La ley de delitos informáticos en cuatro conclusiones

^[1]

El 22 de octubre de 2013 se publicó en el diario oficial El Peruano la Ley N° 30096, Ley de delitos informáticos (LDI). La LDI tiene por objeto prevenir y sancionar las conductas ilícitas mediante la utilización de tecnologías de la información o de la comunicación y de esta manera luchar contra la ciberdelincuencia.

A continuación presentamos un análisis detallado de la norma.

1. Lo viejo informático

• Gran parte del catálogo vigente de delitos informáticos anterior a la LDI data del año 2000 y tenía como bien jurídico protegido el patrimonio (Título V, Capítulo X del Código Penal). Nos referimos a los artículos 207-A (espionaje o intrusismo informático), 207-B (sabotaje informático) y 207-C (agravantes).
• El espionaje o intrusismo informático sancionaba la utilización o ingreso subrepticio a una base de datos, sistema o red de computadoras o cualquier parte de la misma para diseñar, ejecutar o alterar un esquema u otro similar. La pena máxima eran 2 años de cárcel.
• El sabotaje informático sancionaba la utilización, ingreso o interferencia a una base de datos, sistema, red o programa de ordenador con la finalidad de alterarlos, dañarlos o destruirlos. La pena máxima eran 5 años de cárcel.
• Los agravantes sancionaban con 7 años de cárcel a quienes cometían espionaje o sabotaje informático cuando el agente ingresaba a la base de datos, sistema o red de computadoras haciendo uso de información privilegiada en función a su cargo o ponía en riesgo la seguridad nacional (pena máxima de 7 años de cárcel).
• El 19 de agosto de 2013 la Ley 30076, incorporó un nuevo delito: el tráfico ilegal de datos sancionando a aquel que «crea, ingresa o utiliza indebidamente una base de datos sobre una persona natural o jurídica, identificada o identificable, para comercializar, traficar, vender, promover, favorecer o facilitar información relativa a cualquier ámbito de la esfera personal, familiar, patrimonial, laboral, financiera u otro de naturaleza análoga, creando o no perjuicio».
• Primera conclusión: No estamos frente a una nueva regulación de delitos informáticos. Desde el año 2000 ya teníamos dos tipos penales en nuestro Código Penal (espionaje o intrusismo informático y sabotaje informático). En agosto de 2013 se crea un nuevo delito informático (¿?) relacionado con el uso de bases de datos.

2. Lo nuevo informático

La LDI deroga TODOS los delitos informáticos vigentes y que hemos mencionado anteriormente y se presentan nuevos tipos penales únicamente inspirados en la Convención de Budapest.

1. Acceso ilícito a un sistema informático (art. 2) (¿recuerdan el delito de espionaje o intrusismo informático?). Se sanciona al que accede sin autorización a todo o parte de un sistema informático vulnerando las medidas de seguridad que hayan sido establecidas para impedirlo. La clave parece estar en la vulneración de las medidas de seguridad sin embargo creemos que debió especificarse el peligro concreto sancionable. Por ejemplo, peligro para la seguridad o confidencialidad. Ej.: el ingreso sin autorización a cuentas de correo electrónico vulnerando las contraseñas. 
2. Atentado a la integridad de los datos informáticos (art. 3): «el que a través de las tecnologías de la información o de la comunicación, introduce, borra, deteriora, altera, suprime o hace inaccesibles datos informáticos» (Ej.: el ingreso a un sistema informático para alterar información relativa a sueldos o información laboral de un trabajador) y atentado a la integridad de sistemas informáticos (art. 4): «el que a través de las tecnologías de la información o de la comunicación, inutiliza, total o parcialmente, un sistema informático, impide el acceso a este, entorpece o imposibilita su funcionamiento o la prestación de sus servicios» (Ej.: un ataque DDoS ^[2]) (¿recuerdan el delito de sabotaje informático?). Este tipo penal me recuerda mucho al daño simple que se encuentra regulado en el artículo 205 del Código Penal pero en su versión informática («el que daña, destruye o inutiliza un bien mueble o inmueble…»). Pudo afinarse la redacción y precisarse que el objetivo de las conductas no era otro que causar un daño.
3. Proposiciones por medios tecnológicos a niños con fines sexuales (“grooming”) (no se encontraba regulado). «El que a través de las tecnologías de la información o de la comunicación, contacta con un menor de 14 años para solicitar u obtener de él material pornográfico, o para llevar a cabo actividades sexuales con él» (Pena máxima: 8 años de cárcel). Al respecto Eduardo Alcocer ha señalado ^[3] que el sólo contacto no es ya bastante ambiguo sino que además «los tipos penales vigentes sobre pornografía infantil, seducción o violación de menores resultan suficientes para sancionar aquellas conductas realmente lesivas (por ejemplo, cuando ya se entabla una comunicación con el menor para obtener material pornográfico o tener relaciones sexuales), las que se entenderán como formas de tentativa de dichos ilícitos penales».
4. Trafico ilegal de datos informáticos (ya estaba vigente, sin embargo se deroga y se vuelve a promulgar (¿?). Ver punto 1 de esta nota). No se encuentra consonancia entre la regulación administrativa sobre datos personales y este nuevo tipo penal propuesto.
5. Fraude informático (no se encontraba regulado). «El que a través de las tecnologías de la información o de la comunicación, procura para sí o para otro un provecho ilícito en perjuicio de tercero mediante el diseño, introducción, alteración, borrado, supresión, clonación de datos informáticos o cualquier interferencia o manipulación en el funcionamiento de un sistema informático». (Pena máxima: 8 años de cárcel)(Ej.: “Phishing”, es decir, envío de correos fraudulentos que nos dirigen a una página fraudulenta)
6. Interceptación de datos informáticos (no se encontraba regulado) «El que a través de las tecnologías de la información o de la comunicación, intercepta datos informáticos en transmisiones no públicas, dirigidas a un sistema informático, originadas en este o efectuadas dentro del mismo, incluidas las emisiones electromagnéticas provenientes de un sistema informático que transporte dichos datos informáticos» (Pena máxima: 10 años de cárcel). Ésta es la versión informática de la interceptación telefónica.
7. Suplantación de identidad (no se encontraba regulado).»El que mediante las tecnologías de la información o de la comunicación suplanta la identidad de una persona natural o jurídica, siempre que de dicha conducta resulte algún perjuicio, material o moral» (Pena máxima de 5 años de cárcel) (Ej.: atribución de un identidad ajena a través de cualquier página  de Internet o red social). No queda claro si la suplantación implica necesariamente la creación de una cuenta falsa, pudo haberse incluido.
8. Abuso de dispositivos o mecanismos informáticos (no se encontraba regulado). «El que fabrica, diseña, desarrolla, vende, facilita, distribuye, importa u obtiene para su utilización uno o más mecanismos, programas informáticos, dispositivos, contraseñas, códigos de acceso o cualquier otro dato informático, específicamente diseñados para la comisión de los delitos previstos en la presente Ley, o el que ofrece o presta servicio que contribuya a ese propósito» (Pena máxima de 4 años de cárcel). No se incluye la excepción contenida en el Convenio de Budapest para permitir el «hacking ético».

Segunda conclusión: Los nuevos tipos penales informáticos hacen referencia a diferentes bienes jurídicos, ya no sólo al patrimonio. La LDI debió ser más precisa en algunos casos. Se acerca bastante a la redacción del Convenio de Budapest pero no en todos los casos. Cabe precisar que, según lo establecido en el artículo 12 del Código Penal es necesario el dolo para que los delitos anteriores se configuren. ¿Qué es el dolo? La intención deliberada de cometer el delito. 

A continuación puede revisarse una matriz comparativa ^[4] que se explica por si sola y permite apreciar las cercanías y diferencias entre la LDI y la Convención de Budapest.

3. Lo viejo no informático

• En el Código Penal ya teníamos regulados los siguientes delitos: (i) interferencia telefónica (art. 162), (ii) pornografía infantil (art. 183) y (iii) discriminación (art. 323).
• La interferencia telefónica sancionaba a quien, indebidamente, interfiere o escucha una conversación telefónica similar y le imponía una pena de hasta 3 años de cárcel. Como agravante se sancionaba al funcionario público con una pena de hasta 5 años de cárcel más la respectiva inhabilitación.
• La pornografía infantil era sancionada con rigor desde el 2001 imponiendo penas de hasta 12 años de cárcel.
• La discriminación también era sancionada desde el 2000 con hasta 3 años de cárcel.
• Tercera conclusión: No estamos frente a nuevos tipos penales. Desde el año 2000 la interferencia telefónica, la pornografía infantil y la discriminación han sido sancionadas drásticamente por nuestro Código Penal. 

4. Lo nuevo no informático

• Con la LDI, se incrementa la pena de la interferencia telefónica a un máximo de 8 años cuando se trata de información clasificada como “secreta, reservada y confidencial, de acuerdo a las normas de la materia”. Entendemos que se hace referencia a la Ley de Transparencia y Acceso a la Información Pública y su Reglamento que claramente delimitan dichas categorías.  Por otro lado, se incrementa la pena a 10 años cuando el delito comprometa la defensa, seguridad o soberanía nacional.
• Como indica el penalista Alcocer, esto último ya está contemplado en el artículo 331 del actual Código Penal, incluso con una pena mayor. Asimismo, añade algo muy importante: “el hecho que no se haya indicado expresamente como eximente de responsabilidad la obtención de información (por ejemplo, clasificada como secreta o reservada) basado en el ´interés público´, no resulta, desde mi punto vista, una evidente limitación a la libertad de información. En primer lugar, porque no se prohíbe expresamente su difusión y, en segundo lugar, porque el ejercicio legítimo de un derecho (art. 20 inc. 8 CP) justifica la conducta de todo ciudadano, siendo irrelevante –para declarar su inocencia- que en cada tipo penal se indique expresamente que el agente debe actuar ´justificadamente´ o en ´interés público´.“
• Para la pornografía infantil se aumenta la pena y se establece una agravante para que incurra en ella utilizando tecnologías de la información. Lo mismo ocurre en el caso del delito de discriminación. En este último caso podrían existir potenciales afectaciones a la libertad de expresión al incluir la discriminación por opinión pero debemos reiterar que este delito ya se encontraba regulado en esencia en el Código Penal al igual que la pornografía infantil.
• Cuarta conclusión: Se incrementan las penas para la interceptación telefónica, la discriminación y la pornografía infantil reguladas en el Perú desde el año 2000. No habría mayor afectación a la libertad de información en el delito de interferencia telefónica pues no se sanciona la difusión de lo interceptado. Se mantendría la potencial afectación a la libertad de expresión en el caso del delito de discriminación vigente, aunque sería interesante saber cuántos casos desde el 2000 han aplicado éste artículo. Tanto en el caso del delito de discriminación como el de pornografía infantil se establecen agravantes por el sólo uso de la tecnología cuando debería sancionarse únicamente la conducta. 

5. Comentarios finales

• La LDI es necesaria en tanto propone un nuevo catálogo de delitos cuya inclusión en el sistema jurídico peruano es saludable a fin de desalentar conductas como el «phishing» o la suplantación de identidad en Internet que son nocivas para el ecosistema digital.
• No obstante ello resulta necesario afinar la redacción de algunos artículos según lo expuesto en el punto 2 a fin de brindar seguridad jurídica. El objetivo sería lograr que la ley sea efectiva, respete el principio de legalidad y criterios de proporcionalidad evitando los tipos penales de peligro abstracto así como dualidades donde se establezcan agravantes por el sólo uso de la tecnología lo cual puede terminar desincentivando su uso y minando un importante espacio de innovación como es el entorno digital.
• Es importante ratificar la Convención de Budapest ya que constituye un estándar internacional al que nuestra legislación se ha aproximado en buena medida (ver matriz ^[4]) y consolida la experiencia de 40 países así como ofrece un marco de colaboración entre ellos. Dicha ratificación podría generar el espacio de mejora de los artículos que así lo requieren.
• Respecto de las posibles afectaciones a derechos fundamentales como la libertad de información y de expresión considero que no se genera la primera en el caso del delito de interceptación telefónica sin embargo se mantiene la segunda en el delito de discriminación.
• Dada la importancia de los temas regulados, es importante promover una mayor difusión y discusión de estos tipos penales para que la población y el sector privado conozca los alcances de lo que está prohibido y permitido en esta materia. Más aún será importante que los operadores jurídicos (Poder Judicial) logren comprender con profundidad los alcances de lo regulado a fin de ser aplicarlos de manera adecuada y razonable.