martes, 21 de enero de 2014

Delitos Informáticos, Acceso e Información, y el Convenio de Budapest

Tomado de la Revista Jurídica
Transcrito por Karin Vigo
“No estamos frente a nuevos tipos penales. Desde 2000 la interferencia telefónica, la pornografía infantil y la discriminación han sido sancionadas drásticamente por nuestro Código Penal.”

Libertad de información
Con la Ley de Delitos Informáticos se incrementa la pena de la interferencia telefónica a un máximo de 8 años cuando se trata de información clasificada como "secreta, reservada y confidencial, de acuerdo con las normas de la materia". Entendemos que se hace referencia a la Ley de Transparencia y Acceso a la Información Pública y su reglamento que claramente delimitan dichas categorías. Por otro lado, se incrementa la
pena a 10 años cuando el delito comprometa la defensa, seguridad o soberanía nacional.


 Como indica el penalista Alcocer, esto último ya está contemplado en el artículo 331 del actual Código Penal, incluso con una pena mayor. Asimismo, añade algo muy importante: "El hecho que no se haya indicado expresamente como eximente de responsabilidad la obtención de información (por ejemplo, clasificada como secreta o reservada) basado en el 'interés público', no resulta, desde mi punto vista, una evidente limitación a la libertad de información. En primer lugar, porque no se prohíbe expresamente su difusión y, en segundo lugar, porque el ejercicio legítimo de un derecho (Art. 20 Inc. 8 CP) justifica la conducta de todo ciudadano, siendo irrelevante –para declarar su inocencia– que en cada tipo penal se indique expresamente que el agente debe actuar 'justificadamente' o en 'interés público'."

 Para la pornografía infantil se aumenta la pena y se establece una agravante para que incurra en ella utilizando tecnologías de la información. Lo mismo ocurre en el caso del delito de discriminación. En este último caso podrían existir potenciales afectaciones a la libertad de expresión al incluir la discriminación por opinión, pero debemos reiterar que este delito ya se encontraba regulado en esencia en el Código Penal al igual que la pornografía infantil.

 Por lo tanto, la cuarta conclusión es que se incrementan las penas para la interceptación telefónica, la discriminación y la pornografía infantil reguladas en el Perú desde 2000. No habría afectación a la libertad de información en el delito de interferencia telefónica. Se mantendría la potencial afectación a la libertad de expresión en el caso del delito de discriminación vigente, aunque sería interesante saber cuántos casos desde 2000 han aplicado este artículo. Tanto en el caso del delito de discriminación como el de pornografía infantil se establecen agravantes por el solo uso de la tecnología cuando debería sancionarse únicamente la conducta.

■ La Ley N°30096 Nos acerca al primer tratado internacional sobre Cibercriminalidad. Con el objeto de prevenir y sancionar las conductas ilícitas mediante la utilización de tecnologías de la información o de la comunicación y, de esta manera, luchar contra la ciberdelincuencia, el pasado 22 de octubre se publicó en el Diario Oficial El Peruano la Ley Nº 30096, Ley de delitos informáticos (LDI). A continuación presentamos un análisis detallado de la norma.

LO VIEJO INFORMÁTICO
  Gran parte del catálogo vigente de delitos informáticos anterior a la LDI data de 2000 y tenía como bien jurídico protegido el patrimonio (Título V, Capítulo X del Código Penal). Nos referimos a los artículos 207-A (espionaje o intrusismo informático), 207-B (sabotaje informático) y 207-C (agravantes).

  El espionaje o intrusismo informático sancionaba la utilización o ingreso subrepticio a una base de datos, sistema o red de computadoras o cualquier parte de la misma para diseñar, ejecutar o alterar un esquema u otro similar. La pena máxima era de 2 años de cárcel.

  El sabotaje informático sancionaba la utilización, ingreso o interferencia a una base de datos, sistema, red o programa de ordenador con la finalidad de alterarlos, dañarlos o destruirlos. La pena máxima era de 5 años de cárcel.

  Los agravantes sancionaban con 7 años de cárcel a quienes cometían espionaje o sabotaje informático cuando el agente ingresaba a la base de datos, sistema o red de computadoras haciendo uso de información privilegiada en función a su cargo o ponía en riesgo la seguridad nacional (pena máxima de 7 años de cárcel).

  El 19 de agosto de 2013 la Ley Nº 30076, anterior a la LDI, incorporó un nuevo delito: el tráfico ilegal de datos sancionando a aquel que "crea, ingresa o utiliza indebidamente una base de datos sobre una persona natural o jurídica, identificada o identificable, para comercializar, traficar, vender, promover, favorecer o facilitar información relativa a cualquier ámbito de la esfera personal, familiar, patrimonial, laboral, financiera u otro de naturaleza análoga, creando o no perjuicio".

  Por lo tanto, nuestra primera conclusión es que no estamos frente a una nueva regulación de delitos informáticos. Desde 2000 ya teníamos dos tipos penales en nuestro Código Penal (espionaje o intrusismo informático y sabotaje informático). En agosto de 2013, además, se había creado un nuevo delito informático relacionado con el tráfico ilegal de datos.

LO NUEVO INFORMÁTICO
  La LDI deroga todos los delitos informáticos que hemos mencionado antes y se presentan nuevos tipos penales, únicamente inspirados en la Convención de Budapest.

  El primero de ellos es el "acceso ilícito a un sistema informático" (Art. 2) (recuerdan el delito de espionaje o intrusismo informático). Se sanciona al que accede sin autorización a todo o parte de un sistema informático vulnerando las medidas de seguridad que hayan sido establecidas para impedirlo. La clave parece estar en la vulneración de las medidas de seguridad; sin embargo, creemos que quizá debió especificarse cuál es el peligro concreto sancionable. Por ejemplo, si hay peligro para la seguridad o la confidencialidad. Ejemplo: ingresar sin autorización a cuentas de correo electrónico vulnerando las contraseñas.

  El segundo es el atentado a la integridad de los datos informáticos (Art. 3): "El que a través de las tecnologías de la información o de la comunicación, introduce, borra, deteriora, altera, suprime o hace inaccesibles datos informáticos" (Ejemplo: el ingreso a un sistema informático para alterar información relativa a sueldos o la información laboral de un trabajador), y el tercero, atentado a la integridad de sistemas informáticos (Art. 4): "El que a través de las tecnologías de la información o de la comunicación inutiliza, total o parcialmente, un sistema informático, impide el acceso a este, entorpece o imposibilita su funcionamiento o la prestación de sus servicios" (Ejemplo: un ataque DDoS) (recuerdan el delito de sabotaje informático). Este tipo penal me recuerda mucho al daño simple que se encuentra regulado en el artículo 205 del Código Penal, pero en su versión informática ("el que daña, destruye o inutiliza un bien mueble o inmueble..."). Pudo afinarse la redacción y precisarse que el objetivo de las conductas no era otro que causar un daño.

 El cuarto, proposiciones por medios tecnológicos a niños con fines sexuales (grooming) no se encontraba regulado. "El que a través de las tecnologías de la información o de la comunicación contacta con un menor de 14 años para solicitar u obtener de él material pornográfico, o para llevar a cabo actividades sexuales con él" (pena máxima: 8 años de cárcel). Al respecto, el penalista Eduardo Alcócer Povis ha señalado que el solo contacto no es ya bastante ambiguo, sino que además "los tipos penales vigentes sobre pornografía infantil, seducción o violación de menores resultan suficientes para sancionar aquellas conductas realmente lesivas (por ejemplo, cuando ya se entabla una comunicación con el menor para obtener material pornográfico o tener relaciones sexuales), las que se entenderán como formas de tentativa de dichos ilícitos penales".


DATOS PERSONALES
  El quinto delito tipificado es el tráfico ilegal de datos informáticos (ya estaba vigente; sin embargo, se derogó y se volvió a promulgar). En este tema no se encuentra plena consonancia entre la regulación administrativa que trae la Ley de Datos Personales y este nuevo tipo penal propuesto.

  El sexto es el fraude informático (no se encontraba regulado). "El que a través de las tecnologías de la información o de la comunicación procura para sí o para otro un provecho ilícito en perjuicio de terceros mediante el diseño, introducción, alteración, borrado, supresión, clonación de datos informáticos o cualquier interferencia o manipulación en el funcionamiento de un sistema informático". (Pena máxima: 8 años de cárcel)(Ejemplo: Phishing, es decir, envío de correos fraudulentos que nos dirigen a una página fraudulenta).

  El sétimo es la interceptación de datos informáticos (no se encontraba regulado). "El que a través de las tecnologías de la información o de la comunicación intercepta datos informáticos en transmisiones no públicas, dirigidas a un sistema informático, originadas en este o efectuadas dentro del mismo, incluidas las emisiones electromagnéticas provenientes de un sistema informático que transporte dichos datos informáticos" (Pena máxima: 10 años de cárcel). Esta es la versión informática de la interceptación telefónica.

  El octavo es la suplantación de identidad (no se encontraba regulado)."El que mediante las tecnologías de la información o de la comunicación suplanta la identidad de una persona natural o jurídica, siempre que de dicha conducta resulte algún perjuicio, material o moral" (Pena máxima de 5 años de cárcel) (Ejemplo: atribuirse una identidad ajena a través de cualquier página de Internet o red social). No queda claro si la suplantación implica necesariamente la creación de una cuenta falsa, pudo haberse incluido.

  El noveno es el abuso de dispositivos o mecanismos informáticos (no se encontraba regulado). "El que fabrica, diseña, desarrolla, vende, facilita, distribuye, importa u obtiene para su utilización uno o más mecanismos, programas informáticos, dispositivos, contraseñas, códigos de acceso o cualquier otro dato informático, específicamente diseñados para la comisión de los delitos previstos en la presente Ley, o el que ofrece o presta servicio que contribuya a ese propósito" (Pena máxima de 4 años de cárcel). No se incluye la excepción contenida en el Convenio de Budapest para permitir el "hacking ético".

 La segunda conclusión es que los nuevos tipos penales informáticos hacen referencia a diferentes bienes jurídicos, ya no solo al patrimonio. La LDI debió ser más precisa en algunos casos. Se acerca bastante a la redacción del Convenio de Budapest, pero no en todos los casos. Cabe precisar que, según lo establecido en el artículo 12 del Código Penal, es necesario el dolo para que los delitos anteriores se configuren. ¿Qué es el dolo? La intención deliberada de cometer el delito.

Ecosistema digital
  La LDI es necesaria en tanto propone un nuevo catálogo de delitos cuya inclusión en el sistema jurídico peruano es saludable a fin de desalentar conductas como el phishing o la suplantación de identidad en Internet que son nocivas para el ecosistema digital.

  No obstante ello resulta necesario afinar la redacción de algunos artículos, a fin de brindar mayor seguridad jurídica. El objetivo sería lograr que la ley sea efectiva, respete el principio de legalidad y criterios de proporcionalidad evitando los tipos penales de peligro abstracto, así como dualidades donde se establezcan agravantes por el solo uso de la tecnología lo cual puede terminar desincentivando su uso y minando un importante espacio de innovación como es el entorno digital.

  Es importante ratificar la Convención de Budapest ya que constituye un estándar internacional al que nuestra legislación se ha aproximado en buena medida y consolida la experiencia de 40 países, así como ofrece un marco de colaboración entre ellos. Dicha ratificación, aún posterior a la ley, podría generar el espacio para mejorar los artículos que así lo requieren.

  Respecto de las posibles afectaciones a derechos fundamentales como la libertad de información y de expresión, considero que no se genera la primera en el caso del delito de interceptación telefónica, sin embargo, se mantiene la segunda en el delito de discriminación.

  Dada la trascendencia de los temas regulados, es importante promover una mayor difusión de estos tipos penales para que la población conozca los alcances de lo que está prohibido y permitido en esta materia.

LO VIEJO NO INFORMÁTICO
  En el Código Penal ya teníamos regulados los siguientes delitos: (i) interferencia telefónica (art. 162), (ii) pornografía infantil (art. 183) y (iii) discriminación (art. 323).

  Así, la interferencia telefónica sanciona a quien, indebidamente, interfiere o escucha una conversación telefónica similar y se le impone una pena de hasta 3 años de cárcel. Como agravante se sanciona al funcionario público con una pena de hasta 5 años de cárcel más la respectiva inhabilitación. La pornografía infantil es sancionada con rigor desde 2001, imponiendo penas de hasta 12 años de cárcel. La discriminación también es sancionada desde 2000 con hasta 3 años de cárcel.


  En consecuencia, la tercera conclusión es que no estamos frente a nuevos tipos penales. Desde 2000 la interferencia telefónica, la pornografía infantil y la discriminación han sido sancionadas drásticamente por nuestro Código Penal.

No hay comentarios:

Publicar un comentario