Hace algunos días ingresó al Congreso Nacional el proyecto de ley que establece normas sobre delitos informáticos, deroga la Ley N° 19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al Convenio de Budapest (el “Proyecto”). Este Proyecto constituye un avance importante para nuestro país en lo que se refiere a la penalización y persecución de delitos informáticos, sin embargo, existen ciertos elementos que, a nuestro juicio, todavía son mejorables o que no han sido abordados en el texto propuesto.
En este contexto, hemos preparado una serie de comentarios al Proyecto, tanto desde una perspectiva general como de una específica.
I. Análisis General del Proyecto
Se sugiere la incorporación de nuevos tipos penales al Proyecto
El Convenio de Budapest fue abierto para la suscripción de los Estados el año 2001, cuando muchas de las tecnologías que hoy están masificadas estaban recién emergiendo.
Bajo este escenario, estimamos que el Proyecto no incluye tipos penales asociados a ciberdelitos o delitos facilitados por herramientas informáticas que sí existen en otras legislaciones más avanzadas en este tema, y que se explicaría por el desfase temporal existente entre la entrada en vigor del Convenio de Budapest y el desarrollo tecnológico subsecuente.
De esta forma, el Proyecto puede ser una buena oportunidad para incorporar nuevos delitos u hipótesis no contemplados por éste, como, por ejemplo:
a) Los delitos asociados al ciberacoso o ciberbullying,
b) Los delitos asociados a la vigilancia no autorizada mediante la utilización de sistemas informáticos,
c) La penalización del uso de datos personales de terceros para la comisión de un delito informático.
Se sugiere abordar las tecnologías no contempladas en el Convenio de Budapest
El Proyecto no se hace cargo de los desafíos asociados a la computación en la nube – que implica almacenamiento de datos en servidores localizados en diferentes jurisdicciones; y de las dificultades que plantea en la investigación de ciberdelitos. Cabe destacar que este tema está siendo hoy tratado por los Estados participantes del Convenio de Budapest para preparar un nuevo Protocolo adicional que aborde la tecnología cloud y forma de manejar la evidencia en este contexto.
Se recomienda abordar los actos de índole racista y xenofóbica cometidos por medios de sistemas informáticos
La penalización de esta clase de actos ya se encuentra en el Protocolo adicional al Convenio de Budapest del año 2003.
Se sugiere mantener el delito de revelación de datos contenidos en un sistema de información
El Proyecto no contempla como delito la conducta establecida actualmente en el artículo 4 de la actual Ley 19.223 que tipifica figuras penales relativas a la informática. Este artículo consagra el delito de difusión o relevación de datos contenidos en un sistema de información, el cual sería recomendable mantener en nuestro ordenamiento incluyéndolo en el Proyecto.
Se recomienda establecer mecanismos de capacitación del ente persecutor y las policías
El desarrollo tecnológico avanza rápidamente, y con ello, los mecanismos, plataformas y medios informáticos utilizados por los delincuentes informáticos. En este contexto, se hace indispensable que las policías y los organismos auxiliares del Ministerio Público para la investigación de estos delitos, se encuentren debidamente capacitados y actualizados en cuanto a dichas tecnologías.
Idéntica situación deberá ocurrir en relación al Ministerio Público, considerando que será precisamente este ente persecutor quien deberá dirigir e impartir las instrucciones a las Policías en el contexto de investigaciones sobre este tipo de delitos, o bien en delitos comunes efectuados a través de medios informáticos. Se hace necesario que los fiscales cuenten con una orientación y capacitación específica a este respecto.
Junto con capacitar, se hará necesario mejorar las tecnologías con que se cuenta para la persecución penal, bajo riesgo de que las investigaciones no lleguen a buen puerto por deficiencias en términos de capacidad tecnológica instalada.
II. Análisis Particular del Proyecto
Comentarios al Título I de los delitos informáticos y sus sanciones
Al Artículo 1, sobre perturbación informática: Dificultad en la aplicación de la agravante
a) Estimamos que la agravante sobre la imposible recuperación del sistema informático afectado es de difícil aplicación práctica, y plantea las siguientes interrogantes: ¿Cuándo la recuperación deviene en imposible?, o ¿Cuál es el organismo técnico capaz de determinarlo.
Una agravante con mayor aplicación práctica puede ser cuando la recuperación del sistema informático perturbado implique una inversión importante de recursos económicos o tiempo.
Al Artículo 2, sobre acceso ilícito:
a) Determinación de la conducta típica
La conducta tipificada en el inciso primero del artículo 2 que sanciona el “acceso indebido” es amplia y puede desincentivar conductas lícitas y necesarias para la seguridad de los programas computacionales, asociadas a la detección de vulnerabilidades o “ethical hacking”. En este contexto, sugerimos agregar al tipo penal propuesto un elemento doloso que no sobre criminalice estas conductas.
Por otro lado, cabe destacar que ciertas hipótesis en la legislación comparada toman en consideración las características de los datos o sistemas accedidos indebidamente para involucrar una penalidad mayor. En concreto, consideran que el disvalor de una conducta de acceso ilícito es mayor cuando, por ejemplo, el acceso es a datos informáticos calificados como información clasificada en materia de defensa nacional, o cuando los datos informáticos corresponden a datos personales sensibles. Esto también es aplicable para acceso indebido a sistemas informáticos, como por ejemplo, cuando el acceso ilícito se adquiere respecto de un sistema que forma parte de una entidad calificada como infraestructura crítica. Hacer estas distinciones dota de sensatez a la norma, pues entiende que no todos los accesos ilícitos son iguales y, por lo tanto, no todos deben ser penados de igual manera.
b) Precisión en relación con medidas de seguridad como agravante
El inciso tercero del artículo 2 contempla una figura agravada del acceso ilícito cuando este se realice vulnerando, evadiendo o transgrediendo medidas de seguridad destinadas para impedir dicho acceso. En este contexto, es válido preguntarse la factibilidad real de que pueda configurarse un acceso indebido sin vulnerar, evadir o transgredir medidas de seguridad y, si así fuera, cuál sería el porcentaje de acceso indebidos que estarían comprendidos en estas circunstancias. Análisis de lo anterior podría sugerir que la figura comprendida en este inciso debería entonces ser la figura base del delito de acceso ilícito y no la que está establecida en el inciso primero.
Al artículo 4, sobre daño informático: Determinación del daño serio y del titular de datos
El artículo 4 del Proyecto establece que la pena por la alteración, borrado o destrucción de datos informáticos será aplicable siempre que con ello se cause un daño serio al titular de los mismos. En este sentido, la norma no define los parámetros bajo los cuales deberá entenderse que existe un daño serio ni las condiciones para demostrarlo; lo cual, en este contexto, podría llegar entenderse como una obligación de prueba para la víctima del delito. El tipo penal debería corregirse en base al establecimiento de parámetros que entreguen al operador jurídico herramientas para determinar si el daño es serio o no.
Por su parte, la norma establece que el daño deberá ser producido al titular de los datos informáticos alterados, borrados o destruidos, lo cual llevará en cada caso a determinar en quién es efectivamente el titular de éstos. Con la digitalización actual, la propiedad de los datos almacenados en sistemas informáticos es múltiple e intrincada, sin mencionar además que respecto a la regulación de protección de datos personales la titularidad recae sobre la persona natural a los que se refieren. En concreto, es posible que sea recomendable limitar el tipo a la generación de un daño no respecto del titular, sino más bien respecto de cualquier persona natural o jurídica que pueda aducir legítimamente un derecho en relación a los datos informáticos dañados.
Al Artículo 6, sobre fraude informático: Confusa redacción del tipo penal
La redacción del delito de fraude informático es confusa y se aparta de lo establecido en el Convenio de Budapest que distingue claramente entre la modificación de datos informáticos y la defraudación. En este contexto, sugerimos aplicar al Proyecto la redacción existente en el Convenio.
Al Artículo 8, sobre cooperación eficaz: Límite procesal no recomendable
La cooperación eficaz es indispensable para los fiscales en investigaciones que involucran fenómenos de criminalidad compleja, como los delitos informáticos, donde existen importantes dificultades para recabar evidencia. En nuestra opinión, el límite procesal del inciso tercero (formalización de la investigación o escrito de acusación) para expresar si el imputado ha prestado una cooperación eficaz, resulta discutible en cuanto a sus beneficios, aplicación práctica y real objetivo en cuanto a la persecución penal.
La cooperación eficaz busca generar un incentivo en los imputados que están dispuestos a colaborar y, producto de ello, obtener una sanción menor: Se trata de generar un escenario en donde el imputado analice los costos y beneficios de colaborar con la investigación. Limitarlo hasta el escrito de acusación persigue incentivar la colaboración en etapas primigenias del procedimiento en clara disonancia con la orgánica de nuestro Código Procesal Penal que contempla el reconocimiento expreso de hipótesis de colaboración en etapas intermedias como en el caso del procedimiento abreviado.
En virtud de lo anterior, se sugiere evaluar el límite temporal en cuanto a la determinación de la cooperación eficaz, para permitir al imputado un marco más amplio para aplicar a ella.
Al Artículo 9, sobre circunstancias agravantes:
a) Tecnologías de encriptación
La designación específica del uso de esta clase de herramienta como agravante es una técnica legislativa feble, pues se excluyen otros mecanismos o tecnologías que podrían -ahora o en el futuro- igualmente obstaculizar la acción de la justicia frente a delitos informáticos. Sugerimos adoptar un enfoque neutro que, más allá de centrase en el mecanismo utilizado, se centre en el objetivo, o sea, en el acto de obstaculizar la acción de la justicia.
b) Infraestructura crítica
Estimamos que la redacción de la agravante del inciso final del artículo 9 podría ser mejorada. En este contexto, sugerimos modificar la palabra “data” por la palabra “datos informáticos” que es la definida en el artículo 14 del Proyecto. También sugerimos evaluar la conveniencia de tener esta agravante en este Proyecto o incluir una en el proyecto de ley que regule específicamente infraestructura crítica.
c) Incorporación de otras agravantes
En legislación comparada se consideran otras agravantes asociadas a delitos informáticos que podrían incorporarse en el Proyecto, tales como:
- el hecho de cometer el delito informático en el marco de una agrupación de personas;
- el hecho de que, en virtud del delito, se hayan ocasionado daños a un gran número de sistemas informáticos; y
- que para la comisión de delito se hayan utilizado sin autorización datos personales de terceros.
Comentarios a las disposiciones finales
Al Artículo 14, sobre definiciones: Se recomienda cambiar la disposición de los artículos
Consideramos que la técnica legislativa utilizada para disponer de las definiciones que formarán parte de los tipos penales que se describen en el Título I podría resultar confusa. En concreto, en el Proyecto primero se describen los tipos penales y, posteriormente, se definen los conceptos que los integran, los que son relevantes para entender el alcance de la prohibición. Sugerimos que estas definiciones se incluyan al inicio del Proyecto en el Título I, para facilitar el proceso de comprensión de las conductas típicas.
Comentarios a las modificaciones al Código Procesal Penal
Al Artículo 16, consideraciones generales
a) Se sugiere establecer que las obligaciones de preservación provisoria de datos informáticos o las copias de comunicaciones o transmisiones, son aplicables aun cuando los datos se encuentren en territorio extranjero en la medida que la empresa tenga control de ellos
b) Se sugiere evaluar la necesidad de generar un reglamento que facilite la entrega de datos informáticos.De acuerdo a nuestra experiencia, existe una diferencia considerable en la forma mediante la cual se da cumplimiento a la obligación de entrega de información. Lo anterior genera, en muchas ocasiones, que se deban reiterar las solicitudes para que la información sea efectivamente recibida en los términos solicitados.En este contexto, nuestra sugerencia es que la misma ley faculte a un organismo del poder ejecutivo para elaborar un reglamento que establezca directrices básicas acerca de cómo la información debiera ser solicitada y, a su vez, cómo debiera ser entregada por parte de los proveedores.
c) Se sugiere establecer un periodo determinado respecto del cual las empresas concesionarias de servicios públicos de telecomunicaciones y los proveedores de acceso a Internet deban conservar los datos relativos al tráfico en virtud del nuevo artículo 222 del Código Procesal Penal. El Proyecto establece únicamente que este periodo de conservación no puede ser inferior a dos años, pero no establece un periodo máximo.
Comentarios a la modificación de la Ley N° 20.393 que establece la responsabilidad penal de las personas jurídicas en los delitos de lavado de activos, financiamiento del terrorismo y delitos de cohecho
Sugerimos aludir específicamente a los tipos penales aplicables a la empresa y evitar remisiones en bloque “Título I de la ley que sanciona delitos informáticos”.
Se sugiere enfatizar que, tratándose de los delitos informáticos, la responsabilidad de las personas jurídicas se hará efectiva sólo si la conducta que genera el ilícito haya formado parte de la ejecución de las actividades, giro u operación de la persona jurídica. Lo anterior se condice con el deber de la persona jurídica de identificar las actividades o procesos, habituales o esporádicos, en cuyo contexto se genere o incremente el riesgo de comisión de delitos. Por ejemplo, que el delito informático se haya cometido en el contexto de las operaciones o actividades económicas de la empresa, lo que exige determinar la aplicación práctica y concreta del delito (informático) teniendo en cuenta el funcionamiento de la entidad.
Comentario Finales
La proliferación de los activos digitales hacen que esta actualización normativa sea necesaria en un sinnúmero de niveles, pero sobre todo, en relación a los derechos de las personas y de las empresas de utilizar sistemas y datos informáticos con la tranquilidad que existen los mecanismos legales para perseguir a quienes atenten contra estos.
En este sentido, sin duda que el Proyecto constituye un avance relevante y necesario para el país, pero que, como vimos, contiene ciertos aspectos que todavía pueden mejorarse o que derechamente deberían abordarse de cara a tener la mejor normativa posible en este tema. El Proyecto recién se encuentra en su primer trámite constitucional en la Comisión de Seguridad Pública del Senado, por lo que es difícil poder prever en este momento cuando podría transformarse efectivamente en ley de la República.
Opinión
PASBBA
opinión
ver todosNORDELTA S.A.
Alfaro Abogados
Berton Moreno IP Law
Eskenazi Corp