1. Objeto

El objeto del presente artículo es el análisis de las posibles acciones a llevar a cabo por la empresa en relación con la imposibilidad de acceso a arte de sus sistemas, como consecuencia de la baja voluntaria en la misma por parte del informático y la falta de entrega de las correspondientes claves de acceso.

 

2. Antecedentes

Para el análisis en cuestión, pongamos que el empleado a cargo de los servicios informáticos de la empresa solicita la baja voluntaria de ésta.

Supongamos también que, con carácter previo a la baja de la empresa, hubiera colaborado con la empresa externa a la que se le hubiera cedido la gestión de los sistemas informáticos y que, tras la baja, la empresa tenga conocimiento de que carece de claves de acceso a algunos de los sistemas gestionados anteriormente por el empleado que se dio de baja.

Por esta razón, la empresa no puede acceder a determinadas aplicaciones que almacenan información empresarial, de empleados y demás servicios informáticos que resultan necesarios para el normal desarrollo de su actividad comercial.

Por último, supondremos que la entidad no puede proceder al bloqueo y modificación, debido al riesgo inherente de perder, de forma total o parcial, la información almacenada en los sistemas.

 

3. Análisis de las posibles implicaciones y acciones jurídicas ante la pérdida de acceso a la información

 

      3.1. Desde el punto de vista de aplicación de las normas penales

Cabe examinar si conforme al Código penal (en adelante CP) habría algún tipo de implicación por la retención o pérdida de las claves de acceso a los servidores de información.

      a) Tipificación penal

El artículo 197 bis 1 CP establece como conducta delictiva:

“El que por cualquier medio o procedimiento, vulnerando las medidas de seguridad establecidas para impedirlo, y sin estar debidamente autorizado, acceda o facilite a otro el acceso al conjunto o una parte de un sistema de información o se mantenga en él en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años.”

      b) Objeto material del delito

El objeto del delito está integrado por los datos o programas informáticos contenidos en un sistema informático.

Forman parte del software, los elementos lógicos del sistema, pudiendo distinguirse entre: «datos», las unidades básicas de información, «documento electrónico» el conjunto de datos, lógicamente relacionados y «soportes», los dispositivos en donde se almacenan los ficheros, programas o documentos electrónicos, y que pueden ser electromagnéticos, ópticos, memoria RAM etc.

Los datos informáticos se refieren, por tanto, a toda representación de hechos, informaciones o conceptos de una forma que permita su tratamiento en un sistema de información realice una función.[1]

Por tanto, el simple acceso a cualquier sistema de información con independencia de que contenga o no datos de carácter personal puede ser constitutivo de delito.

 

      c) Bien jurídico protegido

Afecta tanto a la intimidad personal como a la seguridad informática, esto es la seguridad de los datos y sistemas informáticos.[2]

Por lo que, en principio, el simple acceso al sistema informático, o el mero mantenimiento en el sistema informático por parte del empleado en contra la voluntad de la empresa podría ser constitutiva de delito.

 

      d) Conducta delictiva

La primera modalidad típica es el acceso sin autorización a datos o programas informáticos en un sistema informático.[3]

Para probar este ilícito la empresa debe tener acceso al sistema, por lo que si el empleado en cuestión estuviera en posesión de las claves y no pudiera acceder al sistema, no existirían pruebas que nos permitan deducir que éste haya accedido ilícitamente a los programas informáticos

La segunda modalidad típica, alternativa a la primera, es la de mantenerse dentro del sistema en contra de la voluntad de quien tiene el legítimo derecho de exclusión.

Se entiende en dicha modalidad, que el acceso informático previo ha sido lícito, contando con la autorización del titular del sistema informático, que es retirada ulteriormente, manteniéndose el sujeto activo dentro del sistema informático en contra de la voluntad de quien tiene el legítimo derecho a excluirlo.

Aplicando dicha disposición al supuesto planteado nos encontramos que, con carácter inicial, debido a los servicios profesionales prestados por el informático, éste tenía autorización para acceder al sistema y además era la única persona que disponía de las claves de acceso, y que con posterioridad, tras su salida de la empresa se niega a ceder las claves.

A consecuencia de ello, la empresa no dispone de las claves y tampoco puede acceder al sistema, ni tan siquiera para cambiar las claves y excluir el posible acceso al sistema del informático, quien se mantiene en el sistema de manera ilícita en contra de la voluntad de la entidad.

Tal conducta, podría ser subsumible en un delito de intrusismo informático. Siempre y cuando concurran elementos probatorios que acrediten que el informático tiene efectivo conocimiento de las claves, y se niega conscientemente a cederlas a la empresa, para mantenerse en el sistema en contra de su voluntad.

Otro aspecto a tener en cuenta es la especial gravedad de la conducta: habrá que valorar si existe alguna medida alternativa al ejercicio de acciones penales que permita excluir al informático del acceso al sistema o las consecuencias que ello acarrea para la empresa.

 

      e) Penas

En caso de ser acreditada la conducta delictiva ejecutada por el informático consistente en mantenerse en un sistema en contra de la voluntad de su legítimo titular (le empresa) podrá acarrear penas de prisión de seis meses a dos años.[4]

Igualmente, en caso de que resultara acreditada la concurrencia de un acceso ilícito por parte del informático a los sistemas de la empresa, concurriría la agravante estipulada en el artículo 197.4 del CP por el que se establecen penas más severas por la privilegiada posición del autor, quien actúa en calidad de informático para cometer el delito.

 

El abuso para cometer estos hechos, derivados de la posición del sujeto activo con relación a ellos, que el Código expresa en el número 4 del art. 197 del CP con la fórmula «personas encargadas o responsables de los ficheros, soportes informáticos, electrónicos o telemáticos, archivos o registros», hace que pueda imponerse una pena de tres a cinco años. Y si existiera difusión de la información obtenida, la pena sería de cuatro años y un día a cinco años, es decir, la mitad superior de la pena anteriormente indicada.

 

En este caso, el Código sanciona de modo más grave a los encargados o responsables de la información alojada en soportes informáticos, por la vulneración de los deberes de confianza que en ellos se ha depositado. Sin duda incluye a todos los «técnicos» informáticos que, por su condición de tales, tienen acceso a los ordenadores y a la informática de las entidades en las que presten sus servicios, tanto de forma interna, por estar integrados en las mismas, como a aquellos cuyo trabajo se presta externamente, y ya de modo habitual o extraordinario, así un técnico contratado expresamente para resolver una incidencia o reparar el sistema.

 

      f) Conclusiones

De acuerdo con todo lo expuesto, y de cómo se valora por nuestra jurisprudencia y doctrina actual el intrusismo informático y partiendo de la base de que en Derecho Penal rige el principio de intervención mínima[5], desde nuestro punto de vista, consideramos que no existen pruebas por el momento que nos permitan sostener una acusación razonable contra el informático por acceso ilícito a sistemas informáticos hasta que la empresa misma pudiera tener acceso a dichos sistemas informáticos.

En cuanto a la segunda modalidad de conducta delictiva, consistente en mantenerse en un sistema informático en contra de la voluntad de su legítimo titular al no ceder las claves. Si bien a priori podría ser apreciada la concurrencia de los elementos objetivos del tipo, en atención a la información de la que disponemos y dado que el derecho penal constituye la última ratio de intervención, entendemos circunstancias específicas de gravedad de la conducta son insuficientes para poder interponer una acción penal encaminada a un resultado positivo contra el empleado.

Todo ello sin perjuicio que de acreditarse el efectivo acceso ilícito al sistema informático podría apreciarse una alta viabilidad para la interposición de acciones penales por delito de intrusismo informático.

 

      3.2. Desde el punto de viste de la aplicación de la normativa de protección de datos

 

      a) Normativa aplicable y obligaciones del responsable en materia de seguridad

Cabe examinar si conforme a las normas vigentes en materia de protección de datos habría algún tipo de implicación por la retención o pérdida de las claves de acceso a los servidores.

La protección de los datos de carácter personal está actualmente regulada por las siguientes normas:

  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de personas físicas en lo que respecta al tratamiento de los datos personales y a la libre circulación de estos datos y por la que se deroga la Directiva 95/46/CE (RGPD).
  • Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos de carácter personal y garantía de los Derechos digitales (en adelante LOPDGDD).

En virtud de tales normas, el cumplimiento de las obligaciones previstas en las mismas corresponde al responsable del tratamiento de los datos de carácter personal, esto es, quien decide sobre el uso, finalidades del tratamiento y destino de los datos de carácter personal. En este caso, la empresa sería la responsable del tratamiento de los datos y, por tanto, de la adopción de las medidas necesarias para proteger la integridad, confidencialidad y uso autorizado de dichos datos.

Esta responsabilidad se puede diluir cuando existe un encargado del tratamiento, esto es, un tercero que accede a los datos para prestar un servicio al responsable. En estos supuestos, contractualmente se deben fijar las obligaciones que asume el encargado respecto al tratamientos de sus datos de carácter personal. De este modo, si el encargo incumple con las obligaciones impuestas por el responsable del tratamiento, sería responsable de las posibles infracciones y sanciones que pudieran derivarse del incumplimiento de las normas de protección de datos, siempre y cuando el responsable hubiera comprobado la capacidad de cumplimiento de las normas de protección de datos por parte del encargado correspondiente.

Ahora bien, en el caso que hemos planteado, el encargado de los sistemas de la entidad no era un tercero, sino un empleado de la misma sociedad.

La empresa, en su calidad de responsable del tratamiento, en atención a la naturaleza, el ámbito, el contexto y los fines del tratamiento que realiza, así como los riesgos que dicho tratamiento pueda conllevar para los derechos y libertades de las personas físicas, debe definir y aplicar medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con las normas de protección de datos.

Al hilo de lo anterior Al hilo de lo anterior, el artículo 32 del RGPD establece que, entre las medidas que deben implantar los responsables se encuentran aquellas dirigidas a garantizar la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico. Por lo tanto, es conveniente contar con un procedimiento que asegure poder recuperar el acceso a los datos de carácter personal ante caídas de la red o bloqueo de contraseñas o cualquier otra situación que impida acceder a las bases de datos. Así las cosas, de acuerdo con la norma, es el responsable quien debe establecer y contar con un protocolo que le permita subsanar el incidente.

Ahora bien, también constituye una medida de seguridad la definición de las funciones y obligaciones que debe cumplir el personal de la empresa que trate datos de carácter personal en el ejercicio de sus funciones. En este sentido damos por hecho que, junto con el contrato de trabajo, el empleado suscribió las cláusulas por las que se comprometía a respetar las normas de protección de datos de la empresa, así como mantener la confidencialidad respecto a los datos de carácter personal a los que pudiera acceder en el desarrollo de sus actividades.

Respecto a la entrega o devolución de las claves de acceso no se dispone nada en las normas internas de la empresa, más bien al contrario, se impone la obligación a los empleados de mantener la confidencialidad respecto a sus claves de acceso. No obstante, del propio documento se desprende que dicha obligación se impone a los empleados que, como usuario, precisen acceder a aplicaciones o programas de la empresa para el ejercicio de sus funciones, no siendo aplicable a este supuesto concreto, en que es preciso recuperar las claves de administrador de la aplicación o sistema. Parece claro que, en este caso, la entidad precisa acceder a dichas claves, por cuanto es la figura del administrador la que configura el uso de la aplicación, así como los diferentes permisos y accesos a los que pueden acceder el resto de los usuarios. En consecuencia, debería tener un tratamiento diferente de las claves y contraseñas de otros usuarios del sistema.

Sentado lo anterior, lo cierto es que el incumplimiento de las normas o políticas de protección corporativas por parte de empleados podría conllevar que se inicie un procedimiento disciplinario en el seno de la empresa, en caso de que dicho incumplimiento suponga una infracción que pudiera ser objeto de sanción por la AEPD. Así, el empresario podría imponer distintas sanciones, incluido el despido, a los trabajadores que incumplan sus instrucciones o políticas internas en este ámbito. No obstante, en este caso, el trabajador ha causado baja voluntaria en la empresa y no sería posible iniciar ningún procedimiento disciplinario por este motivo.

Cuestión diferente, sería que se produjera un acceso no autorizado por parte del empleado a los datos o que procediese a la filtración, alteración o supresión de los mismos con posterioridad a la fecha de baja en la empresa. En este caso, se podrían reclamar los correspondientes daños y perjuicios que haya causado a la empresa, con motivo de dicha acción, siempre y cuando se reúnan los requisitos exigidos para apreciar la existencia y la causalidad del daño.

      b) Violación de la seguridad de los datos

Adicionalmente, cabe analizar si la situación descrita supondría una violación de la seguridad de los datos de carácter personal o una “brecha de seguridad”. En este punto, el artículo 4 del RGPD define violación de seguridad de los datos de carácter personal como:

“toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”

De acuerdo con el supuesto planteado, no se tiene constancia de que se haya producido ninguna de las situaciones descritas por lo que, salvo que se produzca una filtración, alteración, acceso no autorizado o pérdida de los datos, no estaríamos ante una “brecha de seguridad”. En el supuesto de que se produjera una de estas situaciones será necesario analizar, si la filtración o modificación de la información personal puede entrañar un riesgo para los derechos o libertades de las personas afectadas. En este sentido, habrá que evaluar, en el menor tiempo posible, el tipo de datos que se han visto afectados por la brecha, la naturaleza de esta y el volumen de personas afectadas por la misma para poder decidir si se requiere la notificación a la autoridad de control o si esta no sería necesaria en atención al escaso alcance o relevancia de la brecha.

De este modo, dependiendo de los resultados de dicho análisis será necesario o no, notificar la brecha de seguridad a la Agencia Española de Protección de Datos en el plazo de 72 horas desde que se tuvo conocimiento de la brecha.

      c) Conclusión

No es posible ejercitar una denuncia o iniciar un procedimiento por incumplimiento de las normas de protección de datos contra el ex-empleado de la sociedad, por cuanto el responsable del cumplimiento de la normativa es la propia empresa. De hecho, el artículo 32 del RGPD prevé que, entre otras medidas de seguridad, los responsables dispongan de medidas que aseguren capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.

En este caso, no existirá una brecha de seguridad o violación de seguridad de los datos que precise de notificación a la AEPD, por cuanto no se han filtrado, suprimido o alterado los datos de carácter personal que puedan alojarse en los servidores/aplicaciones mencionadas.

 

      3.3. Desde el punto de vista de la aplicación de la normativa laboral

Cabe examinar si conforme al Estatuto de los Trabajadores (en adelante “ET”) habría algún tipo de implicación por la retención o pérdida de las claves de acceso a los servidores de la empresa.

 

      a) Tipificación laboral

El artículo 59 del ET establece:

“1. Las acciones derivadas del contrato de trabajo que no tengan señalado plazo especial prescribirán al año de su terminación.

A estos efectos, se considerará terminado el contrato:

a) El día en que expire el tiempo de duración convenido o fijado por disposición legal o convenio colectivo.

b) El día en que termine la prestación de servicios continuados, cuando se haya dado esta continuidad por virtud de prórroga expresa o tácita.

2. Si la acción se ejercita para exigir percepciones económicas o para el cumplimiento de obligaciones de tracto único, que no puedan tener lugar después de extinguido el contrato, el plazo de un año se computará desde el día en que la acción pudiera ejercitarse.”

De la misma manera, el artículo 1101 del Código Civil (supletorio del Derecho laboral) señala:

“Quedan sujetos a la indemnización de los daños y perjuicios causados los que en el cumplimiento de sus obligaciones incurrieren en dolo, negligencia o morosidad, y los que de cualquier modo contravinieren al tenor de aquéllas.”

Igualmente, el artículo 1902 del Código Civil establece:

“El que por acción u omisión cause daño a otro interviniendo culpa o negligencia, vendrá obligado a reparar el daño causado.”

Se somete a estudio del departamento laboral la posibilidad de iniciar acciones contra el trabajador, ante la imposibilidad de la empresa de acceder a determinados servidores ante la ausencia de las claves.

Como antecedentes más relevantes para valorar la viabilidad de una reclamación de daños y perjuicios al trabajador, contamos con los siguientes hechos: el trabajador que entró a prestar servicios como informático llevaba diez años en la empresa cuando causó baja voluntaria, habiendo dado previamente un preaviso de 15 días.

Por ello, cuando el trabajador comunica su intención de abandonar la empresa, se pone en contacto con una empresa externa de informática que actualmente gestiona los sistemas informáticos de la entidad. Dicha empresa colabora con el informático hasta la marcha definitiva de este y una vez el trabajador está fuera, ambas empresas se dan cuenta de que no tienen todas las claves necesarias para algunos de los sistemas anteriormente gestionados por informático.

Para efectuar una reclamación de daños y perjuicios al trabajador, se tienen que dar los siguientes presupuestos:

En primer lugar, la existencia de un perjuicio económico para la empresa. Que dicho perjuicio económico sea imputable al trabajador y que exista en la actuación del trabajador la presencia de dolo o negligencia.

La existencia del perjuicio es clara, la sociedad no puede acceder a determinados servidores ante la ausencia de claves que, según la información proporcionada, se encontraban en poder del informático en el momento de su baja voluntaria. A tenor de las conversaciones mantenidas con la Dirección el perjuicio económico causado actualmente es imponderable, pero que podría llevar al cierre de la empresa.

Los dos siguientes aspectos son fundamentales para efectuar una posible reclamación al trabajador:

Por un lado, habría que probar (por cualquier medio de prueba válido, documentos, testigos etc.) de manera fehaciente, que el trabajador era el único de la empresa que estaba en posesión de las claves de acceso que impiden a la sociedad el acceso a determinados servidores. En este sentido, habría que probar igualmente que este trabajador no dio las claves necesarias a la empresa informática entrante y para ello será necesario probar, que tanto la empresa contratante como la empresa informática le pidieron activamente las claves durante el preaviso concedido por el trabajador y que este se negó a la entrega de las mismas.

Respecto a la entrega o devolución de las claves de acceso no se dispone de procedimiento en las normas internas de la empresa, más bien al contrario, se impone la obligación a los empleados de mantener la confidencialidad respecto a sus claves de acceso, si bien es cierto que se podría entender que una vez dada su intención de abandonar la empresa y ante un requerimiento de la empresa, debería haber procedido a ello.

Por otro lado, es necesaria la presencia de dolo o de una negligencia cualificada, para justificar una reclamación de daños y perjuicios al trabajador. No todo error, fallo u olvido cometido en su prestación de servicios da lugar a una indemnización, sino que habrá que valorar las circunstancias por las que se han desatendido las medidas y cuidados exigibles a todo trabajador.

      b) Conclusiones

La interposición de una reclamación de daños y perjuicios frente a un trabajador que ya no presta servicios en la empresa es absolutamente excepcional.

Se trata sin ninguna duda de un pleito de prueba, en el que será necesario demostrar que:

1)El trabajador tenía la obligación de custodiar y entregar las claves necesarias.

2)El trabajador no tiene ninguna justificación para no entregar las claves.

3)El trabajador ha causado directamente con su comportamiento x daños a la empresa.

Dado que el trabajador tuvo un periodo de preaviso de 15 días, lo sucedido durante ese periodo y lo que pueda probar la empresa que pasó, determinará en su caso la viabilidad o no de una reclamación de daños y perjuicios.

En un juicio de reclamación de cantidad del ámbito laboral, el primer paso obligatorio, es interponer una reclamación previa ante el SMAC (Servicio de Mediación, Arbitraje y Conciliación). Se le dará traslado al trabajador de nuestra reclamación previa y citarán a las partes a un acto de conciliación que tendrá lugar en un periodo aproximado de 15 días desde la presentación de nuestra reclamación. En el caso de que no haya un acuerdo entre la empresa y el trabajador, se emitirá por parte del letrado conciliador un acta “sin avenencia” entre las partes. Una vez tenga la empresa dicho documento, se puede presentar una demanda ante el Juzgado de lo Social.

Sin perjuicio, de que exista viabilidad o no para interponer una reclamación de cantidad (que dependerá como hemos dicho de la prueba que pueda aportar la empresa, del daño y de la responsabilidad del trabajador en dicho daño) se podría presentar una reclamación previa al trabajador en aras de conseguir que reponga los daños ocasionados.

Lo anterior, salvo error u omisión, constituye nuestra opinión sobre la cuestión sometida a estudio, sometida a cualquier otra mejor fundada en derecho.

 


[1] Artículo 2.b) de la Directiva 2013/40/UE de 12 de agosto de 2013 relativa a los ataques contra los sistemas de información y por la que se sustituye la Decisión marco 2005/222/JAI del Consejo.

[2] Sentencia del Tribunal Supremo 1461/2001, de 11 de noviembre.

[3] Sentencia del Tribunal Supremo n° 123/2009 de 3 de febrero

[4] Artículo 197 bis. 1 del CP

[5] Sentencia de la Sala de lo Penal del Tribunal Supremo de 20 de Julio de 2017.

De acuerdo