Directiva 2013/40/UE del Parlamento Europeo y del Consejo, de 12 de agosto de 2013, relativa a los ataques contra los sistemas de información y por la que se sustituye la Decisión marco 2005/222/JAI del Consejo
Artículo 10. Responsabilidad de las personas jurídicas
1. Los Estados miembros adoptarán las medidas necesarias para garantizar que las personas jurídicas puedan ser consideradas responsables de las infracciones mencionadas en los artículos 3 a 8 cuando estas infracciones sean cometidas en su beneficio por cualquier persona que, actuando a título particular o como parte de un órgano de la persona jurídica, ostente un cargo directivo en el seno de dicha persona jurídica, basado en:
a) el poder de representación de dicha persona jurídica, o
b) la capacidad para tomar decisiones en nombre de dicha persona jurídica, o
c) la capacidad para ejercer un control en el seno de dicha persona jurídica.
2. Los Estados miembros adoptarán las medidas necesarias para garantizar que las personas jurídicas puedan ser consideradas responsables cuando la falta de supervisión o control por parte de alguna de las personas a que se refiere el apartado 1 haya permitido que una persona sometida a su autoridad cometa una de las infracciones mencionadas en los artículos 3 a 8 en beneficio de esa persona jurídica.
3. La responsabilidad de las personas jurídicas en virtud de los apartados 1 y 2 no excluirá la incoación de acciones penales contra las personas físicas que sean autoras, inductoras o cómplices de las infracciones mencionadas en los artículos 3 a 8.
Artículo 11. Sanciones contra las personas jurídicas
1. Los Estados miembros adoptarán las medidas necesarias para garantizar que a la persona jurídica considerada responsable en virtud de lo dispuesto en el artículo 10, apartado 1, le sean impuestas sanciones efectivas, proporcionadas y disuasorias, que incluirán multas de carácter penal o de otro tipo, y entre las que podrán incluir otras sanciones como:
a) exclusión del disfrute de ventajas o ayudas públicas;
b) inhabilitación temporal o permanente para el ejercicio de actividades comerciales;
c) vigilancia judicial;
d) medida judicial de liquidación;
e) cierre temporal o definitivo de los establecimientos utilizados para cometer la infracción.
2. Los Estados miembros adoptarán las medidas necesarias para garantizar que a la persona jurídica considerada responsable en virtud de lo dispuesto en el artículo 10, apartado 2, le sean impuestas sanciones o medidas efectivas, proporcionadas y disuasorias.
Acceda aquí al texto completo de la Directiva 2013/40/UE.