¿Qué fue de la Ley de Delitos Informáticos?

No me he olvidado de la Ley de Delitos Informáticos. Ninguno de nosotros debería de olvidarlo. Sobre su estado actual, sobre los cinco proyectos de ley que quieren cambiarla y sobre el Dictamen que la Comisión de Justicia del Congreso presentó antes de Navidad pueden leer más en la columna que publiqué en el blog de Hiperderecho:

Algo positivo es el esfuerzo que se ha hecho por reducir el ámbito de aplicación de la ley. Ello se refleja en la inclusión del requisito de actuar de manera “deliberada e ilegítima” para la mayoría de tipos penales introducidos por la Ley. El mismo propósito persigue el propuesto artículo 12, que busca funcionar como una excepción general aplicable a todos los artículos anteriores y que deja claro que no se podrá cometer un delito cuando se llevan a cabo pruebas autorizadas o procedimientos destinados a proteger sistemas informáticos.

Otro aspecto a destacar es el rechazo que varios proyectos de ley han mostrado al nefasto artículo de comercialización de datos personales actualmente vigente. Se trata de un artículo con una redacción amplísima que potencialmente dejaba en la ilegalidad a actividades enteras como el márketing y que no tenía ninguna relación con el estándar de protección de datos personales vigente en nuestro país. Con buen criterio, la Comisión propone que se derogue ese artículo y se agregue uno distinto al Código Penal con la intención de penalizar el tráfico de datos personales cuando hay una transacción de por medio y se tratan de datos no públicos obtenidos ilícitamente (entiendo: en contra de lo dispuesto por la Ley de Protección de Datos Personales).

El artículo completo aquí: ¿En qué quedó la Ley de Delitos Informáticos?

Hackeo al Ministerio del Interior y Delitos Informáticos

En estos días se supo que LulzSecPeru accedió y publicó un grupo de archivos y correos electrónicos pertenecientes a distintas cuentas del Ministerio del Interior. El contenido de las filtraciones parece tener varias consecuencias para el gobierno y demuestra la despreocupación con la que se comparte información tan sensible como informes de inteligencia o la lista de ascensos. Sin embargo, ¿cómo leer estos hechos frente la nueva ley de Delitos Informáticos? ¿No se supone que se que esto iba a terminarse?

Sigue leyendo →

Cazando a un pedófilo en Perú

Esta semana apareció en varios medios la noticia de la captura de un cuidadano peruano acusado de pedofilia, en un operativo de la Policía de España con ayuda de su par local. Obviamente, la Policía peruana ha aprovechado para ganarse unos puntos y, en palabras del jefe de la Dirincri, anunciar que se trata del “mayor depravado de habla hispana”. ((Aparentemente, la frase “captura del siglo” ya ha sido utilizada demasiadas veces en lo poco que llevamos de este siglo.)) Resulta interesante analizar esta noticia de cara a la reciente Ley de Delitos Informáticos. La primera reacción de muchos ha sido pensar que es gracias a esta Ley que se ha logrado esta captura y ahora el Estado está mejor “armado” para combatir estos delitos. Bueno, creo que eso no es cierto.

Algo que omiten muchas notas de prensa es la forma en la que han dado con esta persona. La nota del Prensa del Ministerio del Interior de España aporta más detalles. Al parecer, la policía española había identificado varios videos conteniendo pornografía infantil, grabados por los propios menores y que eran compartidos por un mismo usuario en distintos foros. Analizando estos videos, lograron identificar a una de las víctimas gracias al escudo que estaba sobre un uniforme que aparecía al fondo. Con esa pista, pudieron contactar a la menor e identificar la cuenta de la persona que le había pedido que grabe el video. Entonces se pusieron en contacto en la empresa que proveía el servicio de correo electrónico (no se menciona cuál), la que facilitó más información sobre el titular de la cuenta.

Sigue leyendo →

La ley de delitos informáticos en cuatro conclusiones

El 22 de octubre de 2013 se publicó en el diario oficial El Peruano la Ley N° 30096, Ley de delitos informáticos (LDI). La LDI tiene por objeto prevenir y sancionar las conductas ilícitas mediante la utilización de tecnologías de la información o de la comunicación y de esta manera luchar contra la ciberdelincuencia.

A continuación presentamos un análisis detallado de la norma.

Sigue leyendo →

Cómo me convertí en el primero que violó la nueva Ley de Delitos Informáticos

Contra viento y marea, Ollanta Humala decidió promulgar la Ley de Delitos Informáticos. Hoy apareció publicada en el diario oficial El Peruano la Ley No. 30096 — Ley de Delitos Informáticos. Durante las últimas semanas, se ha dicho casi todo lo que se podía decir sobre los múltiples problemas de esta ley. Pueden ver la nota de presa oficial en el blog de Hiperderecho. Sin embargo, hoy quiero compartirles una historia personal. Confieso que he cometido un delito. Confieso que me he convertido en el primer delicuente informático del Perú, en los términos de la nueva ley.

Sigue leyendo →

La campaña para aprobar como sea la Ley de Delitos Informáticos

Ollanta Humala tiene hasta este martes 22 de octubre para firmar o rechazar el Proyecto de Ley de Delitos Informáticos. Como recordarán, se trata de un proyecto de ley elaborado y aprobado en cuatro horas por el Congreso y, en las propias palabras de un funcionario del Ministerio de Justicia, “totalmente distinto” de lo que la Comisión de Justicia aprobó el año pasado.

En los últimos días, el Ministerio de Justicia se ha dedicado a “defender” el Proyecto de Ley en distintos medios de comunicación. Es una tarea difícil, teniendo en cuenta que el Proyecto que hoy tiene el Presidente representa solo una parte de lo propuesto por el Ministerio de Justicia en julio. Parte de la campaña ha consistido en enviar notas de prensa explicando los beneficios del Proyecto y alertando a la población de los peligros que representaría no aprobarlo.

Lo primero que dicen es que el proyecto solo se limita a seguir la Convención de Budapest sobre el Ciberdelito. Eso es inexacto porque en ninguna parte de la convención de Budapest se habla de grooming, discriminación o agravantes para la interceptación de información pública. Incluso en los casos en los que simplemente se traduce la Convención, se elige pasar por alto algunos detalles. Por ejemplo, la Convención de Budapest permite a los Estados solo criminalizar la alteración de un dato informático cuando se provoque un daño grave (artículo 5). En nuestro caso, el artículo 3 del Proyecto ha elegido no hacer esa precisión. Lo que significa que cualquiera que borre o altere un archivo ajeno puede ir preso.

Sigue leyendo →

¿Qué pasó con la Ley de Delitos Informáticos?

En junio pasado, el Congreso peruano propuso una ley que penalizaba al usuario promedio de Internet por razones ajenas a su propia conducta. El proyecto de Ley de Delitos Informáticos pretendía limitar nuestro derecho constitucional al secreto de comunicaciones y otorgarle a la policía acceso fácil a nuestros datos personales.

Junto a Access Now, ejercimos presión por una nueva ley que proteja los derechos a la privacidad y la libertad de expresión de los usuarios de Internet. Esa lucha no ha terminado: el Proyecto de Ley de Delitos Informáticos aún está latente. Sin embargo, hasta que la sociedad civil no asuma un rol más fuerte en materia de políticas públicas sobre Internet, y los políticos peruanos no nos reconozcan como actores significativos, seguiremos viendo estos mismos problemas en nuevas leyes.

Al igual que muchos países en América Latina y otras regiones, Perú es un estado cuyos representantes políticos no están familiarizados con Internet y tecnologías en general. Nuestras políticas nacionales al respecto siguen siendo directrices genéricas que no sirven de guía para soluciones innovadoras y leyes inteligentes. A diferencia de otros asuntos de interés público, como la violencia política o la discriminación, existen pocas voces que contribuyen al debate público sobre política de Internet en el Perú desde la perspectiva de la sociedad civil. Como resultado de este vacío, los intereses de los usuarios no se ven representados en el Congreso cuando se proponen proyectos de ley que afectan a nuestros derechos.

Esta situación genera un desequilibrio en el resultado del proceso legislativo. A menudo, los únicos puntos de vista externos que se ponen sobre la mesa son los de empresas y inversionistas que pueden contratar abogados para que representen sus intereses. Muchas opiniones y puntos de vista valiosos desde la sociedad civil se pierden en los medios de comunicación y no llegan a transformarse en propuestas reales. A la vez, este desequilibrio también genera una opinión pública parcialmente informada, que solo llega a conocer un lado de la controversia.

Cualquier campaña de la sociedad civil sobre una política pública en Internet en Perú se enfrenta a un doble reto: facilitar la comprensión pública de las cuestiones en debate, por un lado, y equilibrar el debate desde la perspectiva de los derechos de los usuarios y de las libertades, por el otra. De lo contrario, tendremos más leyes como la Ley de Delito Informáticos, con una redacción vaga y errores de técnica legislativa que pueden terminar afectando derechos individuales.

Gracias al interés de muchas instituciones de la sociedad civil, nacionales e internacionales, los miembros del Congreso recibieron cartas con comentarios sobre los aspectos más críticos del proyecto. Recientemente, parece que el Congreso ya no está promoviendo activamente el Proyecto de Ley de Delitos Informáticos y, a cambio, se está trabajando en la adopción de la Convención de Budapest sobre la Ciberdelincuencia (el texto de la Convención puede leerse aquí). Sin embargo, dado no se ha hecho ningún anuncio oficial al respecto, esta batalla aún no ha terminado. De hecho, el pasado 18 de septiembre, el congresista Eguren instó al Congreso de la República a incluir el Proyecto de Ley de Delitos Informáticos en la agenda de debate del Pleno.

En este contexto, es necesario contar con una comunidad bien informada y voces fuertes de la sociedad civil. Por eso, un conjunto de jóvenes profesionales hemos decidido unir sus fuerzas para crear Hiperderecho, un grupo dedicado a estudiar y facilitar la comprensión pública de las políticas públicas en el Internet en el Perú. Como primer proyecto, Hiperderecho ha creado una plataforma educativa y positiva llamada «Una Mejor Ley de Delitos Informáticos». La plataforma tiene la intención de explicar el proyecto, recogiendo toda la información disponible en línea. Además, también propone cinco cambios específicos que ayudarían a lograr un mejor equilibrio de los intereses en el texto del proyecto de ley. El texto completo de la propuesta se puede leer en la página web de Hiperderecho. Por supuesto, se trata de una plataforma social abierta a la retroalimentación y mejora continua. Esperamos contar con su presencia en línea. Además de expresar su opinión, también se puede leer el Proyecto de Ley y el espectro completo de los comentarios realizados a la misma, y tomar acción escribiendo al Congreso o a los congresistas particulares.

La versión original de este post se publicó en inglés en el blog de Access Now.

Foto: Asleeponasunbeam (CC BY-NC-ND)

Una Mejor Ley de Delitos Informáticos

Comparto el texto de esta propuesta sobre el Proyecto de Ley de Delitos Informáticos en la que he participado. El texto completo puede leerse desde su página web.

Queremos leyes que nos protejan y nos permitan comunicarnos, hacer negocios y visitar nuestras webs favoritas en un entorno seguro y libre. Como usuarios de Internet, sabemos mejor que nadie lo importante que resulta para una sociedad moderna hacer de Internet un espacio abierto a la libre expresión, la experimentación y el intercambio comercial.

Agradecemos al Congreso por pensar en nosotros y trabajar en una Ley de Delitos Informáticos que le otorgue herramientas a jueces y fiscales para reprimir las conductas criminales llevadas a cabo usando medios informáticos. Por eso, proponemos estos cinco puntos que ayudarán a tener una Ley de Delitos Informáticos que nos otorgue seguridad sin quitarnos libertades fundamentales.

Creemos importante que el Ministerio Público tenga a mano las mejores herramientas para investigar los delitos informáticos

Sin embargo, la información sobre la identidad de los titulares de telefonía móvil, tráfico de llamadas y números IP debe de ser solicitada ante el juez competente, como corresponde siempre que se afectan derechos constitucionales en el marco de la investigación de un delito. Comprendemos que resulta de vital importancia para la investigación que esta información sea proporcionada en forma oportuna por las empresas operadoras, por lo que proponemos mantener el plazo de cuarenta y ocho (48) horas.

También proponemos que las empresas operadoras capaciten a los miembros de la Policía Nacional y el Ministerio Público para comprender las particularidades de esta información. Creemos que estos datos no deben utilizarse como única prueba para vincular al titular de una línea con la comisión de un hecho delictivo. En el caso de los números IP, esta incertidumbre se agrava porque en nuestro país la asignación de números IP es dinámica y puede ser compartida por más de un usuario o equipo, simultáneamente o en momentos distintos.

De lo contrario, por ejemplo, una persona cuya red de Internet inalámbrica esté sin clave podría ser involucrada como sospechosa de la comisión de un delito porque su vecino cometió un hecho delictivo a través de su red inalámbrica.

Creemos que debe de precisarse lo que el Proyecto entiende por “debida autorización” para el uso o manipulación de un sistema informático

Varios artículos del Proyecto señalan como delitos a ciertas conductas que se llevan a cabo sin “autorización” o de forma “indebida”. Sin embargo, no señalan quién debe de proporcionar dicha autorización o bajo qué condiciones debe otorgarse. Creemos que esta incertidumbre puede generar confusión entre los operadores jurídicos y eventualmente ser utilizada para inculpar a personas bajo criterios distintos de los que inspiran la norma, criminalizando conductas domésticas que no generan un daño a terceros.

Así, por ejemplo, el artículo 14 castiga al que “indebidamente” crea, modifica o elimina un documento o cualquiera de sus datos contenidos en un sistema informático o, de cualquier forma, incorpora en un sistema informático un documento ajeno a este. Bajo una lectura estricta de este artículo podría castigarse a cualquiera que traduce (modifica) un documento descargado de Internet o descarga un archivo de Internet desde la computadora de la oficina (incorpora en un sistema informático) por el delito de falsificación de documentos informáticos, ya que no queda claro qué conductas son las “debidas de realizar” en cada caso.

De la misma manera, el artículo 15 condena al que “sin autorización” captura, graba, copia o duplica cualquier dato informático contenido en un medio de almacenamiento de datos informáticos. Bajo esta redacción, conductas como la descarga temporal de archivos de Internet (cache) necesaria para el funcionamiento diario de todas las páginas web sería considerada un delito dado que para mostrar una página web todas nuestras computadores graban o duplican en su disco duro una serie de textos e imágenes sin autorización.

Proponemos que se determine por ley, en cada caso, cuándo se entenderá que existe una autorización para el uso o aprovechamiento debido de un sistema informático así como la manera en la que ésta será probada o se entenderá por otorgada.

Creemos que debe de quedar claro en el texto del Proyecto que solo resultarán penadas aquellas conductas realizadas con la intención de provocar daños u obtener beneficios ilícitos

El artículo 12 de nuestro Código Penal señala que las penas establecidas por ley solo se aplican si el agente actuó con dolo o intención de cometer el delito. Por ende, solo se puede condenar a alguien por un hecho cometido accidentalmente (culposamente) si es que la ley lo señala en forma expresa. Esto significa que, salvo que la ley misma diga lo contrario, es un elemento importante para determinar la comisión de un delito que el agente haya tenido la intención de hacerlo y estado consciente de sus consecuencias.

Sin embargo, es un error común de técnica legislativa incluir el requisito de la “intención de generar un daño” para determinar la comisión de un delito. De la misma manera, algunos artículos del Proyecto hablan explícitamente de la intención de generar un daño u obtener un provecho y otros artículos, como los de posesión de tecnologías, no lo hacen.

Creemos que esta situación puede generar confusión entre los operadores jurídicos. Por ende, sugerimos que se revise las referencias a los elementos subjetivos de la conducta con la finalidad de quede claro que no se está criminalizando conductas o comportamientos llevados a cabo en entornos digitales sin la intención de provocar un daño y que prime la regla vigente en nuestro Código Penal.

Creemos que pueden mejorarse las normas penales sobre infracciones a los derechos de autor

La aplicación de las normas sobre derechos de autor es un debate mundial que no pretendemos cerrar promulgando una norma. Sin embargo, sí creemos que es posible realizar modificaciones para mejorar las leyes que ya tenemos sin desconocer nuestros compromisos internacionales. Al respecto, hay dos acciones puntuales que podemos tomar.

En primer lugar, proponemos que se elimine el artículo 16 del Proyecto porque legisla un tema ya legislado y lo hace para reducir las penas. La redacción de este artículo no ha tomado en cuenta el actual artículo 218 del Código Penal, que ya señalaba una pena de cuatro a ocho años para la reproducción, distribución o comunicación pública de una obra (como puede ser un software) cuando se realiza con fines comerciales u otro tipo de ventaja económica sin la autorización previa y escrita del autor o titular de los derechos. La única diferencia es que el artículo propuesto por el Proyecto exige que la obra se haya obtenido mediante el acceso a cualquier sistema informático o medio de almacenamiento de datos informáticos. Sin embargo, incluso en estos casos puede aplicarse el artículo 218 que consigna un rango de pena mayor y no hace distinción sobre la forma en la que se obtuvo la obra.

Además, con el ánimo de mejorar nuestro marco legal al respecto, proponemos que se modifique el vigente artículo 217 del Código Penal para incorporar en su último párrafo que la interpretación respecto de cuándo se ha incurrido en el tipo penal se haga conforme al régimen de excepciones y usos permitidos del nuestra Ley sobre el Derecho de Autor, Decreto Legislativo 822. Este régimen señala una serie de conductas como la reproducción parcial para fines académicos o el préstamo en bibliotecas que son lícitas respecto de obras divulgadas.

Creemos que el Estado debe comprometerse a capacitar a jueces y fiscales para que puedan aplicar correctamente la Ley

En nuestro país, tenemos muchas leyes y muy poca capacidad institucional para aplicarlas. Creemos que la política de combate a la criminalidad informática debe ser integral y comprender la correcta transferencia de conocimientos y capacidades a jueces y fiscales que aplicarán esta norma. Son ellos quienes apreciarán la variedad de conductas y motivaciones existentes con la finalidad de aplicar la Ley a quien efectivamente merece ser sancionado.

De lo contrario, la Ley de Delitos Informáticos tendrá la misma escasa aplicación que han tenido los artículos correspondientes del Código Penal que están vigentes desde el año 2000. En nuestro sistema jurídico, la jurisprudencia también es una fuente de Derecho y sirve para interpretar mejor la casuística existente y contribuir a la seguridad jurídica. Sin operadores legales correctamente capacitados para entender las relaciones y complejidades de los entornos digitales, las conductas criminales no podrán ser efectivamente combatidas y podrían terminar afectando libertades.