Español Inglés Mail PricewaterhouseCoopers Landwell
Landwell    
Landwell España    
Módulos Metodología Equipo
        Asesoramiento jurídico integral en materia de e-business
 


Circular 139
Mayo 2000

Responsabilidad por virus

El análisis de la responsabilidad derivada de la difusión de un virus merece especial atención en estos momentos en que el uso intensivo de redes telemáticas permite un mayor alcance de sus efectos. Prueba de ello la tenemos en la reciente difusión por correo electrónico del virus "I love you".

Para analizar los diferentes supuestos que generan responsabilidad, debemos tener en cuenta los canales de difusión que contribuyen a potenciar el efecto pirámide en el que los virus basan su efectividad. En todos ellos es aplicable el régimen de responsabilidad extracontractual establecido en el artículo 1902 del Código Civil, que obliga a reparar los daños a quien, por acción u omisión, causa un perjuicio a otro, interviniendo culpa o negligencia.

Creación

La mera creación de un virus puede obedecer a una intención distinta a la puesta en circulación: participar en un concurso, competir con otros virus, crear armas de guerra electrónica, etc.

Puesta en circulación

Es difícil obtener una identificación plena del responsable de la puesta en circulación del virus. Aunque en el caso de redes telemáticas es posible encontrar rastros de la primera aparición del virus, es posible alterar esa información.

En cualquier caso, la responsabilidad de la persona que inicia la cadena de efectos nocivos de un virus, planificando la difusión intencionada del mismo a través de un medio de transmisión está clara, pues el daño es perfectamente previsible y seguro.

Introducción intencionada en un sistema específico

Por su tipificación como delito de daños, los actos de sabotaje informático pueden generar responsabilidad civil y penal. Pueden tener su origen en personas del interior de la empresa que por un motivo como la ruptura de la relación laboral, deciden causar un daño, o en personas del exterior de la empresa, que acceden al sistema informático por medios telemáticos. En ambos casos se cumplen los requisitos para reclamar una indemnización.

El artículo 264.2 del Código Penal castiga con la pena de prisión de uno a tres años al que por cualquier medio destruya, altere, inutilice o de cualquier otro modo dañe los datos, programas o documentos electrónicos ajenos contenidos en redes, soportes o sistemas informáticos.

Difusión de virus entre usuarios

La difusión involuntaria de un virus entre usuarios de sistemas informáticos puede tener dos niveles:

- La difusión debida a una conducta negligente
- La difusión de virus no catalogados

La diligencia debida en el tratamiento de la información obliga a realizar copias de seguridad y a instalar sistemas de detección de virus. En el caso de archivos que se envían a otros usuarios, la ausencia de control previo puede ser calificado como negligente, puesto que el riesgo de destrucción de datos se está traspasando a otros colectivos y ello podía haberse evitado de una manera sencilla y económica. Pero también puede alegarse que el usuario receptor del archivo afectado podría haber evitado el daño pasando el correspondiente anti-virus, a lo que cabe replicar que este trámite se obvió por tratarse de un remitente que ofrecía confianza.

En cualquier caso, el Reglamento de seguridad de la LORTAD establece la obligación de realizar copias de seguridad, al menos una vez a la semana, cuando el sistema informático contiene datos personales de tipo básico.

Cuando el virus que afecta al archivo transmitido no está incluido en el catálogo de virus del programa de detección utilizado, por tratarse de una clase de reciente aparición, la conducta diligente del usuario debería ser suficiente para enervar la responsabilidad. Para ello, el usuario deberá mantener actualizado el programa anti-virus con los archivos suministrados periódicamente por el fabricante.

Un detalle paradójico lo constituye el artículo 96.3 del Texto Refundido de la Ley de Propiedad Intelectual, al establecer la exclusión de los virus de las creaciones protegidas por el derecho de autor. El objetivo de este precepto es facilitar las actividades de análisis necesarias para la creación de un antivirus, pero resulta innecesario por la sencilla razón de que el creador de un virus no acostumbra a reclamar la titularidad del mismo de forma pública.

Xavier Ribas
javier.ribas@es.pwcglobal.com

 
Correspondent law firms of Pricewaterhouse Coopers Privacy Statement Español English