Circular 139 - Responsabilidad por virus

Xavier Ribas

El análisis de la responsabilidad derivada de la difusión de un
virus merece especial atención en estos momentos en que el uso
intensivo de redes telemáticas permite un mayor alcance de sus
efectos. Prueba de ello la tenemos en la reciente difusión por
correo electrónico del virus "I love you".

Para analizar los diferentes supuestos que generan responsabilidad,
debemos tener en cuenta los canales de difusión que contribuyen a
potenciar el efecto pirámide en el que los virus basan su
efectividad. En todos ellos es aplicable el régimen de
responsabilidad extracontractual establecido en el artículo 1902
del Código Civil, que obliga a reparar los daños a quien, por
acción u omisión, causa un perjuicio a otro, interviniendo
culpa o negligencia.

- Creación

La mera creación de un virus puede obedecer a una intención
distinta a la puesta en circulación: participar en un concurso,
competir con otros virus, crear armas de guerra electrónica, etc.

- Puesta en circulación

Es difícil obtener una identificación plena del responsable de
la puesta en circulación del virus. Aunque en el caso de redes
telemáticas es posible encontrar rastros de la primera
aparición del virus, es posible alterar esa información.
En cualquier caso, la responsabilidad de la persona que inicia la
cadena de efectos nocivos de un virus, planificando la difusión
intencionada del mismo a través de un medio de transmisión
está clara, pues el daño es perfectamente previsible y seguro.

- Introducción intencionada en un sistema específico

Por su tipificación como delito de daños, los actos de sabotaje
informático pueden generar responsabilidad civil y penal. Pueden
tener su origen en personas del interior de la empresa que por un
motivo como la ruptura de la relación laboral, deciden causar un
daño, o en personas del exterior de la empresa, que acceden al
sistema informático por medios telemáticos. En ambos casos se
cumplen los requisitos para reclamar una indemnización.

El artículo 264.2 del Código Penal castiga con la pena de
prisión de uno a tres años al que por cualquier medio destruya,
altere, inutilice o de cualquier otro modo dañe los datos,
programas o documentos electrónicos ajenos contenidos en redes,
soportes o sistemas informáticos.

- Difusión de virus entre usuarios

La difusión involuntaria de un virus entre usuarios de sistemas
informáticos puede tener dos niveles:

- La difusión debida a una conducta negligente
- La difusión de virus no catalogados

La diligencia debida en el tratamiento de la información obliga a
realizar copias de seguridad y a instalar sistemas de detección de
virus. En el caso de archivos que se envían a otros usuarios, la
ausencia de control previo puede ser calificado como negligente,
puesto que el riesgo de destrucción de datos se está
traspasando a otros colectivos y ello podía haberse evitado de una
manera sencilla y económica. Pero también puede alegarse que el
usuario receptor del archivo afectado podría haber evitado el
daño
pasando el correspondiente anti-virus, a lo que cabe replicar que este
trámite se obvió por tratarse de un remitente que ofrecía
confianza.

En cualquier caso, el Reglamento de seguridad de la LORTAD establece
la obligación de realizar copias de seguridad, al menos una vez a
la semana, cuando el sistema informático contiene datos personales
de tipo básico.

Cuando el virus que afecta al archivo transmitido no está incluido
en el catálogo de virus del programa de detección utilizado,
por tratarse de una clase de reciente aparición, la conducta
diligente del usuario debería ser suficiente para enervar la
responsabilidad.
Para ello, el usuario deberá mantener actualizado el programa anti-
virus con los archivos suministrados periódicamente por el
fabricante.

Un detalle paradójico lo constituye el artículo 96.3 del Texto
Refundido de la Ley de Propiedad Intelectual, al establecer la
exclusión de los virus de las creaciones protegidas por el
derecho de autor. El objetivo de este precepto es facilitar las
actividades de análisis necesarias para la creación de un
antivirus, pero resulta innecesario por la sencilla razón de que
el creador de un virus no acostumbra a reclamar la titularidad del
mismo de forma pública.


RECOMENDACIONES

- Adquiera siempre programas originales
- No acepte ni transmita copias no autorizadas de programas de
ordenador
- No instale programas obtenidos en fuentes no fiables
- No ejecute ningún fichero sospechoso que reciba por
correo electrónico, aunque provenga de un amigo.
- Instale y mantenga actualizado un programa anti-virus
- Suscriba un servicio de alerta de virus en Internet