Creación de una sociedad de la información más segura mediante la mejora de las infraestructuras de información

Resumen

La transición de Europa a la sociedad de la información se está caracterizando por grandes progresos en todos los aspectos de la vida humana: el trabajo, la educación y el ocio, el gobierno, la industria y el comercio. Las nuevas tecnologías de información y comunicación están teniendo un impacto revolucionario y fundamental en nuestras economías y sociedades. El éxito de la sociedad de la información es importante para el crecimiento, la competitividad y las posibilidades de empleo de Europa, y tiene repercusiones económicas, sociales y jurídicas de gran envergadura.

En diciembre de 1999, la Comisión puso en marcha la iniciativa eEuropa, con el fin de garantizar que Europa se beneficie de las tecnologías digitales, y que la nueva sociedad de la información sea socialmente inclusiva. En junio de 2000, el Consejo Europeo de Feira adoptó el Plan de acción eEuropa, y solicitó que se aplicase antes de finales de 2002. El plan de acción resalta la importancia de la seguridad de las redes y de la lucha contra la delincuencia informática.

Las infraestructuras de información y comunicación se han convertido en una parte crucial de nuestras economías. Desafortunadamente, estas infraestructuras tienen sus propias vulnerabilidades y ofrecen nuevas oportunidades para la delincuencia. Estas actividades delictivas pueden adoptar una gran variedad de formas y pueden cruzar muchas fronteras. Aunque, por diversas razones, no existen estadísticas fiables, no cabe duda de que estos delitos constituyen una amenaza para la inversión y los activos del sector, así como para la seguridad y la confianza en la sociedad de la información. Ejemplos recientes de denegación de servicio y ataques de virus han causado grandes perjuicios financieros.

Puede actuarse tanto en términos de prevención de la actividad delictiva, aumentando la seguridad de las infraestructuras de información, como garantizando que las autoridades responsables de la aplicación de ley cuenten con los medios adecuados para intervenir, respetando plenamente los derechos fundamentales de los individuos.

La Unión Europea ha tomado ya diversas medidas para luchar contra los contenidos ilícitos y nocivos en Internet, para proteger la propiedad intelectual y los datos personales, para promover el comercio electrónico y el uso de la firma electrónica y para aumentar la seguridad de las transacciones. En abril de 1998, la Comisión presentó al Consejo los resultados de un estudio sobre la delincuencia informática (el llamado estudio 'COMCRIME'). En octubre de 1999, la cumbre de Tampere del Consejo Europeo concluyó que la labor para acordar definiciones y sanciones comunes debe incluir la delincuencia de alta tecnología. El Parlamento Europeo también ha hecho un llamamiento para que se establezcan definiciones comúnmente aceptables de los delitos informáticos y se aproximen las legislaciones, en especial en el ámbito del derecho penal. El Consejo de la Unión Europea ha adoptado una posición común respecto a las negociaciones del Convenio del Consejo de Europa sobre delincuencia en el ciberespacio y ha adoptado varios elementos iniciales como parte de la estrategia de la Unión contra la delincuencia de alta tecnología. Algunos Estados miembros de la UE también han estado en la vanguardia de las actividades del G8 a este respecto.

La presente Comunicación trata la necesidad y las posibles formas de una iniciativa política amplia en el contexto de los objetivos más amplios de la sociedad de la información y de la libertad, seguridad y justicia, con el fin de mejorar la seguridad de las infraestructuras de información y luchar contra la delincuencia informática, de acuerdo con el compromiso de la Unión Europea de respetar los derechos humanos fundamentales.

A corto plazo, la Comisión opina que existe una clara necesidad de un instrumento de la UE que garantice que los Estados miembros dispongan de sanciones efectivas para luchar contra la pornografía infantil en Internet. La Comisión presentará a finales de este año una propuesta de decisión marco que, en un contexto más amplio que abarcará cuestiones asociadas con la explotación sexual de los niños y el tráfico de seres humanos, incluirá disposiciones para la aproximación de leyes y sanciones.

A más largo plazo, la Comisión presentará propuestas legislativas para seguir aproximando el derecho penal sustantivo en el ámbito de la delincuencia de alta tecnología. De acuerdo con las conclusiones del Consejo Europeo de Tampere de octubre de 1999, la Comisión considerará asimismo las opciones del reconocimiento mutuo de los autos anteriores al juicio, asociados con las investigaciones de delitos informáticos.

Paralelamente, la Comisión se propone promover la creación, donde no exista, de unidades de policía especializadas en delincuencia informática a escala nacional; apoyar la formación técnica pertinente para la aplicación de la ley; y fomentar las acciones europeas tendentes a la seguridad de la información.

En el plano técnico, y en línea con el marco jurídico, la Comisión promoverá la I+D para comprender y reducir los puntos vulnerables, y estimulará la difusión de conocimientos técnicos.

La Comisión se propone también crear un foro comunitario que reúna a los organismos competentes, a los proveedores de servicios de Internet, a los operadores de telecomunicaciones, a las organizaciones de libertades civiles, a los representantes de los consumidores, a las autoridades responsables de la protección de datos y a otras partes interesadas, con el objetivo de aumentar la comprensión y la cooperación mutuas a escala de la UE. El foro intentará aumentar la conciencia pública de los riesgos que presentan los delincuentes en Internet, promover las mejores prácticas para la seguridad, determinar instrumentos y procedimientos eficaces para luchar contra la delincuencia informática y fomentar el desarrollo futuro de mecanismos de detección temprana y gestión de crisis.

1. OPORTUNIDADES Y AMENAZAS EN LA SOCIEDAD DE LA INFORMACIÓN

Nuestra era se caracteriza por una creciente asequibilidad y uso de las tecnologías de la sociedad de la información (TSI) y por la globalización de la economía. El desarrollo tecnológico y el mayor uso de redes abiertas, como Internet, en los próximos años, proporcionarán oportunidades nuevas e importantes y plantearán nuevos desafíos.

En la cumbre de Lisboa de marzo de 2000, el Consejo Europeo subrayó la importancia de la transición a una economía competitiva, dinámica y basada en el conocimiento, e invitó al Consejo y a la Comisión a elaborar el Plan de Acción eEuropa para aprovechar al máximo esta oportunidad1. Este plan de acción, elaborado por la Comisión y el Consejo y adoptado por la cumbre del Consejo Europeo de Feira en junio de 2000, comprende acciones para aumentar la seguridad de la red y establecer un enfoque coordinado y coherente de la delincuencia informática para finales de 20022.

La infraestructura de la información se ha convertido en una parte vital del eje de nuestras economías. Los usuarios deberían poder confiar en la disponibilidad de los servicios informativos y tener la seguridad de que sus comunicaciones y sus datos están protegidos frente al acceso o la modificación no autorizados. El desarrollo del comercio electrónico y la realización completa de la sociedad de la información dependen de ello.

El uso de las nuevas tecnologías digitales y de la telefonía inalámbrica ya se ha generalizado. Estas tecnologías nos brindan la libertad para poder movernos y permanecer comunicados y conectados con miles de servicios construidos sobre redes de redes. Nos dan la posibilidad de participar; de enseñar y aprender, de jugar y trabajar juntos, y de intervenir en el proceso político. A medida que las sociedades dependen cada vez más de estas tecnologías, será necesario utilizar medios jurídicos y prácticos eficaces para gestionar los riesgos asociados.

Las tecnologías de la sociedad de la información pueden utilizarse, y se utilizan, para perpetrar y facilitar diversas actividades delictivas. En manos de personas que actúan de mala fe, con mala voluntad, o con negligencia grave, estas tecnologías pueden convertirse en instrumentos para actividades que ponen en peligro o atentan contra la vida, la propiedad o la dignidad de los individuos o del interés público.

El enfoque clásico de la seguridad exige una compartimentación organizativa, geográfica y estructural estricta de la información, según su sensibilidad y su categoría. Esto no es ya prácticamente posible en la práctica en el mundo digital, puesto que el tratamiento de la información se distribuye, se prestan servicios a usuarios móviles, y la interoperabilidad de los sistemas es una condición básica. Los enfoques tradicionales de la seguridad son sustituidos por soluciones innovadoras basadas en las nuevas tecnologías. Estas soluciones implican el uso del cifrado y las firmas digitales, de nuevos instrumentos de autenticación y de control del acceso, y de filtros de software de todo tipo3. Garantizar infraestructuras de información seguras y fiables no sólo exige la aplicación de diversas tecnologías, sino también su correcto despliegue y su uso efectivo. Algunas de estas tecnologías existen ya, pero a menudo los usuarios no son conscientes de su existencia, de la manera de utilizarlas, o de las razones por las que pueden ser necesarias.

1.1. Respuestas nacionales e internacionales

La delincuencia informática se comete en el ciberespacio, y no se detiene en las fronteras nacionales convencionales. En principio, puede perpetrarse desde cualquier lugar y contra cualquier usuario de ordenador del mundo. Se necesita una acción eficaz, tanto a nivel nacional como internacional, para luchar contra la delincuencia informática4.

A escala nacional, en muchos casos no hay respuestas globales y con vocación internacional frente a los nuevos retos de la seguridad de la red y la delincuencia informática. En la mayoría de los países, las reacciones frente a la delincuencia informática se centran en el derecho nacional (especialmente el derecho penal), descuidando medidas alternativas de prevención.

A pesar de los esfuerzos de las organizaciones internacionales y supranacionales, las diversas leyes nacionales de todo el mundo ponen de manifiesto considerables diferencias, especialmente en las disposiciones del derecho penal sobre piratería informática, protección del secreto comercial y contenidos ilícitos. También existen considerables diferencias en cuanto al poder coercitivo de los organismos investigadores (especialmente por lo que respecta a los datos cifrados y a las investigaciones en redes internacionales), la jurisdicción en materia penal, y con respecto a la responsabilidad de los proveedores de servicios intermediarios por una parte y los proveedores de contenidos por otra. La Directiva 2000/31/CE5 sobre el comercio electrónico modifica esto por lo que se refiere a la responsabilidad de los proveedores de servicios intermediarios sobre determinadas actividades intermediarias. Asimismo, la Directiva prohibe a los Estados miembros imponer a los proveedores de servicios intermediarios una obligación general de supervisar los datos que transmitan o almacenen.

A escala internacional y supranacional, se ha reconocido ampliamente la necesidad de luchar eficazmente contra la delincuencia informática, y diversas organizaciones han coordinado o han intentado armonizar actividades al respecto. Los Ministros de Justicia y de Interior del G8 adoptaron en diciembre de 1997 un conjunto de principios y un plan de acción de 10 puntos, que fue aprobado por la Cumbre del G8 en Birmingham en junio de 1998 y que se está aplicando en la actualidad6. El Consejo de Europa comenzó a elaborar un convenio internacional sobre la delincuencia cibernética en febrero de 1997 y se espera que acabe esta tarea en 20017. La lucha contra la delincuencia cibernética también figura en el orden del día de las discusiones bilaterales que la Comisión Europea celebra con algunos gobiernos (de fuera de la UE). Se ha creado un grupo de trabajo conjunto CE/EE.UU. sobre protección de infraestructuras críticas8.

La ONU y la OCDE también han estado activas en este ámbito, y se está discutiendo en foros internacionales como el Diálogo Empresarial Global y el Diálogo Empresarial Transatlántico9.

Hasta hace poco, la acción legislativa en la Unión Europea ha adoptado básicamente la forma de medidas en los ámbitos de los derechos de autor, la protección del derecho fundamental a la intimidad y la protección de datos, los servicios de acceso condicional, el comercio electrónico, la firma electrónica y en especial la liberalización del comercio de productos de cifrado, que están relacionados de forma indirecta con la delincuencia informática.

También se han adoptado varias medidas no legislativas importantes en los últimos 3 o 4 años. Entre éstas figuran el plan de acción contra los contenidos ilícitos y nocivos en Internet, que cofinancia acciones de concienciación, experimentos de clasificación y filtrado de contenidos y líneas directas, e iniciativas relativas a la protección de menores y de la dignidad humana en la sociedad de la información, la pornografía infantil y la interceptación legal de las comunicaciones10. La UE ha apoyado durante mucho tiempo proyectos I+D tendentes a promover la seguridad y la confianza en infraestructuras de información y transacciones electrónicas, y recientemente ha aumentado la dotación del presupuesto del programa asociado TSI. También se han apoyado proyectos operativos y de investigación dirigidos a promover la formación especializada de las autoridades competentes, así como la cooperación entre estas autoridades y el sector en cuestión, en el marco de programas del tercer pilar tales como STOP, FALCONE, OISIN y GROTIUS11.

El plan de acción para luchar contra la delincuencia organizada, adoptado por el Consejo JAI en mayo de 1997 y aprobado por el Consejo Europeo de Amsterdam, incluía una petición para que la Comisión elaborase, para finales de 1998, un estudio sobre la delincuencia informática. Este estudio, llamado 'estudio COMCRIME', fue presentado por la Comisión al grupo de trabajo multidisciplinar del Consejo contra la delincuencia organizada en abril de 199812. La presente Comunicación es en parte una respuesta a la petición del Consejo JAI.

Antes de elaborar esta Comunicación, la Comisión consideró apropiado realizar consultas informales con representantes de las autoridades competentes de los Estados miembros y de las autoridades de control de la protección de datos13, así como de la industria europea (especialmente PSI y operadores de telecomunicaciones)14.

Basándose en los análisis y las recomendaciones del estudio, las conclusiones extraídas de la consulta, las nuevas posibilidades previstas por el Tratado de Amsterdam y los trabajos ya realizados en la UE, el G8 y el Consejo de Europa, la presente Comunicación examinará diversas opciones para nuevas medidas de la UE contra la delincuencia informática. En la Unión Europea, las soluciones elegidas no deberían obstaculizar ni dar lugar a la fragmentación del mercado interior, ni a medidas que socaven la protección de los derechos fundamentales15.

2. SEGURIDAD DE LAS INFRAESTRUCTURAS DE INFORMACIÓN

En la sociedad de la información, las redes globales controladas por los usuarios están sustituyendo gradualmente a la generación más antigua de redes nacionales de comunicaciones. Una de las razones del éxito de Internet es que ha proporcionado a los usuarios acceso a las tecnologías más vanguardistas. Según la ley de Moore16, la capacidad informática se duplica cada 18 meses; pero la tecnología de las comunicaciones se está desarrollando a un ritmo incluso más rápido17. Esto supone que el volumen de datos transportados por Internet se ha estado duplicando en periodos inferiores a un año.

Las redes telefónicas clásicas fueron construidas y gestionadas por organizaciones nacionales. Sus usuarios tenían poca opción en cuanto a servicios y ningún control sobre el medio. Las primeras redes de datos que se desarrollaron se construyeron con la misma filosofía de un medio con control centralizado, lo que se vio reflejado en la seguridad de estos medios.

Internet y otras redes nuevas son muy diferentes, y la seguridad ha de gestionarse en consecuencia. La inteligencia y el control en estas redes se da sobre todo en la periferia, donde se encuentran los usuarios y los servicios. El núcleo de la red es sencillo y eficaz, y esencialmente se dedica a transmitir datos. Apenas se verifican o controlan los contenidos. Únicamente en el destino final los bits se convierten en una voz, la imagen de una radiografía o la confirmación de una transacción bancaria. La seguridad es por tanto, en gran medida, responsabilidad de los usuarios, pues sólo ellos pueden apreciar el valor de los bits enviados o recibidos, y pueden determinar el nivel de protección necesario.

El medio de los usuarios es por tanto una parte esencial de la infraestructura de la información. En él hay que aplicar las técnicas de seguridad, con el permiso y la participación de los usuarios y de acuerdo con sus necesidades. Esto es particularmente importante si se considera la creciente gama de actividades que los usuarios realizan desde el mismo terminal. Trabajan y juegan, ven la televisión y autorizan transferencias bancarias, todo ello desde el mismo instrumento.

Existen diversas tecnologías de seguridad, y se están desarrollando otras nuevas. Las ventajas del desarrollo de las fuentes de información de acceso público en términos de seguridad se están poniendo de manifiesto. Se ha trabajado mucho en métodos formales y en criterios de evaluación de la seguridad. El uso de las tecnologías de cifrado y de firma electrónica se están haciendo imprescindibles, particularmente con el desarrollo de los accesos por telefonía inalámbrica. Cada vez se necesita una mayor variedad de mecanismos de autenticación para cubrir nuestras necesidades en el medio donde actuamos. En algunos medios, podemos necesitar o querer permanecer en el anonimato. En otros, podemos necesitar demostrar una característica determinada, sin revelar nuestra identidad, tal como ser adulto o empleado o cliente de una empresa concreta. En otras situaciones, puede ser necesario demostrar nuestra identidad. También los filtros de software son cada vez más sofisticados, y nos permiten protegernos o proteger a los nuestros de datos no deseados, como por ejemplo contenidos nocivos, mensajes publicitarios no solicitados (spam), programas informáticos perjudiciales y otras formas de ataque. La aplicación y la gestión de estos requisitos de seguridad en Internet y en las nuevas redes supone asimismo un considerable gasto para el sector y los usuarios. Por tanto, es importante fomentar la innovación y el uso comercial de los servicios y tecnologías de seguridad.

Naturalmente, también la infraestructura compartida de enlaces de comunicación y servidores de nombre tiene sus aspectos de seguridad. La transmisión de datos depende de las conexiones físicas por donde se transportan los datos de un ordenador a otro. Estas conexiones han de establecerse y protegerse de forma que la transmisión siga siendo posible a pesar de los accidentes, de los ataques y de un volumen cada vez mayor de tráfico. La comunicación también depende de servicios críticos como los proporcionados por los servidores de nombre, y en especial del pequeño número de servidores de nombre de primer nivel, que proporcionan las direcciones necesarias. Cada uno de estos componentes también necesitará una protección adecuada, que variará en función de la parte del espacio nominal y de la base de usuarios a que sirva.

Con el objetivo de aportar una mayor flexibilidad y respuesta a las necesidades de las personas, las tecnologías de infraestructura de la información se han vuelto cada vez más complejas, y a menudo no se han dedicado los suficientes esfuerzos a la seguridad. Además, esta complejidad supone la aplicación de programas informáticos cada vez más sofisticados e interconectados, lo que a veces da lugar a deficiencias y lagunas en la seguridad, que pueden aprovecharse fácilmente para atacar. A medida que el ciberespacio gana en complejidad y sus componentes en sofisticación, pueden surgir vulnerabilidades nuevas y no previstas.

Ya existen varios mecanismos tecnológicos, y se están desarrollando otros destinados a mejorar la seguridad en el ciberespacio. La respuesta incluye medidas destinadas a:

Asegurar los elementos críticos de la infraestructura, mediante la utilización de infraestructuras públicas clave, el desarrollo de protocolos de seguridad, etc.

Asegurar los medios privados y públicos mediante el desarrollo de software de calidad, cortafuegos, programas antivirus, sistemas electrónicos de gestión de los derechos, cifrado, etc.

Asegurar la autenticación de los usuarios autorizados, la utilización de tarjetas inteligentes, la identificación biométrica, las firmas electrónicas, las tecnologías de roles, etc.

Todo esto exige un mayor esfuerzo para desarrollar tecnologías de seguridad, utilizando la cooperación con el fin de lograr la interoperabilidad necesaria entre las soluciones, mediante acuerdos sobre normas internacionales.

También es importante que los futuros marcos conceptuales sobre seguridad formen parte de la arquitectura global, abordando las amenazas y las vulnerabilidades desde el inicio del proceso de diseño. Esto contrasta con los enfoques tradicionales acumulativos, que han intentado necesariamente ir llenando las lagunas explotadas por una comunidad delictiva cada vez más sofisticada.

El Programa de Tecnologías de la Sociedad de la Información de la UE (TSI)18, en especial los trabajos relativos a la información, la seguridad de la red, y otras tecnologías dirigidas a crear seguridad19, proporcionan un marco para desarrollar la capacidad y la tecnología para comprender y abordar nuevos retos relacionados con la delincuencia informática. Estas tecnologías incluyen herramientas técnicas para la protección contra la violación de los derechos fundamentales a la intimidad y los datos personales y otros derechos personales, y para la lucha contra la delincuencia informática. Además, en el contexto del Programa TSI, se ha puesto en marcha una iniciativa de seguridad. Esta iniciativa contribuirá a la seguridad y a la confianza en infraestructuras de información muy interconectadas y en sistemas de alta integración en redes, promoviendo la toma de conciencia respecto a la seguridad y las tecnologías que proporcionan seguridad. Parte integrante de esta iniciativa es la cooperación internacional. El Programa TSI ha desarrollado relaciones de trabajo con la Agencia de Proyectos de Investigación Avanzada para la Defensa (DARPA) y la Fundación Nacional para la Ciencia (NSF), y ha establecido, en colaboración con el Departamento de Estado de EE.UU., un grupo de trabajo conjunto CE/EE.UU. sobre protección de infraestructuras críticas20.

Por último, el establecimiento de obligaciones relativas a la seguridad, derivadas en particular de las Directivas comunitarias sobre protección de datos21, contribuye a mejorar la seguridad de las redes y del procesamiento de datos.

3. DELINCUENCIA INFORMÁTICA

Los sistemas modernos de información y comunicación permiten realizar actividades ilegales desde cualquier parte del mundo en cualquier momento. No existen estadísticas fiables sobre la magnitud del fenómeno de la delincuencia informática. El número de intrusiones detectadas y comunicadas hasta ahora, probablemente subestima la dimensión del problema. Debido a la limitada experiencia y conocimientos de los administradores y usuarios de sistemas, muchas intrusiones no se detectan. Además, muchas empresas no están dispuestas a comunicar los casos de abuso informático, para evitar la publicidad negativa y la exposición a ataques futuros. Muchos servicios de policía no mantienen estadísticas sobre el uso de ordenadores y sistemas de comunicación utilizados en estos y otros delitos. Sin embargo, se puede esperar que el número de actividades ilegales crezca a medida que aumenta el uso de ordenadores y redes. Existe una clara necesidad de reunir pruebas fiables sobre la importancia de la delincuencia informática.

En esta Comunicación se aborda la delincuencia informática en el sentido más amplio; cualquier delito que de alguna manera implique el uso de tecnología de la información. Sin embargo, existen distintos puntos de vista sobre lo que constituye la "delincuencia informática". Suelen utilizarse indistintamente los términos "delincuencia informática", "delincuencia relacionada con la informática", "delincuencia de alta tecnología" y "delincuencia cibernética". Cabe diferenciar entre los delitos informáticos específicos y los delitos tradicionales perpetrados con ayuda de la informática. Un ejemplo típico se encuentra en el ámbito aduanero, donde Internet se utiliza como instrumento para cometer delitos típicos contra la normativa de aduanas, tales como el contrabando, la falsificación, etc. Mientras que los delitos informáticos específicos requieren una actualización de las definiciones de los delitos en los códigos penales nacionales, los delitos tradicionales perpetrados con ayuda de la informática requieren una mejora de la cooperación y de las medidas procesales.

Sin embargo, todos ellos se benefician de la disponibilidad de las redes de información y comunicación sin fronteras y de la circulación de datos, intangible y sumamente volátil. Estas características exigen una revisión de las actuales medidas dirigidas a abordar las actividades ilegales realizadas en estas redes y sistemas o utilizando los mismos.

Muchos países han adoptado legislación dirigida a abordar la delincuencia informática. En los Estados miembros de la Unión Europea, se han establecido varios instrumentos jurídicos. Aparte de una Decisión del Consejo sobre pornografía infantil en Internet, por ahora no existen instrumentos jurídicos de la UE que aborden directamente la delincuencia informática, pero sí existen diversos instrumentos jurídicos que tratan indirectamente la cuestión.

Las principales cuestiones que trata la legislación relativa a los delitos informáticos específicos, en la UE o en los Estados miembros, son las siguientes:

Delitos contra la intimidad: Varios países han introducido disposiciones penales sobre recogida, almacenamiento, modificación, revelación o difusión ilegales de datos personales. En la Unión Europea, se han adoptado dos Directivas para la aproximación de las normas nacionales sobre protección de la intimidad por lo que se refiere al tratamiento de datos personales22. El artículo 24 de la Directiva 95/46/CE obliga claramente a los Estados miembros a adoptar las medidas adecuadas para garantizar la plena aplicación de las disposiciones de la misma y a determinar, en particular, las sanciones que deben aplicarse en caso de incumplimiento de las disposiciones de las leyes nacionales. Los derechos fundamentales a la intimidad y la protección de datos se incluyen, además, en la Carta de los Derechos Fundamentales de la Unión Europea.

Delitos relativos al contenido: La difusión, especialmente por Internet, de pornografía, y en especial de pornografía infantil, las declaraciones racistas y la información que incita a la violencia plantea la cuestión de hasta qué grado estos actos pueden combatirse con ayuda del derecho penal. La Comisión apoya la opinión de que lo que es ilegal fuera del mundo de la informática también lo es en éste. El autor o el proveedor de contenidos23 puede ser responsable en virtud del derecho penal. Se ha adoptado una Decisión del Consejo para luchar contra la pornografía infantil en Internet24.

La responsabilidad de los proveedores de servicios intermediarios, cuyas redes o servidores se utilizan para la transmisión o el almacenamiento de información de terceros, se aborda en la Directiva sobre el comercio electrónico.

Delitos económicos, acceso no autorizado y sabotaje: Muchos países han aprobado leyes que abordan los delitos económicos perpetrados por ordenador y tipifican nuevos delitos relacionados con el acceso no autorizado a sistemas informáticos (por ejemplo, la piratería, el sabotaje informático y la distribución de virus, el espionaje informático, y la falsificación y el fraude informáticos25) y nuevas formas de cometer delitos (por ejemplo, manipulación de un ordenador en vez de engañar a una persona). El objeto del delito suele ser intangible, por ejemplo, dinero en depósitos bancarios o programas de ordenador. Actualmente, no existen instrumentos comunitarios que contemplen estos tipos de actividad ilegal. Por lo que respecta a la prevención, el recientemente adoptado Reglamento sobre bienes de doble uso ha contribuido considerablemente a liberalizar la disponibilidad de productos de cifrado.

Delitos contra la propiedad intelectual: Se han adoptado dos Directivas, sobre la protección jurídica de programas de ordenador y sobre la protección jurídica de las bases de datos26, directamente relacionadas con la sociedad de la información y que determinan sanciones. El Consejo ha adoptado una posición común sobre una propuesta de Directiva relativa a los derechos de autor y derechos afines en la sociedad de la información, y se espera que se adopte a principios de 200127. La violación de los derechos de autor y derechos afines debe sancionarse, al igual que la elusión de las medidas tecnológicas diseñadas para proteger estos derechos. Por lo que se refiere a la falsificación y a la piratería, la Comisión presentará, antes de finales de 2000, una comunicación que examinará el proceso de consulta iniciado con su Libro Verde de 1998 y que anunciará un plan de acción pertinente. A medida que Internet crece en importancia desde el punto de vista comercial, están surgiendo nuevos conflictos en torno a nombres de dominio, relacionados con la ciberocupación, el acaparamiento y el secuestro de nombre de dominio, lo que, naturalmente, exige normas y procedimientos para abordar estos problemas28.

También es necesario abordar la ejecución de las obligaciones fiscales. En el caso de transacciones comerciales en que el receptor del suministro en línea de un servicio electrónico esté ubicado en la UE, en la mayoría de los casos surgirán obligaciones fiscales en la jurisdicción donde se realiza tal servicio29. El incumplimiento de las obligaciones fiscales expone a los operadores a sanciones civiles (y en algunos casos penales), que pueden incluir el embargo de cuentas bancarias o de otros bienes. Si bien el cumplimiento voluntario es siempre la mejor opción, en último caso dichas obligaciones han de hacerse cumplir. La cooperación entre las administraciones fiscales es un elemento clave para lograr este objetivo.

Al posibilitar la protección de las transacciones legales, se proporciona a los delincuentes los mismos medios para proteger sus transacciones ilegales. Los instrumentos que protegen el comercio electrónico también pueden utilizarse para apoyar el tráfico de drogas. Será necesario establecer prioridades y tomar opciones.

La protección de las víctimas frente a la delincuencia informática exige asimismo cubrir aspectos de responsabilidad, reparación y compensación, que surgen cuando se cometen delitos informáticos. La confianza no depende sólo del uso de la tecnología adecuada, sino también de las garantías económicas y jurídicas adjuntas. Estas cuestiones deberán examinarse respecto de todos los delitos informáticos.

Se necesitan instrumentos jurídicos sustantivos y procesales eficaces aproximados a escala mundial, o al menos europea, para proteger a las víctimas de la delincuencia informática y para llevar a los autores ante la Justicia. Al mismo tiempo, las comunicaciones personales, la protección de datos y de la intimidad, y el acceso y la difusión de la información, son derechos fundamentales en las democracias modernas. Por ello es necesario contar con la disponibilidad y el uso de medidas eficaces de prevención, para reducir la necesidad de aplicar medidas de ejecución. Cualquier medida legislativa que pueda resultar necesaria para abordar la delincuencia informática ha de alcanzar un equilibrio entre estos importantes intereses.

4. CUESTIONES DE DERECHO SUSTANTIVO

La aproximación del derecho sustantivo en el ámbito de la delincuencia de alta tecnología garantizará un nivel mínimo de protección para las víctimas de la delincuencia informática (por ejemplo, las víctimas de la pornografía infantil), contribuirá al cumplimiento del requisito de que una actividad debe constituir delito en ambos países para que pueda prestarse asistencia jurídica mutua en una investigación penal (requisito de doble tipicidad), y aportará mayor claridad al sector (por ejemplo, respecto a lo que constituyen contenidos ilícitos).

De hecho, a raíz de la Cumbre de Tampere del Consejo Europeo en octubre de 1999, se ha introducido en la agenda de la UE un instrumento legislativo comunitario para aproximar el derecho penal sustantivo en el ámbito de la delincuencia informática30. La Cumbre incluyó la delincuencia de alta tecnología en una lista limitada de ámbitos en los que deben concentrarse esfuerzos para acordar definiciones, tipificaciones y sanciones comunes. Esto se incluye en la recomendación 7 de la estrategia de la Unión Europea para el nuevo milenio sobre prevención y control de la delincuencia organizada, adoptada por el Consejo JAI en marzo de 200031. Forma también parte del programa del trabajo de la Comisión para el año 2000 y del Marcador para la creación de un espacio de libertad, seguridad y justicia, elaborado por la Comisión y adoptado por el Consejo de Justicia e Interior el 27 de marzo de 200032.

La Comisión ha seguido el trabajo del Consejo de Europa relativo al Convenio sobre la delincuencia en el ciberespacio. En el actual proyecto de Convenio del Consejo de Europa sobre delincuencia cibernética figuran cuatro categorías de delitos: 1) delitos contra la confidencialidad, la integridad y la disponibilidad de los sistemas y datos informáticos; 2) delitos informáticos; 3) delitos relativos al contenido; y 4) delitos relativos a la violación de los derechos de autor y derechos afines.

La aproximación de la UE podría ir más lejos que el Convenio del Consejo de Europa, que representará una aproximación mínima a escala internacional. Esta armonización podría ser operativa en un plazo más corto que la entrada en vigor del Convenio del Consejo de Europa33. Introduciría el delito informático en el ámbito del derecho comunitario e introduciría mecanismos jurídicos de la UE.

La Comisión otorga una gran importancia a garantizar que la Unión Europea pueda tomar medidas efectivas, en especial contra la pornografía infantil en Internet. La Comisión acoge con satisfacción la Decisión del Consejo para luchar contra la pornografía infantil en Internet, pero comparte la opinión del Parlamento Europeo de que se requieren nuevas medidas para aproximar las leyes nacionales. La Comisión se propone introducir a finales de este año una propuesta de decisión marco del Consejo que incluya disposiciones para la aproximación de leyes y sanciones sobre pornografía infantil en Internet34.

De acuerdo con las conclusiones de Tampere, la Comisión presentará una propuesta legislativa en virtud del Título VI del TUE, con el fin de aproximar los delitos de alta tecnología. Esta medida aprovechará los progresos realizados en el Consejo de Europa y abordará, en particular, la necesidad de aproximar la legislación relativa a la piratería y la denegación de servicio. La propuesta incluirá definiciones estándar para la Unión Europea en este ámbito. Esto podría ir más allá que el proyecto de Convenio del Consejo de Europa, garantizando que los casos graves de piratería y de denegación de servicio sean castigados con una pena mínima en todos los Estados miembros.

Además, la Comisión examinará el alcance de las medidas contra el racismo y la xenofobia en Internet, con vistas a presentar una propuesta para una decisión marco del Consejo, en virtud del Título VI del TUE, que cubra las actividades racistas y xenófobas en línea y fuera de línea. Para ello, se tendrá en cuenta la próxima evaluación de la aplicación por los Estados miembros de la acción común de 15 de julio de 1996 sobre medidas para luchar contra el racismo y la xenofobia35. La acción común constituyó un primer paso hacia la aproximación de los delitos relativos al racismo y la xenofobia, pero es necesaria una mayor aproximación en la Unión Europea. La importancia y sensibilidad de esta cuestión se subrayaron en la decisión del un tribunal francés de 20 de noviembre de 2000, en la que se exigía a Yahoo que bloquease a los usuarios franceses el acceso a sitios de venta de recuerdos nazis36.

Por último, la Comisión estudiará cómo mejorar la eficacia de los esfuerzos contra el comercio ilícito de drogas en Internet, cuya importancia se reconoce en la estrategia de la Unión Europea contra las drogas 2000-2004, aprobada en el Consejo Europeo de Helsinki37.

5. CUESTIONES DE DERECHO PROCESAL

La propia naturaleza de los delitos informáticos acerca a un primer plano de la atención nacional e internacional las cuestiones procesales, debido a la intervención de distintas soberanías, jurisdicciones y normativas. Más que en cualquier otro delito transnacional, la velocidad, movilidad y flexibilidad del delito informático suponen un reto a las actuales normas de derecho procesal penal.

La aproximación de las competencias previstas por el derecho procesal mejorará la protección de las víctimas, al garantizar que los servicios responsables de la aplicación de la ley cuentan con los poderes necesarios para investigar delitos en su propio territorio, y garantizará que estos servicios puedan responder rápida y eficazmente a las peticiones de cooperación de otros países.

También es importante garantizar que las medidas adoptadas en virtud del derecho penal, que suelen ser competencia de los Estados miembros y del Título VI del TUE, cumplen los requisitos del derecho comunitario. En particular, el Tribunal de Justicia ha mantenido reiteradamente que tales disposiciones legislativas no podrán suponer una discriminación contra las personas a las que el derecho comunitario confiere el derecho a la igualdad de trato, ni restringir las libertades fundamentales garantizadas por el derecho comunitario38. Toda nueva competencia que se defina para los servicios responsables de la aplicación de la ley deberá evaluarse a la vista del derecho comunitario y de su impacto en la intimidad.

5.1. Interceptación de las comunicaciones

En la Unión Europea, existe un principio general de confidencialidad de las comunicaciones (y de los correspondientes datos sobre tráfico). Las interceptaciones son ilegales a menos que estén autorizadas por ley, cuando sea necesario en casos específicos para objetivos concretos. Esto se desprende del artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos, mencionado en el artículo 6 del TUE, y más concretamente de las Directivas 95/46/CE y 97/66/CE.

Todos los Estados miembros tienen un marco jurídico que permite a las autoridades competentes obtener mandatos judiciales (o, en caso de dos Estados miembros, mandatos autorizados personalmente por un Ministro) para interceptar comunicaciones en la red pública de telecomunicaciones39. Esta legislación, que debe ser acorde con el derecho comunitario en la medida en que éste contenga disposiciones al respecto, contiene salvaguardias que protegen el derecho fundamental de los individuos a la intimidad, tales como la limitación del uso de la interceptación a las investigaciones sobre delitos graves, la exigencia de que la interceptación en investigaciones individuales sea necesaria y proporcionada, y la garantía de que los individuos sean informados acerca de la interceptación tan pronto como ello deje de obstaculizar la investigación. En muchos Estados miembros, la legislación sobre interceptación contiene obligaciones para los operadores de telecomunicaciones (de servicio público) de establecer posibilidades de interceptación. Una Resolución del Consejo de 1995 coordina los requisitos de la interceptación40.