La ley de delitos informáticos en cuatro conclusiones

El 22 de octubre de 2013 se publicó en el diario oficial El Peruano la Ley N° 30096, Ley de delitos informáticos (LDI). La LDI tiene por objeto prevenir y sancionar las conductas ilícitas mediante la utilización de tecnologías de la información o de la comunicación y de esta manera luchar contra la ciberdelincuencia.

A continuación presentamos un análisis detallado de la norma.

Continue reading

Nuevo Congreso, nuevos proyectos de ley

El nuevo Congreso de la República para el Periodo 2011 – 2016 se ha instalado hace un par de semanas y ya tenemos algunos proyectos para empezar a comentar. En  particular, llaman mi atención dos proyectos de ley presentados por la bancada de Alianza por el Gran Cambio.

El primer Proyecto de Ley (.pdf), presentado por Ricardo Bedoya el 11 de agosto de 2011, es un viejo conocido. Se trata de un nuevo intento por cambiar el Código Penal para tipificar como un delito la difusión de conversaciones privadas a través de medios de comunicación. Durante la legislatura anterior, hubo dos proyectos, incluyendo uno del propio Bedoya, que pretendían lo mismo y que consideré poco  acertados. Este nuevo intento parece haber refinado la técnica y se incluye expresamente que no habrá delito cuando el contenido de la comunicación difundida tiene un contenido delictivo. De aprobarse, el artículo 162 del Código Penal quedaría como sigue.

Artículo 162.— lnterferencia y difusión de comunicaciones privadas
El que, indebidamente, interfiere, escucha o difunde una comunicación privada, independientemente del medio a través cual haya tenido lugar, será reprimido con pena privativa de libertad no menor de dos ni mayor de cuatro años.
Si el agente es funcionario público, la pena privativa de libertad será no menor de tres ni mayor de cinco años e inhabilitación conforme al artículo 36, incisos 1, 2 y 4.
Está exenta de responsabilidad la difusión de comunicaciones que tenga un contenido delictivo persegulble por acción penal pública.

El segundo, presentado por Juan Carlos Eguren el 11 de agosto de 2011, propone una Ley de Delitos Informáticos (.pdf) como una ley penal especial. El Proyecto de Ley recoge los delitos ya presentes en el Código Penal (ampliando sus penas) e incorpora nuevos relacionados con la violación de datos personales, sistemas informáticos, pornografía infantil, entre otros. Sin duda, se trata de una norma ambiciosa y que —espero— traiga mucho debate. Veo cosas positivas como la tipificación del manejo fraudulento de medios electrónicos de pago (como duplicar la página de un Banco para capturar contraseñas) y cosas que hay que leer con cuidado, como las penas para la reproducción con fines de lucro de obras protegidas por derechos de autor.

El registro obligatorio de usuarios de cabinas de Internet


El mes pasado, el Tribunal Constitucional Chileno declaró inconstitucional una norma de la ley contra el abuso infantil que ordenaba la creación de un registro de usuarios de cabinas de Internet. La disposición, aprobada dentro de la ley que sanciona el acoso sexual de menores y pornografía infantil, obligaba a todo establecimiento cuyo negocio principal sea ofrecer Internet a llevar un registro pormenorizado de cada usuario de cada computadora y a condicionar la prestación del servicio a la entrega de los datos personales. Este registro sería de carácter reservado y solo podría ser puesto a disposición del Ministerio Público bajo orden judicial.

En su Sentencia, el Tribunal determinó que la medida afectaba el derecho a la vida privada de las personas, tal como había señalado la ONG Derechos Digitales, al obligarlos a ser parte de una base de datos de posibles infractores por el solo hecho de acceder a Internet. Al mismo tiempo, el Tribunal señaló que no resultaba válido imponer esta obligación a las cabinas de Internet y no a otros espacios como universidades, hoteles o restaurantes que también ofrecían ese servicio.

En Perú debemos de leer esta noticia con cuidado. Nuestra Ley 28119 (.pdf), que prohíbe el acceso a de menores de edad a páginas pornográficas a través de cabinas de Internet, contiene desde el año 2007 una norma similar. Al igual que en el caso chileno, ordena a las cabinas a llevar un registro detallado de todos sus usuarios:

Artículo 5.— Registro de usuarios
Los administradores de cabinas públicas de internet llevan un registro escrito de los usuarios mayores de edad, que incluye el número del Documento Nacional de Identidad – DNI o el documento que, por disposición legal, esté destinado a la identificación personal, número de cabina y hora de ingreso y salida, por un período no inferior a los seis (6) meses.

En el Reglamento de la Ley (.pdf), aprobado en diciembre de 2010, se amplía el registro para incluir también a los acompañantes de los usuarios de las cabinas. Sobre su régimen de publicidad, al Reglamento le basta con indicar que deberá de ser exhibido “cuando así sea requerido por una autoridad competente”. Las sanciones por el incumplimiento de la norma, administradas por una Comisión Multisectorial bajo el ámbito de los gobiernos locales, van desde el cierre por cinco días hasta la clausura definitiva del local.

Siguiendo la línea de lo sostenido por el Tribunal chileno, creo que nuestra norma plantea serios cuestionamientos constitucionales. Entiendo que, en atención al interés superior del menor, pueden plantearse límites a los derechos fundamentales. Sin embargo, creo que en este caso la obligación de entregar los datos personales a los administradores de cabinas, sin las garantías ni las responsabilidades del caso, es colocar en estado de indefensión al ciudadano. Esta obligación, además, pasa por alto el derecho a acceder en forma anónima a la red como parte del derecho a la libertad de expresión. Más aún, exigir este registro podría traer dos consecuencias alternativas: (1) que ninguna cabina lo lleve, por engorroso, como sucede actualmente; o, (2) que, para salvaguardar su privacidad, los usuarios empiecen a preferir otros establecimientos como restaurantes o establecimientos con wifi gratuito lo que afectaría el negocio de las cabinas de Internet.

Por último, en Chile, el propósito de la norma era lograr identificar a los usuarios que no pueden ser identificados porque se conectan desde cabinas de Internet. Aquí, la norma es sobre el acceso de menores a cabinas de Internet y el potencial riesgo que ello entraña. Entonces, ¿por qué resulta necesario un registro? Lo cierto es que el contenido de la Ley y su Reglamento ha sido desarrollado en varias ordenanzas municipales, pero no he encontrado ninguna que recoja la obligación del registro.  ¿A qué se debe esta ausencia? ¿Será que las municipalidades no han querido hacerse cargo de esta obligación desproporcionada?

Foto: Bill Herndon (CC BY-ND)

La ley peruana de protección de datos personales (reloaded)

Fuente: JOURNALMEX Periodistas de México

Anteriormente escribimos un artículo sobre el tema en Enfoque Derecho (publicación de  THEMIS-Revista de Derecho). También tocamos el tema en esta tribuna. En dicho artículo de agosto del 2008 reportábamos, a propósito de una de las reuniones preparatorias de APEC en Lima, lo siguiente:

el anuncio mas importante fue el que hiciera la Ministra de Justicia, Rosario Fernandez, en el discurso de apertura de la charla, donde indicó que el Proyecto de Ley de Protección de Datos Personales, que dormía el sueño de los justos hace aproximadamente cuatro años y que incluso se encuentra en un link roto en la web del Ministerio aquí,  pronto verá la luz ya que  actualmente se encuentra en el despacho del Consejo de Ministros“.

También advertimos lo siguiente:

“Probablemente el lector se esté preguntando ¿no existe acaso una norma que regule el tema en el Perú? En el Perú existen normas sectoriales que regulan, por ejemplo, el secreto bancario o el secreto de las telecomunicaciones. Sin embargo, no existe una ley general que otorge una protección integral a los datos personales en línea con la tendencia internacional.

Entonces ¿cómo nos sirve una ley general de protección de datos personales? No es novedad decir que en el Perú se trafican datos personales a diestra y siniestra. Una breve caminata por el Jr. Wilson y una búsqueda en Google con los términos ”datos personales” y “jr. wilson” confirman nuestra afirmación

[...]

Tal como se encuentra planteado, el Proyecto de Ley peruano establece en buena cuenta que nadie puede utilizar ni explotar ningún dato personal sin el consentimiento previo y expreso de su titular. Asimismo la norma crea un registro de bases de datos y regula determinadas condiciones en que se debe lleve a cabo el tratamiento de datos personales. Si la ley entrara en vigencia, cada vez que suscribamos un contrato con una empresa de telecomunicaciones o un banco,  dichas entidades deberán informarnos expresamenet cual será la utilización que darán a nuestros datos personales. Si mas adelante queremos acceder a ellos (derecho de acceso), la empresa se encontrará obligada a facilitarnos dicha información. Asimismo si los datos reportan algún error, la empresa se encuentra obligada a rectificarlo (derecho de rectificación)”.

En nuestra opinión, las conclusiones hasta este punto eran dos:

  1. Había un proyecto de ley de protección de datos personales promovido por el Ministerio de Justicia dando vueltas desde el año 2004 por diversas entidades públicas y como papel llevado por el viento habría aterrizado en el escritorio de la PCM en el 2008.
  2. Teniendo un marco normativo antispam y de regulación del telemarketing no contabamos con una norma general de protección de datos personales, más allá de su protección a nivel sectorial.

La actualización a todo lo antes expuesto la recibimos hoy y es que luego de casi dos años de la nota publicada tenemos noticias certeras del citado proyecto de ley. En efecto, el proyecto de ley del Ministerio de Justicia habría sido el punto de partida para el nuevo (y repotenciado por una comitiva multisectorial) proyecto de ley aprobado en sesión de hoy por la Presidencia del Consejo de Ministros. El siguiente paso sería el debate en el Congreso de la República donde todos estamos llamados a participar con aportes que incluso lo perfeccionen.

Acá viene el segundo tema: ¿es necesaria una ley de protección de datos personales?¿es más necesaria aún en la Sociedad de la Información?

  1. Sobre la primera pregunta creemos que si. Una ley de protección de datos personales  no sólo puede ser útil para combatir a los “ladrones” de datos personales sino además como complemento para el desarrollo del comercio y otras iniciativas interesantes como la notificación electrónica y los expedientes digitales  (ver acá y acá artículos interesantes planteando la necesidad de una regulación sobre el tema y los beneficios que de ella pueden obtenerse). Es necesario que nuestro país cuente con un marco normativo integral (y no sólo sectorial) que otorgue protección a sus ciudadanos sobre su información personal y nos alínee con la tendencia internacional sobre la materia (Sin ir muy lejos México aprobó recientemente su norma de protección de datos personales).
  2. Sobre la segunda interrogante, no queda duda que la era informática permite con mayor facilidad el acopio, gestión y explotación de los datos personales. Para no aburrirlos con el ejemplo de Wilson y las bases de datos, pongamos uno más reciente: Facebook. Hemos oido hasta el cansancio sobre todos los problemas de privacidad generados por Facebook y sus cambiantes políticas internas (ver esta, esta y esta nota de ElComercio y este interesante análisis de Nestor Gallo sobre la privacidad en tiempos de Facebook). El ejemplo parece hablar por si sólo.

En el contexto planteado, dos preguntas que me atrevo a formular son: ¿cómo debe ser entonces nuestra ley de protección de datos personales? Como hemos señalado anteriormente existen dos modelos que han intentado otorgar protección a los datos personales a nivel mundial: el estadounidense y el europeo. El primero se apoya en mecanismos de autorregulación a través del sector privado, es decir, se confía en el buen criterio adoptado por las empresas para el tratamiento de datos personales. El segundo, de corte más proteccionista, postula la necesidad de desarrollar un cuerpo normativo y establecer la creación de una autoridad que persiga y sancione a los infracciones que establece la norma en relación con el tratamiento de datos personales, considerado un derecho fundamental. No conocemos el nuevo proyecto de ley pero el propuesto inicialmente por el Ministerio de Justicia se adhería al modelo europeo.

Intentando responder a la pregunta planteada consideramos que la ley propuesta debería ser una de mínimos. Una regulación excesivamente proteccionista puede terminar limitando el flujo de información en nuestra sociedad y las opciones que tenemos los consumidores en el mercado para adquirir bienes y servicios. En contraposición la inexistencia de regulación o la existencia de una demasiado flexible puede no generar el efecto de tutela deseado. En ese sentido consideramos que es muy importante lograr un equilibrio. Para ello es necesario que en la discusión del proyecto de ley actual se recojan las impresiones de los agentes a los que se les aplicará así como los titulares de datos personales. Finalmente es muy importante que el análisis costo-beneficio del proyecto de ley se encuentre debidamente sustentado a efectos que sea una norma que se pueda cumplir y sobre todo fiscalizar. Estaremos a la espera de la revisión del nuevo proyecto de ley para dar mayores comentarios al respecto. Por ahora, que empiece el debate.

Fuente de la imágen:  JOURNALMEX Periodistas de México

Facebook y los observadores

La semana pasada abrí mi cuenta de Facebook y encontré algo que llamó mucho mi atención. Cual epidemia, muchos de mis contactos habían instalado una aplicación denominada “Mis Observadores”. Aparentemente la famosa aplicación permitía visualizar quienes de tus contactos habían visitado recientemente tu perfil (algo así como el popular programa que te permitía saber quien te había bloqueado en Hotmail MSN ). Claramente algo extraño había en esta famosa aplicación ya que de pronto aparecía como “observador” de muchos perfiles de amigos que no había visitado en mucho tiempo. Todo ello me generó una reflexión mayor.

obs

No es novedad hablar de los enormes riesgos que en términos de privacidad genera Facebook e Internet en general. Sin embargo con el transcurso del tiempo la empresa (Facebook) ha ido brindado distintas opciones para que los propios usuarios bloqueen o restringan el acceso a su perfil y, por ende, resguarden su privacidad. Sin embargo una cosa es Facebook y otra las aplicaciones desarolladas para Facebook por terceros, sobre las que la Facebook no tiene ningún control.  Tal es el caso de conocidas aplicaciones como Crazy Combi, Farmville entre otras muy populares que fluyen a través de la referida red social.

Decidí investigar un poco más y me percaté de un detalle que probablemente, dada la ansiedad de los internautas en llenar su perfil de aplicaciones, puede pasar desapercibida y que me pareció pertinente compartir con ustedes.  Cuando uno decide utilizar una aplicación en Facebook visualiza una imagen muy parecida a esta:

app discl

Nótese claramente la advertencia “al continuar, estás permitiendo que Birthday Calendar obtenga acceso a tu información y estás aceptando las Condiciones de Uso de Facebook“.

Por su parte los términos y condiciones de uso de Facebook indican lo siguiente:

“When you add an application and use Platform, your content and information is shared with the application. We require applications to respect your privacy settings, but your agreement with that application will control how the application can use the content and information you share”.

Si bien luego, los términos y condiciones presentan una serie de obligaciones que deberán cumplir los desarrolladores de aplicaciones, lo cierto es que una vez que accedieron a información privada cualquier medida de control es bastante limitada. Lo que en buena cuenta estamos haciendo cuando aceptamos e instalamos una aplicación en nuestro perfil es dando acceso y autorizando a ese tercero extraño a nuestra información personal.

Al parecer “Mis observadores” resultó siendo un bluff que lo único que buscaba era lograr acceso a  información personal probablemente con la finalidad de comercializar luego esta información y armar bases de datos para el envío de publicidad. Quizás podría ser parte de una red de secuestradores que estaban interesados en los datos personales de algunas personas en especial para perpetrar un delito. El abanico de posibilidades es enorme y por ahora nos movemos en el terreno de la especulación. No obstante ello, es importante advertir sobre el valor de nuestros datos personales en la sociedad de la información y la facilidad con la que,  sin reparar en ello, la entregamos a terceros de manera irrestricta para su posterior tratamiento y explotación.

En otros países el tema genera mucha preocupación (ver aquí y aquí). Sin embargo en nuestro país estos temas vinculados al Internet y la privacidad parecen no ser de mucho interés salvo contada excepciones.  Por ejemplo, en Europa hace varios años se viene hablando del derecho a la protección de los datos personales como un nuevo derecho fundamental que regula la recogida y tratamiento de los datos personales sin consentimiento de sus titulares. Es más existe amplia regulación y jurisprudencia al respecto.

Tal como señalamos en una entrega anterior, en nuestro país el proyecto de ley de protección de datos personales que promocionó allá por el año 2004 el Ministerio de Justicia nunca vio la luz. Más aún, en todo el debate sobre el Código de Consumo, tampoco aparece ninguna mención a la protección de los datos personales, aspecto que sí se encuentra recogido en la legislación comparada. Lo paradójico es que contamos con una prometedora iniciativa denominada Registro “Gracias No Insista” y con una innovadora  legislación antispam que claramente pretenden atacar la publicidad comercial invasiva y no solicitada, sin embargo nos hemos olvidado de los insumos que sirven para que dicha publicidad se consume, es decir, de nuestros queridos datos personales.

Por el momento los dejamos con estas reflexiones y con algunas sugerencias del  jefe de la División de Investigación de Delitos de Alta Tecnología, Óscar Gonzáles, quien, entre otras cosas, aporta una valiosa recomendación con la que coincidimos: hay que “tener más cuidado con la información personal que se proporciona a través de las redes como Facebook, Twiter y Hi5″.

Cholotube y la policía militar

Ya que somos lo que somos y si no lo quieres ver. ¡Eres tonto!  (El Canto del Loco)

La historia que abordaremos en este post ha sido desarrollada por nuestro amigo Miguel (La responsabilidad de Cholotube) con singular certeza, esperamos y merecemos leerlo por aquí más seguido. Pero el problema generado por el vídeo colgado en Cholotube de cuatro suboficiales femeninas del escuadrón Fénix de la Policía Nacional no se agota en la responsabilidad de los Proveedores de Servicios en Internet (ISPs por sus siglas en inglés), tiene también otra arista, de cómo cuatro mujeres agraviadas en su intimidad -un Derecho Fundamental- terminan convirtiéndose en agresoras de un código militar inexistente y por lo mismo condenadas al escarnio público con la complicidad de las autoridades competentes.

Listaré sólo algunas partes de esta novela. Cuatro chicas juguetean en su cuadra. Una de ellas armada de un teléfono móvil, se encarga de tomar imágenes de sus compañeras desnudas y en ropa interior. Nada de extraordinario, lo hacen millones de jóvenes hoy en día y nadie debe escandalizarse por eso. Seguro que después del relajo natural, alguna de las suboficiales filmadas vídeo recordó a la camarógrafa aficionada que borrara las imágenes. Pero ésta no tuvo la prudencia de hacerlo.

Qué pasó después. No está muy claro. Parece evidente que la propietaria del equipo celular no fue quien colgó las imágenes en Hard Sex Tube. Supongamos que la propietaria del celular  enrumbó rutinariamente a casa en su combi después del trabajo, y es en ese tránsito donde le fue robado el equipo. Siguiendo el derrotero acostumbrado por estos equipos robados, el aparato de marras va a parar al campo ferial Las Malvinas, donde se vende a otro usuario al que le han robado también su equipo. ¿Y el contenido? Los propios reducidores se encargan de colgarlo.

El vídeo con las imágenes en calzones de las cuatro suboficiales estuvo durante meses embebida en la página de Hard Sex Tube, hasta que para mala suerte de estas chicas algún aficionado criollo a imágenes pornográficas caseras lo vio y lo enlazó en Cholotube. El escándalo se convirtió en tal cuando las imágenes fueron reproducidas en el programa “Enemigos íntimos” de Frecuencia Latina.

La reacción. Desproporcionada, equivocada e ilegal. La flamante Ministra del Interior, Mercedes Cabanillas, ordenó la suspensión sin goce de haber de las cuatro policías. Algunas de las declaraciones de la Ministra no tienen desperdicio: “Eso no se puede permitir en una institución como la Policía Nacional y menos dentro del centro del trabajo; (…), estamos relajando la disciplina que tenemos que recuperar”, la ministra subrayó “(…) se va a ser drástico en las sanciones; con este hecho, el régimen lo vamos a cambiar, va ser mas drástico; el reglamento de la policía va variar, es muy blandengue”.

Nos encontramos ante varias conductas antijurídicas. La primera de ellas, la vulneración al derecho a la intimidad personal, Derecho Fundamental cuya vulneración esta castigada por el Código Penal peruano. Por otro lado la intención declarada por la Ministra Cabanillas de sancionar a las cuatro policías sin que las normas internas de la institución lo permitan.

Con relación a la vulneración al derecho a la intimidad, reconocida en el numeral 2 del artículo 7 de la Constitución peruana, el Código Penal tipifica en su artículo 154° el delito contra la intimidad personal. Tal como ha señalado nuestro Tribunal Constitucional (Exp. N° 6712-2005-HC/TC, Magaly Medina Medina Vela y Ney Guerrero Orellana), el delito no sólo se restringe a la responsabilidad por captar imágenes, sino que avanza hasta la difusión de las mismas. Por lo tanto, bien harían nuestras autoridades en identificar, y de ser el caso sancionar, a los responsables de vulnerar la intimidad de las cuatro policías. Es en este extremo, donde la posible responsabilidad de Cholotube adquiere relevancia. ¿Se asimila el caso Cholotube con el de las Prostivedettes?

Pero como hemos visto, este caso tiene tintes kafkianos desde que la Ministra en lugar de hacer cuerpo con las agraviadas, las sanciona, sin contar para ello con el amparo de norma legal alguna base fundamental del derecho sancionador. Y es tanto que no existe ningún dispositivo que habilite a la Ministra que ésta reconoce la necesidad de reformar el reglamento de la policía por blandengue, seguro con la idea de militarizar aún más a la Policía Nacional.

Bonito caso, si acaso fuera visto por nuestro Tribunal Constitucional que gusta tanto de dar la razón a obreros borrachines y empleados felones.