aunque, por diversas razones, no existen
estadísticas fiables, no cabe duda de que estos delitos
constituyen una amenaza para la inversión y los activos
del sector, así como para la seguridad y la confianza en
la sociedad de la información. Ejemplos recientes de
denegación de servicio y ataques de virus han causado
grandes perjuicios financieros.

Puede actuarse tanto en términos de
prevención de la actividad delictiva, aumentando la
seguridad de las infraestructuras de información, como
garantizando que las autoridades responsables de la
aplicación de ley cuenten con los medios adecuados para
intervenir, respetando plenamente los derechos fundamentales de
los individuos.

La Unión Europea ha tomado ya diversas medidas
para luchar contra los contenidos ilícitos y nocivos en
Internet, para proteger la propiedad intelectual y los datos
personales, para promover el comercio electrónico y el uso
de la firma electrónica y para aumentar la seguridad de
las transacciones. En abril de 1998, la Comisión
presentó al Consejo los resultados de un estudio sobre la
delincuencia informática (el llamado estudio 'COMCRIME').
En octubre de 1999, la cumbre de Tampere del Consejo Europeo
concluyó que la labor para acordar definiciones y
sanciones comunes debe incluir la delincuencia de alta
tecnología. El Parlamento Europeo también ha hecho
un llamamiento para que se establezcan definiciones
comúnmente aceptables de los delitos informáticos y
se aproximen las legislaciones, en especial en el ámbito
del derecho penal. El Consejo de la Unión Europea ha
adoptado una posición común respecto a las
negociaciones del Convenio del Consejo de Europa sobre
delincuencia en el ciberespacio y ha adoptado varios elementos
iniciales como parte de la estrategia de la Unión contra
la delincuencia de alta tecnología. Algunos Estados
miembros de la UE también han estado en la vanguardia de
las actividades del G8 a este respecto.

La presente Comunicación trata la necesidad y las
posibles formas de una iniciativa política amplia en el
contexto de los objetivos más amplios de la sociedad
de la información y de la libertad, seguridad y
justicia, con el fin de mejorar la seguridad de las
infraestructuras de información y luchar contra la
delincuencia informática, de acuerdo con el compromiso de
la Unión Europea de respetar los derechos humanos
fundamentales.

A corto plazo, la Comisión opina que existe una
clara necesidad de un instrumento de la UE que garantice que los
Estados miembros dispongan de sanciones efectivas para luchar
contra la pornografía infantil en Internet. La
Comisión presentará a finales de este año
una propuesta de decisión marco que, en un contexto
más amplio que abarcará cuestiones asociadas con la
explotación sexual de los niños y el tráfico
de seres humanos, incluirá disposiciones para la
aproximación de leyes y sanciones.

A más largo plazo, la Comisión
presentará propuestas legislativas para seguir aproximando
el derecho penal sustantivo en el ámbito de la
delincuencia de alta tecnología. De acuerdo con las
conclusiones del Consejo Europeo de Tampere de octubre de 1999,
la Comisión considerará asimismo las opciones del
reconocimiento mutuo de los autos anteriores al juicio, asociados
con las investigaciones de delitos
informáticos.

Paralelamente, la Comisión se propone promover la
creación, donde no exista, de unidades de policía
especializadas en delincuencia informática a escala
nacional; apoyar la formación técnica pertinente
para la aplicación de la ley; y fomentar las acciones
europeas tendentes a la seguridad de la
información.

En el plano técnico, y en línea con el
marco jurídico, la Comisión promoverá la I+D
para comprender y reducir los puntos vulnerables, y
estimulará la difusión de conocimientos
técnicos.

La Comisión se propone también crear un
foro comunitario que reúna a los organismos competentes, a
los proveedores de servicios de Internet, a los operadores de
telecomunicaciones, a las organizaciones de libertades civiles, a
los representantes de los consumidores, a las autoridades
responsables de la protección de datos y a otras partes
interesadas, con el objetivo de aumentar la comprensión y
la cooperación mutuas a escala de la UE. El foro
intentará aumentar la conciencia pública de los
riesgos que presentan los delincuentes en Internet, promover las
mejores prácticas para la seguridad, determinar
instrumentos y procedimientos eficaces para luchar contra la
delincuencia informática y fomentar el desarrollo futuro
de mecanismos de detección temprana y gestión de
crisis.

1. OPORTUNIDADES
Y AMENAZAS EN LA SOCIEDAD DE LA
INFORMACIÓN

Nuestra era se caracteriza por una creciente
asequibilidad y uso de las tecnologías de la sociedad de
la información (TSI) y por la globalización de la
economía. El desarrollo tecnológico y el mayor uso
de redes abiertas, como Internet, en los próximos
años, proporcionarán oportunidades nuevas e
importantes y plantearán nuevos
desafíos.

En la cumbre de Lisboa de marzo de 2000, el Consejo
Europeo subrayó la importancia de la transición a
una economía competitiva, dinámica y basada en el
conocimiento, e invitó al Consejo y a la Comisión a
elaborar el Plan de Acción eEuropa para aprovechar al
máximo esta oportunidad1. Este plan de acción,
elaborado por la Comisión y el Consejo y adoptado por la
cumbre del Consejo Europeo de Feira en junio de 2000, comprende
acciones para aumentar la seguridad de la red y establecer un
enfoque coordinado y coherente de la delincuencia
informática para finales de 20022.

La infraestructura de la información se ha
convertido en una parte vital del eje de nuestras
economías. Los usuarios deberían poder confiar en
la disponibilidad de los servicios informativos y tener la
seguridad de que sus comunicaciones y sus datos están
protegidos frente al acceso o la modificación no
autorizados. El desarrollo del comercio electrónico y la
realización completa de la sociedad de la
información dependen de ello.

El uso de las nuevas tecnologías digitales y de
la telefonía inalámbrica ya se ha generalizado.
Estas tecnologías nos brindan la libertad para poder
movernos y permanecer comunicados y conectados con miles de
servicios construidos sobre redes de redes. Nos dan la
posibilidad de participar; de enseñar y aprender, de jugar
y trabajar juntos, y de intervenir en el proceso político.
A medida que las sociedades dependen cada vez más de estas
tecnologías, será necesario utilizar medios
jurídicos y prácticos eficaces para gestionar los
riesgos asociados.

Las tecnologías de la sociedad de la
información pueden utilizarse, y se utilizan, para
perpetrar y facilitar diversas actividades delictivas. En manos
de personas que actúan de mala fe, con mala voluntad, o
con negligencia grave, estas tecnologías pueden
convertirse en instrumentos para actividades que ponen en peligro
o atentan contra la vida, la propiedad o la dignidad de los
individuos o del interés público.

El enfoque clásico de la seguridad exige una
compartimentación organizativa, geográfica y
estructural estricta de la información, según su
sensibilidad y su categoría. Esto no es ya
prácticamente posible en la práctica en el mundo
digital, puesto que el tratamiento de la información se
distribuye, se prestan servicios a usuarios móviles, y la
interoperabilidad de los sistemas es una condición
básica. Los enfoques tradicionales de la seguridad son
sustituidos por soluciones innovadoras basadas en las nuevas
tecnologías. Estas soluciones implican el uso del cifrado
y las firmas digitales, de nuevos instrumentos de
autenticación y de control del acceso, y de
filtros de software de todo tipo3. Garantizar infraestructuras
de información seguras y fiables no
sólo exige la aplicación de diversas
tecnologías, sino también su correcto
despliegue y su uso efectivo. Algunas de estas tecnologías
existen ya, pero a menudo los usuarios no son conscientes de su
existencia, de la manera de utilizarlas, o de las razones por las
que pueden ser necesarias.

1.1. Respuestas nacionales e
internacionales

La delincuencia informática se comete en el
ciberespacio, y no se detiene en las fronteras nacionales
convencionales. En principio, puede perpetrarse desde cualquier
lugar y contra cualquier usuario de ordenador del mundo. Se
necesita una acción eficaz, tanto a nivel nacional como
internacional, para luchar contra la delincuencia
informática4.

A escala nacional, en muchos casos no hay respuestas
globales y con vocación internacional frente a los nuevos
retos de la seguridad de la red y la delincuencia
informática. En la mayoría de los países,
las reacciones frente a la delincuencia informática se
centran en el derecho nacional (especialmente el derecho penal),
descuidando medidas alternativas de prevención.

A pesar de los esfuerzos de las organizaciones
internacionales y supranacionales, las diversas leyes nacionales
de todo el mundo ponen de manifiesto considerables diferencias,
especialmente en las disposiciones del derecho penal sobre
piratería informática, protección del
secreto comercial y contenidos ilícitos. También
existen considerables diferencias en cuanto al poder coercitivo
de los organismos investigadores (especialmente por lo que
respecta a los datos cifrados y a las investigaciones en redes
internacionales), la jurisdicción en materia penal, y con
respecto a la responsabilidad de los proveedores de servicios
intermediarios por una parte y los proveedores de contenidos por
otra. La Directiva 2000/31/CE5 sobre el comercio
electrónico modifica esto por lo que se refiere a la
responsabilidad de los proveedores de servicios intermediarios
sobre determinadas actividades intermediarias.
Asimismo, la Directiva prohibe a los Estados miembros imponer a
los proveedores de servicios intermediarios una obligación
general de supervisar los datos que transmitan o
almacenen.

A escala internacional y supranacional, se ha reconocido
ampliamente la necesidad de luchar eficazmente contra la
delincuencia informática, y diversas organizaciones han
coordinado o han intentado armonizar actividades al respecto. Los
Ministros de Justicia y de Interior del G8 adoptaron en diciembre
de 1997 un conjunto de principios y un plan de acción de
10 puntos, que fue aprobado por la Cumbre del G8 en Birmingham en
junio de 1998 y que se está aplicando en la actualidad6.
El Consejo de Europa comenzó a elaborar un convenio
internacional sobre la delincuencia cibernética en febrero
de 1997 y se espera que acabe esta tarea en 20017. La lucha
contra la delincuencia cibernética también figura
en el orden del día de las discusiones
bilaterales que la Comisión Europea celebra con algunos
gobiernos (de fuera de la UE). Se ha creado un grupo de trabajo
conjunto CE/EE.UU. sobre protección de infraestructuras
críticas8.

La ONU y la OCDE también han estado activas en
este ámbito, y se está discutiendo en foros
internacionales como el Diálogo Empresarial Global y el
Diálogo Empresarial Transatlántico9.

Hasta hace poco, la acción legislativa en la
Unión Europea ha adoptado básicamente la forma de
medidas en los ámbitos de los derechos de autor, la
protección del derecho fundamental a la intimidad y la
protección de datos, los servicios de acceso condicional,
el comercio electrónico, la firma electrónica y en
especial la liberalización del comercio de productos de
cifrado, que están relacionados de forma indirecta con la
delincuencia informática.

También se han adoptado varias medidas no
legislativas importantes en los últimos 3 o 4 años.
Entre éstas figuran el plan de acción contra los
contenidos ilícitos y nocivos en Internet, que cofinancia
acciones de concienciación, experimentos de
clasificación y filtrado de contenidos y líneas
directas, e iniciativas relativas a la protección de
menores y de la dignidad humana en la sociedad de la
información, la pornografía infantil y la
interceptación legal de las comunicaciones10. La UE ha
apoyado durante mucho tiempo proyectos I+D tendentes a promover
la seguridad y la confianza en infraestructuras de
información y transacciones
electrónicas, y recientemente ha aumentado la
dotación del presupuesto del programa asociado TSI.
También se han apoyado proyectos operativos y de
investigación dirigidos a promover la formación
especializada de las autoridades competentes, así como la
cooperación entre estas autoridades y el sector en
cuestión, en el marco de programas del tercer pilar tales
como STOP, FALCONE, OISIN y GROTIUS11.

El plan de acción para luchar contra la
delincuencia organizada, adoptado por el Consejo JAI en mayo de
1997 y aprobado por el Consejo Europeo de Amsterdam,
incluía una petición para que la Comisión
elaborase, para finales de 1998, un estudio sobre la delincuencia
informática. Este estudio, llamado 'estudio COMCRIME', fue
presentado por la Comisión al grupo de trabajo
multidisciplinar del Consejo contra la delincuencia organizada en
abril de 199812. La presente Comunicación es en parte una
respuesta a la petición del Consejo JAI.

Antes de elaborar esta Comunicación, la
Comisión consideró apropiado realizar consultas
informales con representantes de las autoridades competentes de
los Estados miembros y de las autoridades de control de la
protección de datos13, así como de la industria
europea (especialmente PSI y operadores de
telecomunicaciones)14.

Basándose en los análisis y las
recomendaciones del estudio, las conclusiones extraídas de
la consulta, las nuevas posibilidades previstas por el Tratado de
Amsterdam y los trabajos ya realizados en la UE, el G8 y el
Consejo de Europa, la presente Comunicación
examinará diversas opciones para nuevas medidas de la UE
contra la delincuencia informática. En la Unión
Europea, las soluciones elegidas no deberían obstaculizar
ni dar lugar a la fragmentación del mercado interior, ni a
medidas que socaven la protección de los derechos
fundamentales15.

2. SEGURIDAD DE
LAS INFRAESTRUCTURAS DE INFORMACIÓN

En la sociedad de la información, las redes
globales controladas por los usuarios están sustituyendo
gradualmente a la generación más antigua de redes
nacionales de comunicaciones. Una de las razones del éxito
de Internet es que ha proporcionado a los usuarios acceso a las
tecnologías más vanguardistas. Según la ley
de Moore16, la capacidad informática se
duplica cada 18 meses; pero la tecnología de las
comunicaciones se está desarrollando a un ritmo incluso
más rápido17. Esto supone que el volumen de datos
transportados por Internet se ha estado duplicando en periodos
inferiores a un año.

Las redes telefónicas clásicas fueron
construidas y gestionadas por organizaciones nacionales. Sus
usuarios tenían poca opción en cuanto a servicios y
ningún control sobre el medio. Las primeras redes de datos
que se desarrollaron se construyeron con la misma
filosofía de un medio con control centralizado, lo que se
vio reflejado en la seguridad de estos medios.

Internet y otras redes nuevas son muy diferentes, y la
seguridad ha de gestionarse en consecuencia. La inteligencia y el
control en estas redes se da sobre todo en la periferia, donde se
encuentran los usuarios y los servicios. El núcleo de la
red es sencillo y eficaz, y esencialmente se dedica a transmitir
datos. Apenas se verifican o controlan los contenidos.
Únicamente en el destino final los bits se convierten en
una voz, la imagen de una radiografía o la
confirmación de una transacción bancaria. La
seguridad es por tanto, en gran medida, responsabilidad de los
usuarios, pues sólo ellos pueden apreciar el valor de los
bits enviados o recibidos, y pueden determinar el nivel de
protección necesario.

El medio de los usuarios es por tanto una parte esencial
de la infraestructura de la información. En él hay
que aplicar las técnicas de seguridad, con el permiso y la
participación de los usuarios y de acuerdo con sus
necesidades. Esto es particularmente importante si se considera
la creciente gama de actividades que los usuarios realizan desde
el mismo terminal. Trabajan y juegan, ven la televisión y
autorizan transferencias bancarias, todo ello desde el mismo
instrumento.

Existen diversas tecnologías de seguridad, y se
están desarrollando otras nuevas. Las ventajas del
desarrollo de las fuentes de información de acceso
público en términos de seguridad se están
poniendo de manifiesto. Se ha trabajado mucho en métodos
formales y en criterios de evaluación de la seguridad. El
uso de las tecnologías de cifrado y de firma
electrónica se están haciendo imprescindibles,
particularmente con el desarrollo de los accesos por
telefonía inalámbrica. Cada vez se necesita una
mayor variedad de mecanismos de autenticación para cubrir
nuestras necesidades en el medio donde actuamos. En algunos
medios, podemos necesitar o querer permanecer en el anonimato. En
otros, podemos necesitar demostrar una característica
determinada, sin revelar nuestra identidad, tal como ser adulto o
empleado o cliente de una empresa concreta. En otras situaciones,
puede ser necesario demostrar nuestra identidad. También
los filtros de software son cada vez más sofisticados, y
nos permiten protegernos o proteger a los nuestros de datos no
deseados, como por ejemplo contenidos nocivos, mensajes
publicitarios no solicitados (spam), programas
informáticos perjudiciales y otras formas de ataque. La
aplicación y la gestión de estos requisitos de
seguridad en Internet y en las nuevas redes supone asimismo un
considerable gasto para el sector y los usuarios. Por tanto, es
importante fomentar la innovación y el uso comercial de
los servicios y tecnologías de seguridad.

Naturalmente, también la infraestructura
compartida de enlaces de comunicación y servidores de
nombre tiene sus aspectos de seguridad. La transmisión de
datos depende de las conexiones físicas por donde se
transportan los datos de un ordenador a otro. Estas conexiones
han de establecerse y protegerse de forma que la
transmisión siga siendo posible a pesar de los accidentes,
de los ataques y de un volumen cada vez mayor de tráfico.
La comunicación también depende de servicios
críticos como los proporcionados por los servidores de
nombre, y en especial del pequeño número de
servidores de nombre de primer nivel, que proporcionan las
direcciones necesarias. Cada uno de estos componentes
también necesitará una protección adecuada,
que variará en función de la parte del espacio
nominal y de la base de usuarios a que sirva.

Con el objetivo de aportar una mayor flexibilidad y
respuesta a las necesidades de las personas, las
tecnologías de infraestructura de la información se
han vuelto cada vez más complejas, y a menudo no se han
dedicado los suficientes esfuerzos a la seguridad. Además,
esta complejidad supone la aplicación de programas
informáticos cada vez más sofisticados e
interconectados, lo que a veces da lugar a deficiencias y lagunas
en la seguridad, que pueden aprovecharse fácilmente para
atacar. A medida que el ciberespacio gana en complejidad y sus
componentes en sofisticación, pueden surgir
vulnerabilidades nuevas y no previstas.

Ya existen varios mecanismos tecnológicos, y se
están desarrollando otros destinados a mejorar la
seguridad en el ciberespacio. La respuesta incluye medidas
destinadas a:

Asegurar los elementos críticos de la
infraestructura, mediante la utilización de
infraestructuras públicas clave, el desarrollo de
protocolos de seguridad, etc.

Asegurar los medios privados y públicos mediante
el desarrollo de software de calidad, cortafuegos, programas
antivirus, sistemas electrónicos de gestión de los
derechos, cifrado, etc.

Asegurar la autenticación de los usuarios
autorizados, la utilización de tarjetas inteligentes, la
identificación biométrica, las firmas
electrónicas, las tecnologías de roles,
etc.

Todo esto exige un mayor esfuerzo para desarrollar
tecnologías de seguridad, utilizando la cooperación
con el fin de lograr la interoperabilidad necesaria entre las
soluciones, mediante acuerdos sobre normas
internacionales.

También es importante que los futuros marcos
conceptuales sobre seguridad formen parte de la arquitectura
global, abordando las amenazas y las vulnerabilidades desde el
inicio del proceso de diseño. Esto contrasta con los
enfoques tradicionales acumulativos, que han intentado
necesariamente ir llenando las lagunas explotadas por una
comunidad delictiva cada vez más sofisticada.

El Programa de Tecnologías de la Sociedad de la
Información de la UE (TSI)18,
en especial los trabajos relativos a la información, la
seguridad de la red, y otras tecnologías dirigidas a crear
seguridad19, proporcionan un marco para desarrollar la capacidad
y la tecnología para comprender y abordar nuevos retos
relacionados con la delincuencia informática. Estas
tecnologías incluyen herramientas técnicas para la
protección contra la violación de los derechos
fundamentales a la intimidad y los datos personales y otros
derechos personales, y para la lucha contra la delincuencia
informática. Además, en el contexto del Programa
TSI, se ha puesto en marcha una iniciativa de
seguridad. Esta iniciativa contribuirá a la seguridad y a
la confianza en infraestructuras de información muy
interconectadas y en sistemas de alta
integración en redes, promoviendo la toma de
conciencia respecto a la seguridad y las
tecnologías que proporcionan seguridad. Parte
integrante de esta iniciativa es la cooperación
internacional. El Programa TSI ha desarrollado relaciones de
trabajo con la Agencia de Proyectos de Investigación
Avanzada para la Defensa (DARPA) y la Fundación Nacional
para la Ciencia (NSF), y ha establecido, en colaboración
con el Departamento de Estado de EE.UU., un grupo de
trabajo conjunto CE/EE.UU. sobre protección de
infraestructuras críticas20.

Por último, el establecimiento de obligaciones
relativas a la seguridad, derivadas en particular de las
Directivas comunitarias sobre protección de datos21,
contribuye a mejorar la seguridad de las redes y del
procesamiento de datos.

3. DELINCUENCIA
INFORMÁTICA

Los sistemas modernos de información y
comunicación permiten realizar actividades ilegales desde
cualquier parte del mundo en cualquier momento. No existen
estadísticas fiables sobre la magnitud del fenómeno
de la delincuencia informática. El número de
intrusiones detectadas y comunicadas hasta ahora, probablemente
subestima la dimensión del problema. Debido a la limitada
experiencia y conocimientos de los administradores y usuarios de
sistemas, muchas intrusiones no se detectan. Además,
muchas empresas no están dispuestas a comunicar los casos
de abuso informático, para evitar la publicidad negativa y
la exposición a ataques futuros. Muchos servicios de
policía no mantienen estadísticas sobre el uso de
ordenadores y sistemas de comunicación utilizados en estos
y otros delitos. Sin embargo, se puede esperar que el
número de actividades ilegales crezca a medida que aumenta
el uso de ordenadores y redes. Existe una clara necesidad de
reunir pruebas fiables sobre la importancia de la delincuencia
informática.

En esta Comunicación se aborda la delincuencia
informática en el sentido más amplio; cualquier
delito que de alguna manera implique el uso de tecnología
de la información. Sin embargo, existen distintos puntos
de vista sobre lo que constituye la "delincuencia
informática". Suelen utilizarse indistintamente los
términos "delincuencia informática", "delincuencia
relacionada con la informática", "delincuencia de alta
tecnología" y "delincuencia cibernética". Cabe
diferenciar entre los delitos informáticos
específicos y los delitos tradicionales perpetrados con
ayuda de la informática. Un ejemplo típico se
encuentra en el ámbito aduanero, donde Internet se utiliza
como instrumento para cometer delitos típicos contra la
normativa de aduanas, tales como el contrabando, la
falsificación, etc. Mientras que los delitos
informáticos específicos requieren una
actualización de las definiciones de los delitos en los
códigos penales nacionales, los delitos tradicionales
perpetrados con ayuda de la informática requieren una
mejora de la cooperación y de las medidas
procesales.

Sin embargo, todos ellos se benefician de la
disponibilidad de las redes de información y
comunicación sin fronteras y de la circulación de
datos, intangible y sumamente volátil. Estas
características exigen una revisión de las actuales
medidas dirigidas a abordar las actividades ilegales realizadas
en estas redes y sistemas o utilizando los mismos.

Muchos países han adoptado legislación
dirigida a abordar la delincuencia informática. En los
Estados miembros de la Unión Europea, se han establecido
varios instrumentos jurídicos. Aparte de una
Decisión del Consejo sobre pornografía infantil en
Internet, por ahora no existen instrumentos jurídicos de
la UE que aborden directamente la delincuencia
informática, pero sí existen diversos instrumentos
jurídicos que tratan indirectamente la
cuestión.

Las principales cuestiones que trata la
legislación relativa a los delitos informáticos
específicos, en la UE o en los Estados miembros, son las
siguientes:

Delitos contra la intimidad: Varios
países han introducido disposiciones penales sobre
recogida, almacenamiento, modificación, revelación
o difusión ilegales de datos personales. En la
Unión Europea, se han adoptado dos Directivas para la
aproximación de las normas nacionales sobre
protección de la intimidad por lo que se refiere al
tratamiento de datos personales22. El artículo 24 de la
Directiva 95/46/CE obliga claramente a los Estados miembros a
adoptar las medidas adecuadas para garantizar la plena
aplicación de las disposiciones de la misma y a
determinar, en particular, las sanciones que deben aplicarse en
caso de incumplimiento de las disposiciones de las leyes
nacionales. Los derechos fundamentales a la
intimidad y la protección de datos se incluyen,
además, en la Carta de los Derechos
Fundamentales de la Unión Europea.

Delitos relativos al contenido: La
difusión, especialmente por Internet, de
pornografía, y en especial de pornografía infantil,
las declaraciones racistas y la información que incita a
la violencia plantea la cuestión de hasta qué grado
estos actos pueden combatirse con ayuda del derecho penal. La
Comisión apoya la opinión de que lo que es ilegal
fuera del mundo de la informática también lo es en
éste. El autor o el proveedor de contenidos23 puede ser
responsable en virtud del derecho penal. Se ha adoptado una
Decisión del Consejo para luchar contra la
pornografía infantil en Internet24.

La responsabilidad de los proveedores de servicios
intermediarios, cuyas redes o servidores se utilizan para la
transmisión o el almacenamiento de información de
terceros, se aborda en la Directiva sobre el comercio
electrónico.

Delitos económicos, acceso no autorizado y
sabotaje: Muchos países han aprobado leyes que
abordan los delitos económicos perpetrados por ordenador y
tipifican nuevos delitos relacionados con el acceso no autorizado
a sistemas informáticos (por ejemplo, la piratería,
el sabotaje informático y la distribución de virus,
el espionaje informático, y la falsificación y el
fraude informáticos25) y nuevas formas de cometer delitos
(por ejemplo, manipulación de un ordenador en vez de
engañar a una persona). El objeto del delito suele ser
intangible, por ejemplo, dinero en depósitos bancarios o
programas de ordenador. Actualmente, no existen instrumentos
comunitarios que contemplen estos tipos de actividad ilegal. Por
lo que respecta a la prevención, el
recientemente adoptado Reglamento sobre bienes de doble uso ha
contribuido considerablemente a liberalizar la disponibilidad de
productos de cifrado.

Delitos contra la propiedad intelectual: Se han
adoptado dos Directivas, sobre la protección
jurídica de programas de ordenador y sobre la
protección jurídica de las bases de datos26,
directamente relacionadas con la sociedad de la
información y que determinan sanciones. El Consejo ha
adoptado una posición común sobre una propuesta de
Directiva relativa a los derechos de autor y
derechos afines en la sociedad de la información, y se
espera que se adopte a principios de 200127. La violación
de los derechos de autor y derechos afines debe sancionarse, al
igual que la elusión de las medidas tecnológicas
diseñadas para proteger estos derechos. Por lo que se
refiere a la falsificación y a la piratería, la
Comisión presentará, antes de finales
de 2000, una comunicación que examinará el proceso
de consulta iniciado con su Libro Verde de 1998 y que
anunciará un plan de acción pertinente. A medida
que Internet crece en importancia desde el punto de vista
comercial, están surgiendo nuevos conflictos en torno a
nombres de dominio, relacionados con la ciberocupación, el
acaparamiento y el secuestro de nombre de dominio, lo que,
naturalmente, exige normas y procedimientos para
abordar estos problemas28.

También es necesario abordar la ejecución
de las obligaciones fiscales. En el caso de transacciones
comerciales en que el receptor del suministro en línea de
un servicio electrónico esté ubicado en la UE, en
la mayoría de los casos surgirán obligaciones
fiscales en la jurisdicción donde se realiza tal
servicio29. El incumplimiento de las obligaciones fiscales
expone a los operadores a sanciones civiles (y en algunos
casos penales), que pueden incluir el embargo de cuentas
bancarias o de otros bienes. Si bien el cumplimiento voluntario
es siempre la mejor opción, en último caso dichas
obligaciones han de hacerse cumplir. La cooperación entre
las administraciones fiscales es un elemento clave para lograr
este objetivo.

Al posibilitar la protección de las transacciones
legales, se proporciona a los delincuentes los mismos medios para
proteger sus transacciones ilegales. Los instrumentos que
protegen el comercio electrónico también pueden
utilizarse para apoyar el tráfico de drogas. Será
necesario establecer prioridades y tomar opciones.

La protección de las víctimas frente a la
delincuencia informática exige asimismo cubrir aspectos de
responsabilidad, reparación y compensación, que
surgen cuando se cometen delitos informáticos. La
confianza no depende sólo del uso de la tecnología
adecuada, sino también de las garantías
económicas y jurídicas adjuntas. Estas cuestiones
deberán examinarse respecto de todos los delitos
informáticos.

Se necesitan instrumentos jurídicos sustantivos y
procesales eficaces aproximados a escala mundial, o al menos
europea, para proteger a las víctimas de la delincuencia
informática y para llevar a los autores ante la Justicia.
Al mismo tiempo, las comunicaciones personales, la
protección de datos y de la intimidad, y el acceso y la
difusión de la información, son derechos
fundamentales en las democracias modernas. Por ello es necesario
contar con la disponibilidad y el uso de medidas eficaces de
prevención, para reducir la necesidad de aplicar medidas
de ejecución. Cualquier medida legislativa que pueda
resultar necesaria para abordar la delincuencia
informática ha de alcanzar un equilibrio entre estos
importantes intereses.

4. CUESTIONES DE
DERECHO SUSTANTIVO

La aproximación del derecho sustantivo en el
ámbito de la delincuencia de alta tecnología
garantizará un nivel mínimo de protección
para las víctimas de la delincuencia informática
(por ejemplo, las víctimas de la pornografía
infantil), contribuirá al cumplimiento del requisito de
que una actividad debe constituir delito en ambos países
para que pueda prestarse asistencia jurídica mutua en una
investigación penal (requisito de doble tipicidad), y
aportará mayor claridad al sector (por ejemplo, respecto a
lo que constituyen contenidos ilícitos).

De hecho, a raíz de la Cumbre de Tampere del
Consejo Europeo en octubre de 1999, se ha introducido en la
agenda de la UE un instrumento legislativo comunitario para
aproximar el derecho penal sustantivo en el ámbito de la
delincuencia informática30. La Cumbre incluyó la
delincuencia de alta tecnología en una lista limitada de
ámbitos en los que deben concentrarse esfuerzos para
acordar definiciones, tipificaciones y sanciones comunes. Esto se
incluye en la recomendación 7 de la estrategia de la
Unión Europea para el nuevo milenio sobre
prevención y control de la delincuencia organizada,
adoptada por el Consejo JAI en marzo de 200031. Forma
también parte del programa del trabajo de la
Comisión para el año 2000 y del Marcador para la
creación de un espacio de libertad, seguridad y justicia,
elaborado por la Comisión y adoptado por el Consejo de
Justicia e Interior el 27 de marzo de 200032.

La Comisión ha seguido el trabajo del Consejo de
Europa relativo al Convenio sobre la delincuencia en el
ciberespacio. En el actual proyecto de Convenio del Consejo de
Europa sobre delincuencia cibernética figuran cuatro
categorías de delitos: 1) delitos contra la
confidencialidad, la integridad y la disponibilidad de los
sistemas y datos informáticos; 2) delitos
informáticos; 3) delitos relativos al contenido; y 4)
delitos relativos a la violación de los derechos de autor
y derechos afines.

La aproximación de la UE podría ir
más lejos que el Convenio del Consejo de Europa, que
representará una aproximación mínima a
escala internacional. Esta armonización podría ser
operativa en un plazo más corto que la entrada en vigor
del Convenio del Consejo de Europa33. Introduciría el
delito informático en el ámbito del derecho
comunitario e introduciría mecanismos
jurídicos de la UE.

La Comisión otorga una gran importancia a
garantizar que la Unión Europea pueda tomar medidas
efectivas, en especial contra la pornografía infantil en
Internet. La Comisión acoge con satisfacción la
Decisión del Consejo para luchar contra la
pornografía infantil en Internet, pero comparte la
opinión del Parlamento Europeo de que se requieren nuevas
medidas para aproximar las leyes nacionales. La Comisión
se propone introducir a finales de este año una propuesta
de decisión marco del Consejo que incluya disposiciones
para la aproximación de leyes y sanciones sobre
pornografía infantil en Internet34.

De acuerdo con las conclusiones de Tampere, la
Comisión presentará una propuesta legislativa en
virtud del Título VI del TUE, con el fin de aproximar los
delitos de alta tecnología. Esta medida aprovechará
los progresos realizados en el Consejo de Europa y
abordará, en particular, la necesidad de aproximar la
legislación relativa a la piratería y la
denegación de servicio. La propuesta incluirá
definiciones estándar para la Unión Europea en este
ámbito. Esto podría ir más allá que
el proyecto de Convenio del Consejo de Europa, garantizando que
los casos graves de piratería y de denegación de
servicio sean castigados con una pena mínima en todos los
Estados miembros.

Además, la Comisión examinará el
alcance de las medidas contra el racismo y la xenofobia en
Internet, con vistas a presentar una propuesta para una
decisión marco del Consejo, en virtud del Título VI
del TUE, que cubra las actividades racistas y xenófobas en
línea y fuera de línea. Para ello, se tendrá
en cuenta la próxima evaluación de la
aplicación por los Estados miembros de la acción
común de 15 de julio de 1996 sobre medidas para luchar
contra el racismo y la xenofobia35. La acción común
constituyó un primer paso hacia la aproximación de
los delitos relativos al racismo y la xenofobia, pero es
necesaria una mayor aproximación en la
Unión Europea. La importancia y sensibilidad de esta
cuestión se subrayaron en la decisión del un
tribunal francés de 20 de noviembre de 2000, en la que se
exigía a Yahoo que bloquease a los usuarios franceses el
acceso a sitios de venta de recuerdos nazis36.

Por último, la Comisión estudiará
cómo mejorar la eficacia de los esfuerzos contra el
comercio ilícito de drogas en Internet, cuya importancia
se reconoce en la estrategia de la Unión Europea contra
las drogas 2000-2004, aprobada en el Consejo Europeo de
Helsinki37.

5. CUESTIONES DE
DERECHO PROCESAL

La propia naturaleza de los delitos informáticos
acerca a un primer plano de la atención nacional e
internacional las cuestiones procesales, debido a la
intervención de distintas soberanías,
jurisdicciones y normativas. Más que en cualquier otro
delito transnacional, la velocidad, movilidad y flexibilidad del
delito informático suponen un reto a las actuales normas
de derecho procesal penal.

La aproximación de las competencias previstas por
el derecho procesal mejorará la protección de las
víctimas, al garantizar que los servicios responsables de
la aplicación de la ley cuentan con los poderes necesarios
para investigar delitos en su propio territorio, y
garantizará que estos servicios puedan responder
rápida y eficazmente a las peticiones de
cooperación de otros países.

También es importante garantizar que las medidas
adoptadas en virtud del derecho penal, que suelen ser competencia
de los Estados miembros y del Título VI del TUE, cumplen
los requisitos del derecho comunitario. En particular, el
Tribunal de Justicia ha mantenido reiteradamente que tales
disposiciones legislativas no podrán suponer una
discriminación contra las personas a las que el derecho
comunitario confiere el derecho a la igualdad de trato, ni
restringir las libertades fundamentales garantizadas por el
derecho comunitario38. Toda nueva competencia que se defina para
los servicios responsables de la aplicación de la
ley deberá evaluarse a la vista del derecho
comunitario y de su impacto en la intimidad.

5.1. Interceptación de las
comunicaciones

En la Unión Europea, existe un principio general
de confidencialidad de las comunicaciones (y de los
correspondientes datos sobre tráfico). Las
interceptaciones son ilegales a menos que estén
autorizadas por ley, cuando sea necesario en casos
específicos para objetivos concretos. Esto se desprende
del artículo 8 del Convenio Europeo para la
Protección de los Derechos Humanos, mencionado en el
artículo 6 del TUE, y más concretamente de las
Directivas 95/46/CE y 97/66/CE.

Todos los Estados miembros tienen un marco
jurídico que permite a las autoridades competentes obtener
mandatos judiciales (o, en caso de dos Estados miembros, mandatos
autorizados personalmente por un Ministro) para interceptar
comunicaciones en la red pública de telecomunicaciones39.
Esta legislación, que debe ser acorde con el derecho
comunitario en la medida en que éste contenga
disposiciones al respecto, contiene salvaguardias que protegen el
derecho fundamental de los individuos a la intimidad, tales como
la limitación del uso de la interceptación a las
investigaciones sobre delitos graves, la exigencia de que la
interceptación en investigaciones individuales sea
necesaria y proporcionada, y la garantía de que los
individuos sean informados acerca de la interceptación tan
pronto como ello deje de obstaculizar la investigación. En
muchos Estados miembros, la legislación sobre
interceptación contiene obligaciones para los operadores
de telecomunicaciones (de servicio público) de establecer
posibilidades de interceptación. Una Resolución del
Consejo de 1995 coordina los requisitos de la
interceptación40.