[Nota del autor: el autor de este artículo es un técnico, no un abogado. Aunque se ha consultado con varios juristas para corroborar que no se ha dicho ninguna barbaridad legal, se recomienda encarecidamente consultar con un profesional del ámbito legal de confianza en caso necesario].
[Nota del autor 2: quiero agradecer las ideas y comentarios ofrecidas por el grupo de Telegram de Informática Forense: https://t.me/forense, cuya actividad ha propiciado e impulsado el presente artículo].
Imaginemos que María es una analista forense que está trabajando en un caso de espionaje corporativo. Mientras está analizando unos ficheros comprimidos con unos nombres extraños, descubre horrorizada que están repletos de imágenes de pornografía infantil.
Imaginemos que Pepe es un pentester que tiene como objetivo hacerse con el control de un servidor de correo, teniendo que presentar como prueba correos de media docena de altos cargos. Una vez logrado su objetivo extrae varios correos al azar de las cuentas de correo, pero comprueba con indignación que contienen información sobre el soborno a un funcionario para la concesión de una importante contratación pública.
Tanto María como Pepe han firmado un estricto acuerdo de confidencialidad con la empresa en la que trabajan, en el que se especifica claramente que “toda la información de la que tengan conocimiento durante su actividad laboral debe ser mantenida en el más estricto secreto”.
Ante esta tesitura, se plantean los siguientes escenarios posibles:
- Se presenta una denuncia ante las FCSE pertinentes. No se realizan acciones legales contra el técnico que la presenta.
- Se presenta una denuncia antes las FCSE. El técnico se enfrenta a un posible despido y/o acciones legales desde la parte afectada.
- No se presenta una denuncia, y el delito bien nunca sale a la luz, bien nadie sabe que el técnico tenía conocimiento del mismo.
- No se presenta una denuncia y en un futuro el delito sale a la luz. Se descubre que el técnico tenía conocimiento del mismo.
Veamos lo que dice la legislación vigente al respecto. [Nota: el autor pretende hacer un resumen “digerible” de las leyes aplicables. Se recomienda leer los artículos íntegros de cada ley para tener una visión completa de todas las casuísticas posibles].
- La Ley de Enjuiciamiento Criminal (LeCr) especifica en sus artículos 259 a 269 que todos los ciudadanos tenemos la obligación de comunicar a las autoridades pertinentes cualquier delito que presenciemos o del que tengamos conocimiento, bajo pena de multa.
- El Código Penal especifica en el artículo 450 que si no impedimos la comisión de un delito grave (o la comunicamos a las autoridades pertinentes) incurrimos un delito de omisión de nuestro deber de impedir delitos o promover su persecución, castigado con penas de hasta dos años de cárcel.
Un matiz importante: existen tres tipos de delitos; privados, semipúblicos y públicos. Los privados son aquellos que solo se persiguen si el afectado se querella (por ej, calumnias e injurias). Los semipúblicos son aquellos que requieren de una denuncia por parte del agraviado (por ej, un abuso sexual o un delito contra la intimidad). Y los públicos son… todos aquellos que no sean ni privados ni semipúblicos. La LeCr solo nos obliga a denunciar los delitos públicos.
Siendo ciudadanos cumplidores de la ley como debiéramos, las opciones c) y d) no deberían siquiera tomarse en consideración. Está claro que en el escenario c), aunque el técnico esté incurriendo en un delito, no existen consecuencias legales (las implicaciones éticas y morales son particulares, y en ellas no vamos a meternos en este artículo). Y no hay que olvidar que siempre existe la posibilidad de que se descubra el delito y la investigación haga que se produzca un caso d)…
El caso a) es quizás el más satisfactorio para el técnico: éste cumple con su deber y no existen consecuencias. Sin embargo, el caso b) es algo que nos preocupa a todos los técnicos: ¿qué sucede si la denuncia nos acarrea un problema?
Veamos qué acciones legales podrían esgrimir contra nosotros tanto nuestra empresa como la tercera parte afectada:
- El acuerdo de confidencialidad firmado por el técnico incluye una cláusula que indica que cualquier infracción grave del acuerdo puede suponer un despido procedente.
- La Ley del Estatuto de los Trabajadores especifica en su artículo 54 las condiciones para un despido procedente. La empresa podría argumentar una (cito literalmente) “transgresión de la buena fe contractual, así como el abuso de confianza en el desempeño del trabajo” como causa de despido procedente.
- La tercera parte demanda al técnico por un delito de calumnias según lo especificado en el artículo 205 del Código Penal (calumnia = imputación de un delito hecha con conocimiento de su falsedad o temerario desprecio hacia la verdad), con penas de multa.
- La tercera parte demanda al técnico por un delito de descubrimiento y revelación de secretos según indican los artículos 197 a 200 del Código Penal (delitos contra el honor, en caso de una persona), o los artículos 278 a 280 del Código Penal (delitos contra la propiedad industrial, en caso de una empresa), con penas de multa y de prisión hasta los 5 años.
Analicemos con un poco más de detalle cada una de estas acciones legales. En primer lugar, es factible incluir una cláusula en un acuerdo de confidencialidad que liste una serie de supuestos de despido procedente. Sin embargo, todas las cláusulas de dicho acuerdo tienen que atenerse a la legalidad vigente, de lo contrario se declaran como nulas.
En nuestro caso, la obligación del técnico a cumplir con su obligación de denunciar un delito pesará siempre por encima de lo especificado en el acuerdo de confidencialidad. Podemos remitirnos sin problema al artículo 24 de la Constitución Española, que describe la tutela judicial efectiva en el ejercicio de nuestros deberes y derechos legítimos. Si se va a juicio, el juez declarará con casi total seguridad el despido como nulo, obligando a la readmisión del técnico o a la indemnización correspondiente.
En el segundo caso, la argumentación de la “transgresión de la buena fe contractual, así como el abuso de confianza en el desempeño del trabajo” constituye una interpretación bastante amplia y generosa de la Ley (aunque existe una cierta división de opiniones entre los juristas consultados, ojo). Si nos fijamos en detalle, en todo el Estatuto de los Trabajadores la única referencia concreta al deber de secreto o sigilo del empleado viene dada por el artículo 65, aplicada a los miembros del Comité de Empresa y únicamente con la información que se les haya proporcionado.
Existen otras referencias en la legislación (aplicables por ejemplo a los profesionales sanitarios o a los firmantes de la Ley de Secretos Oficiales), pero ninguna que parezca aplicarse al personal técnico dentro del ámbito de la seguridad informática. De todas formas, sea cual sea la interpretación del artículo 54, podemos volver a emplear el razonamiento de primer apartado: cualquier despido causado por el cumplimiento de una ley por nuestra parte será declarado con casi total como nulo.
Continuemos con el tercer caso, también bastante sencillo. El propio artículo 207 del Código Penal indica que el acusado de un delito de calumnias queda absuelto del mismo si prueba el hecho criminal denunciado. Lo que puede ser muy recomendable en este caso es recopilar y documentar cuidadosamente todo los hechos que se hayan encontrado, para de esta forma no tener problemas al respecto. Incluso en ese caso, una denuncia por calumnias tiene poco recorrido ya que basta una apariencia suficiente de actividad delictiva para que se justifique la denuncia.
Llegamos al último caso, quizás el más complejo ¿qué sucede ante una denuncia por revelación de secretos? En este punto lo primero sería determinar si las evidencias obtenidas por el técnico se encuentran dentro del alcance definido por el proyecto (lo que se conoce en algunos ámbitos como “orden de trabajo”).
Es decir, que el técnico se ha encontrado con el delito mientras desarrollaba las tareas que se le han encomendado sin extralimitarse en sus funciones. Esta puntualización es crítica por varios motivos.
Si el técnico está actuando fuera del ámbito de lo encargado (por ejemplo, leyendo correos cuando tenía que buscar imágenes en un análisis forense), puede estar realmente cometiendo un delito de revelación de secretos. El artículo 264 de la Ley de Enjuiciamiento Criminal indica que “el denunciador no contraerá en ningún caso otra responsabilidad que la correspondiente a los delitos que hubiese cometido por medio de la denuncia, o con su ocasión”.
Adicionalmente, si hacemos caso a la doctrina del árbol envenenado, toda prueba obtenida de forma ilícita no podrá ser usada en un proceso judicial. Es decir, el técnico habrá cometido un delito… y lo que haya obtenido no podrá ser empleado en un juicio.
Sin embargo, si el técnico está actuando dentro del ámbito de los trabajos a realizar, y se encuentra con las evidencias de forma natural (para ello resultará fundamental el informe realizado por el técnico describiendo el proceso seguido), se entiende que está cumpliendo su deber denunciando el delito, aplicándose la tutela judicial efectiva antes mencionada.
El artículo ha pretendido comentar y extender algunos de los supuestos a los que un técnico de ciberseguridad puede enfrentarse en algún momento de su actividad laboral. Las recomendaciones en caso de encontrarse en esta situación son claras:
- Documenta todo el proceso seguido lo más cuidadosamente posible.
- Recopila todas las evidencias disponibles de forma segura.
- Busca asistencia legal cuanto antes.
El autor es de la opinión de que la legislación debería proteger específicamente a los denunciantes de este tipo de delitos. La decisión final sobre denunciar o no recae en los propios técnicos.