Hace unas semanas atrás ingresó al Congreso el ansiado proyecto de ley que busca adecuar nuestra legislación a las obligaciones impuestas por el Convenio sobre la Ciberdelincuencia del Consejo de Europa, conocido como Convenio de Budapest, modificando entre otros cuerpos legales nuestra anquilosada ley de delitos informáticos de 1993, época en que en Chile Internet aún era un experimento entre Universidades.
Si bien en su tiempo fue un avance importante, hoy no se ajusta a los estándares mínimos que el citado Convenio contempla, siendo urgente su reforma.
En términos generales es un buen proyecto, con un avance significativo en varias materias, sin embargo, tiene varios puntos que vale la pena revisar y mejorar, en especial teniendo en cuenta que su discusión parlamentaria recién comienza. En este sentido, y por un tema de extensión, se omitirá la reproducción de las normas, algunas de ellas extensas, limitando el análisis derechamente a las observaciones más relevantes.
Como punto de partida, de una revisión del mensaje mismo, se hecha de menos una referencia expresa a los bienes jurídicos que se pretenden proteger en el proyecto, en especial porque de la lectura del texto, da la impresión que se ha opado por una aproximación fenomenológica, lo que no es algo necesariamente negativo, pero que requiere una precisión, o al menos mención de los bienes jurídicos a tutelar.
a) Perturbación informática.
El primer artículo regula la perturbación informática, resaltando la utilización de la expresión “maliciosamente”, la cual tradicionalmente se ha entendido por la doctrina y jurisprudencia como sinónimo de dolo directo. Esta inclusión, fuera de establecer mayores requisitos para efectos de configurar la conducta, no pone el énfasis en el carácter indebido de la misma, que es donde debiera estar el disvalor de la acción.
En base a lo anterior, se estima que un elemento como ilícitamente o indebidamente es más aconsejable.
b) Acceso ilícito.
Por otro lado, respecto del acceso ilícito, el artículo 2do establece 3 figuras, sancionando en el inciso primero el mero acceso, surgiendo como pregunta inmediata la eventual punibilidad del hacking ético, el cual en principio se excluiría con la expresión “indebido” del inciso primero.
Otra posibilidad, a modo de propuesta, sería incluir una eximente especial vinculada a accesos sin autorización, pero que han sido hechos con consentimiento del titular del sistema informático, o bien en un contexto de investigación.
Por otro lado, de la lectura de la norma, no queda claro si el acceso indebido se refiere al vencimiento de barreras informáticas (criterio seguido en derecho comparado) o simplemente al acceso sin permiso, hipótesis última que podría ampliar la figura a acceso en contexto laborales o contractuales en que el conflicto muchas veces es más bien de tipo privado.
Por último, el inciso tercero incluye una hipótesis agravada en el evento que el acceso vulnere medidas de seguridad. Sobre este punto, al acceder indebidamente a un sistema, la regla general es hacerlo vulnerando alguna medida de seguridad, por lo que la norma presenta el riesgo de transformarse en la regla general, cuando en el contexto del derecho penal, las figuras agravadas son más la excepción a una conducta de común ocurrencia.
c) Interceptación ilícita.
Se trata de un tipo penal similar al contemplado en el artículo 36 B letra b) de la Ley 18.168, pero en este caso no se circunscribe a un servicio de telecomunicaciones, por lo que se estima muy positiva su inclusión.
Sin perjuicio de lo anterior, llama la atención el hecho que el citado delito de la Ley 18.168 incluye adicionalmente como verbo rector la expresión interrupción, el cual no está en el proyecto, siendo aconsejable su incorporación a fin de mantener una equivalencia normativa.
Adicionalmente, otra falencia en este delito es la omisión a la hipótesis de relevación que si está incluida en el actual artículo 4to de la Ley 19.223. Esto es algo que debiera ser corregido, siendo aconsejable cumplir con la relación intromisión – relevación presente en otros tipos penales, como por ejemplo el previsto en el artículo 161 A del Código Penal.
d) Daño informático.
Respecto del este ilícito, incluido en el artículo 4to, exige que el daño sea serio, surgiendo el problema de determinar que se entiende como daño serio. Si bien se valora la intención del Poder Ejecutivo, en orden a sancionar solamente los daños informáticos de mayor gravedad (el Convenio de Budapest utiliza la expresión daños graves), resulta complejo utilizar la expresión “serio” sin dar mayores luces acerca de los criterios para poder determinar lo anterior.
Por otro lado, al hablar de daño serio al titular, pone el énfasis en el disvalor de acción vinculado al titular y no en el dato mismo, lo que es complejo. No resulta aconsejable entregar a la víctima la calificación de la seriedad del daño, ya que se torna demasiado subjetiva la calificación de dicho elemento.
En este sentido, se podría fijar un criterio atendiendo por ejemplo a si se dañan archivos de manera masiva, o que tengan efectos en el funcionamiento del sistema, o que causen un perjuicio económico efectivo.
e) Falsificación informática.
En este punto, se desperdicia una oportunidad importante de despojarse de todos los inconvenientes doctrinarios y jurisprudenciales que tiene el delito de falsificación del Código Penal, haciendo una referencia expresa a este mismo.
En este sentido, preguntas como la inclusión de la hipótesis de forjamiento, o bien la sanción de las falsificaciones de tipo ideológicas, quedan aun sin responder. Adicionalmente, regula una hipótesis de falsificación de tipo privado sin la exigencia de un perjuicio, el cual si esta presente en el delito clásico de falsificación de instrumento privado del Código Penal.
En base a lo anterior, se sugiere eliminar referencia al Código Penal, y proponer una penalidad única, aumentada en un grado si se trata de documentos públicos electrónicos.
f) Fraude informático.
Este es quizás una de las modificaciones más relevantes, y si bien se aprecia un avance, superando el problema del error psicológico de la estafa tradicional, llama la atención la utilización del verbo rector “utilizar”, ampliando la conducta de manera excesiva.
En el contexto de un fraude informático, en general tanto la doctrina como el derecho comparado construyen el delito en base al concepto de manipulación informática, exigiendo al menos la modificación de datos (Budapest también lo exige), sin embargo, el proyecto se aleja de esta regla, sin tipificar un delito de defraudación propiamente tal.
En base a lo anterior, resulta imperioso tipificar conductas de manipulación bursátil y no la mera utilización de información.
Por otro lado, el proyecto no incluye las hipótesis de phishing, pharming, y en general de obtención indebida de datos mediante algún engaño. Si bien para algunos se trata de actos preparatorios que no debieran ser punibles, se estima que al menos debieran ser incluidos como conductas que agravan o aumentan la pena.
g) Abuso de dispositivos.
Como punto de partida, el artículo 7 del proyecto limita la aplicación de esta norma a los delitos de perturbación, acceso ilícito, interceptación y daño informático, de uso indebido de tarjetas de la Ley 20.009, sin embargo, deja afuera el fraude informático, quizás el delito más relevante a la hora de enfrentar los abusos de dispositivos.
Con la redacción actual del proyecto, el uso, importación, u ofrecimiento de datos bancarios no vinculados al plástico no serían punibles.
Por otro lado, una de las reservas al Convenio de Budapest que adhirió Chile se refiere a la exclusión de los dispositivos dentro de esta norma, sin embargo, en el proyecto si se incluyen. Si bien su inclusión es absolutamente necesaria, llama la atención que en las reservas nuestro país había decidido excluirlo.
Sin perjuicio de lo anterior, es una norma muy necesaria, que va en armonía con la reciente inclusión de una nueva la letra e) en el tipo penal del artículo 36B de la Ley 18.168, para efectos de sancionar la comercialización o distribución de una señal de servicios limitados de televisión de manera ilícita (el gran problema de los dispositivos IPTV, que por su importancia merecen un análisis detallado e independiente).
h) Normas procesales.
Por último, respecto de las circunstancias agravantes, llama la atención la inclusión del uso de tecnologías de encriptación sobre datos informáticos contenidos en sistemas informáticos que tengan por principal finalidad la obstaculización de la acción de la justicia.
Sobre este punto, la encriptación es una práctica aconsejada en la Política Nacional de Ciberseguridad y en documentos y manuales del Ministerio de Defensa, por lo que a corto plazo debiera ser regla general dentro de las medidas a tomar por personas y empresas en materia de ciberseguridad. En este escenario, no parece aconsejable incluirla como agravante, aunque sea con la finalidad de obstaculizar la acción de la justicia, ya que es un elemento subjetivo de difícil acreditación.
Siempre dentro de las agravantes, sería aconsejable incluir como agravante el hecho que la conducta afecte a un número significativo de sistemas informáticos, o cuando afecte un número importante de personas (temas distintos). Lo anterior, a la luz del aumento de los ataques del tipo denegación de servicio (DDoS).
Por otro lado, el artículo 11 posibilita la aplicación de las técnicas especiales de investigación contempladas en los artículos 222 a 226 del Código Procesal Penal. Sobre el particular, no parece razonable entregar la herramienta de interceptación de comunicaciones telefónicas a delitos que incluso pueden tener pena de multa. El disvalor de la acción no lo amerita.
Si es de suma utilidad la entrega de información relativa a números IP, y mucho más importante aún la relativa a los metadatos, todo ello previa autorización judicial. Sin perjuicio de lo anterior, es importante también tener a la vista el costo que su implementación tiene para las compañías de telecomunicaciones, y la factibilidad de poder obtener de manera rápida y efectiva los metadatos mencionados.
En conclusión, si bien hay varias normas que podrían ser perfeccionadas, el proyecto es avance relevante, valorando además la buena disposición del Gobierno para recibir comentarios y discutir estos temas de manera constructiva con los usuarios del sistema.
Opinión
CYT Abogados
opinión
ver todosBeccar Varela
Cevasco, Camerini, Barreira Delfino & Polak Abogados
Fernando Varela & Asociados
Kabas & Martorell