El
análisis de la responsabilidad derivada de la difusión de un virus merece especial
atención en estos momentos en que el uso intensivo de redes telemáticas permite un mayor
alcance de sus efectos. Prueba de ello la tenemos en la reciente difusión por correo
electrónico del virus "I love you".Para
analizar los diferentes supuestos que generan responsabilidad, debemos tener en cuenta los
canales de difusión que contribuyen a potenciar el efecto pirámide en el que los virus
basan su efectividad. En todos ellos es aplicable el régimen de responsabilidad
extracontractual establecido en el artículo 1902 del Código Civil, que obliga a reparar
los daños a quien, por acción u omisión, causa un perjuicio a otro, interviniendo culpa
o negligencia.
Creación
La mera creación de un virus puede obedecer a una intención distinta a
la puesta en circulación: participar en un concurso, competir con otros virus, crear
armas de guerra electrónica, etc.
Puesta en circulación
Es difícil obtener una identificación plena del responsable de la
puesta en circulación del virus. Aunque en el caso de redes telemáticas es posible
encontrar rastros de la primera aparición del virus, es posible alterar esa información.
En cualquier caso, la responsabilidad de la persona que inicia la cadena
de efectos nocivos de un virus, planificando la difusión intencionada del mismo a través
de un medio de transmisión está clara, pues el daño es perfectamente previsible y
seguro.
Introducción intencionada en un sistema específico
Por su tipificación como delito de daños, los actos de sabotaje
informático pueden generar responsabilidad civil y penal. Pueden tener su origen en
personas del interior de la empresa que por un motivo como la ruptura de la relación
laboral, deciden causar un daño, o en personas del exterior de la empresa, que acceden al
sistema informático por medios telemáticos. En ambos casos se cumplen los requisitos
para reclamar una indemnización.
El artículo 264.2 del Código Penal castiga con la pena de prisión de
uno a tres años al que por cualquier medio destruya, altere, inutilice o de cualquier
otro modo dañe los datos, programas o documentos electrónicos ajenos contenidos en
redes, soportes o sistemas informáticos.
Difusión de virus entre usuarios
La difusión involuntaria de un virus entre usuarios de sistemas
informáticos puede tener dos niveles:
- La difusión debida a una conducta negligente
- La difusión de virus no catalogados
La diligencia debida en el tratamiento de la información obliga a
realizar copias de seguridad y a instalar sistemas de detección de virus. En el caso de
archivos que se envían a otros usuarios, la ausencia de control previo puede ser
calificado como negligente, puesto que el riesgo de destrucción de datos se está
traspasando a otros colectivos y ello podía haberse evitado de una manera sencilla y
económica. Pero también puede alegarse que el usuario receptor del archivo afectado
podría haber evitado el daño pasando el correspondiente anti-virus, a lo que cabe
replicar que este trámite se obvió por tratarse de un remitente que ofrecía confianza.
En cualquier caso, el Reglamento de seguridad de la LORTAD establece la
obligación de realizar copias de seguridad, al menos una vez a la semana, cuando el
sistema informático contiene datos personales de tipo básico.
Cuando el virus que afecta al archivo transmitido no está incluido en el
catálogo de virus del programa de detección utilizado, por tratarse de una clase de
reciente aparición, la conducta diligente del usuario debería ser suficiente para
enervar la responsabilidad. Para ello, el usuario deberá mantener actualizado el programa
anti-virus con los archivos suministrados periódicamente por el fabricante.
Un detalle paradójico lo constituye el artículo 96.3 del Texto
Refundido de la Ley de Propiedad Intelectual, al establecer la exclusión de los virus de
las creaciones protegidas por el derecho de autor. El objetivo de este precepto es
facilitar las actividades de análisis necesarias para la creación de un antivirus, pero
resulta innecesario por la sencilla razón de que el creador de un virus no acostumbra a
reclamar la titularidad del mismo de forma pública.