Ello significa que un Director de IT o de Seguridad Informática sólo será responsable a título personal cuando sea autor del delito, es decir, cuando haya realizado el hecho por sí solo, conjuntamente o por medio de otro del que se haya servido como instrumento. Así lo establece el artículo 28 del Código Penal.
También son considerados autores los que inducen a directamente a otra persona o personas a ejecutar el hecho delictivo y los que cooperan en su ejecución con un acto sin el cual no se habría efectuado.
Como vemos, en todos estos casos el Código Penal exige una implicación directa y dolosa del directivo en la ejecución de los actos. Esta implicación puede consistir en la participación directa en el acto delictivo o en la emisión de órdenes e instrucciones que lleven a los subordinados a cometer el delito.
Los delitos tecnológicos no admiten otra forma de comisión que la dolosa. Es decir, no pueden cometerse por imprudencia. Exigen una conducta activa e intencional del sujeto, una voluntad deliberada de cometer el delito.
La jurisprudencia ha desarrollado el concepto de responsabilidad penal por omisión, en la que puede incurrir un directivo respecto a conductas delictivas ejecutadas por quienes ocupan en la organización empresarial puestos subordinados. Para que se dé esta figura, el directivo debe tener conocimiento de los hechos y poder de disposición sobre los mismos, omitiendo el ejercicio de las facultades propias de su cargo para impedir el delito.
Para ello, es necesario que el directivo disponga de datos suficientes para saber que la conducta de sus subordinados, ejecutada en el ámbito de sus funciones y en el marco de su poder de dirección, crea un riesgo penal, y es necesario también que el directivo no ejerza las facultades de control que le corresponden sobre el subordinado y su actividad, o no actúe para impedir el acto delictivo.
Esta tolerancia dolosa, que situaría al directivo en la esfera de la autoría, es independiente del rango del directivo, ya que existirá responsabilidad penal por omisión siempre que el directivo tenga una posición de garante, es decir una obligación de supervisión y control sobre los actos de sus subordinados.
Por ello, para que los directivos de un Departamento de IT o de un Departamento de Seguridad Informática puedan ser declarados responsables penales de un delito cometido por uno de sus subordinados, el nivel de implicación del directivo en los hechos debe ser alto, a través de la autoría directa o del conocimiento y la tolerancia dolosa de los actos de sus subordinados.
La deliberada falta de control sobre riesgos con un nivel de probabilidad medio o alto podría ser asimilada a tolerancia dolosa, aunque será necesario analizar las circunstancias de cada caso.
Contenido completo en fuente original Expansión
