Recientemente el Gobierno de Chile ha ingresado al Congreso Nacional un proyecto de ley (Boletín Nº 12.192-25) que sustituye la muy antigua e inútil Ley Nº 19.223 de 1993, que tipifica figuras penales relativas a la informática, y que en realidad, dada su mala vejez y el hecho de que corresponde a una legislación reactiva (fue dictada tras el escándalo que suscitó el robo de las bases de datos de clientes de Falabella), se ha tornado en un dolor de cabeza tanto para las víctimas de la criminalidad informática como para los querellantes y fiscales del Ministerio Público, que no tienen forma de hacer coincidir la realidad de los hechos con los tipos penales de sabotaje y espionaje, que son los únicos que de alambicada manera establece esa ley, que es de una era previa a Internet.
Pero no crea el lector que este proyecto viene a actualizar la legislación en la materia, sino que solo viene a ser un parche ante un problema que arrastramos desde 2017 cuando adherimos al Convenio sobre la Ciberdelincuencia (Budapest, 2001) sin que nuestra legislación estuviera adaptada a los requerimientos del citado Convenio que, dicho sea de paso, nos son internacionalmente exigibles desde el 1 de agosto del año pasado.
Entonces, este proyecto de ley viene en actualizar nuestra legislación… al año 2001. Todas las formas de criminalidad que se hayan inventado después, en teoría, lo solucionará el futuro y eventual nuevo Código Penal.
Tampoco el proyecto de ley se hace cargo de lo que ha sucedido desde la aparición del Convenio, como fue la aparición de un protocolo adicional, relativo a la penalización de actos de índole racista y xenófoba cometidos por medio de sistemas informáticos, ni tampoco de los avances y negociaciones sobre el futuro del mismo que se llevan a cabo en el Comité del Convenio del Cibercrimen del Consejo de Europa.
Como quien dice, es para aprobar con nota mínima, pero aprobar al fin y al cabo, con la ilusión de que lo reducido del objetivo se traduzca en una tramitación exprés en el Congreso Nacional.
Entonces, teniendo presente todas las limitaciones de esta iniciativa, voy a analizar el proyecto de ley, particularmente en lo que versa con las exigencias del Convenio de Budapest, y lo haré en el siguiente orden: primero señalaré el artículo a examinar (la NORMATÍVICA); luego, los problemas que presenta (LA PROBLEMÁTICA) y, al final, una propuesta de solución o corrección (LA SOLUCIONÁTICA), pues su camino legislativo recién está empezando. Y, por favor, no me escriban para decir que la “normatívica” y la “solucionática” no existen en el diccionario, que estoy muy viejo para esas decepciones.
I. SIENTO UNA PERTURBACIÓN EN LA FUERZA INFORMÁTICA.
A1. LA NORMATÍVICA.
Artículo 1°.- Perturbación informática. El que maliciosamente obstaculice o perturbe el funcionamiento de un sistema informático, a través de la introducción, transmisión, daño, deterioro, alteración o supresión de datos informáticos, será castigado con la pena de presidio menor en su grado medio a máximo. (…)
A2. LA PROBLEMÁTICA.
¿Qué es eso de la perturbación del sistema informático?. He revisado la legislación de otros países y no tienen la figura de la “perturbación” y leer el diccionario solo lleva a la conclusión de lo que se quiere amparar es la quietud y el sosiego del sistema informático, lo que en nada ayuda a comprender qué es lo que se va a castigar en concreto.
Esto es crítico, pues la reforma legal se está haciendo para dar lugar a un sistema de colaboración en la persecución de delitos transnacionales, lo que significa que si desde otro país se está cometiendo un delito en Chile, tendremos que dirigirnos al país en que se origina el ataque y solicitarle que aseguren las pruebas de la “perturbación informática”. Y ese otro país nos dirá que no tiene idea de lo que le estamos hablando y que su legislación no contempla tan exótico delito.
Hay otro aspecto cuestionable, que es el uso y abuso de la palabra “maliciosamente”. Digo abuso porque se reitera una y otra vez a lo largo del proyecto de ley y se traduce en que el Ministerio Público y/o el querellante tienen que demostrar al juez que el supuesto ciberdelincuente, además del daño que provocó, actuó con malicia, es decir, que conscientemente sabía que era perjudicial y maligno.
Pero la “malicia” es demasiado cercana a un estado psicológico, así que salvo las contadas ocasiones en que ella se refleje en un hecho demostrable, nunca la comisión del delito se traducirá en una sanción porque no podrá probarse. Imaginen a un fiscal, desesperado, alegando ante el tribunal que la “perturbación” en el sistema informático es punible, pues el hechor, mientras cometía el delito, “se sobaba las manos maquiavélicamente” o que “la malicia brillaba en sus ojos”.
Lo raro es que la ley vigente, tan cuestionada como inaplicable, manda también a probar la “malicia”, y ese es precisamente uno de los aspectos por lo que es ampliamente cuestionada y se solicita periódicamente su reforma o derechamente la derogación, pero luego en el proyecto de nueva ley reaparece el mismo defecto, impermeable a la crítica.
A3. LA SOLUCIONÁTICA.
Para solucionar los problemas detectado en este primer artículo sugiero introducir en la tramitación legislativa una indicación al proyecto de ley que simplemente se limite a establecer el mismo tipo penal que pide castigar el Convenio de Budapest: el ataque a la integridad del sistema, y no esta figura tan inamible (jaque mate, millennials) de la perturbación informática.
Así, en cualquier punto del planeta, sabrán a qué delito nos estamos refiriendo cuando requerimos asistencia internacional en la persecución criminal.
Y en lo referente a “maliciosamente”, sugiero reemplazarlo por “indebidamente” o “deliberadamente”, términos que objetivan bastante lo que se debe demostrar ante un tribunal.
II. LAS UNIVERSIDADES, ESOS NIDOS DE CRIMINALES.
B1. LA NORMATÍVICA.
Artículo 2°.- Acceso ilícito. El que indebidamente acceda a un sistema informático será castigado con presidio menor en su grado mínimo o multa de once a veinte unidades tributarias mensuales.
El que indebidamente acceda con el ánimo de apoderarse, usar o conocer la información contenida en un sistema informático, será castigado con presidio menor en su grado mínimo a medio.
Si en la comisión de las conductas descritas en este artículo se vulnerasen, evadiesen o transgrediesen medidas de seguridad destinadas para impedir dicho acceso, se aplicará la pena de presidio menor en su grado medio.
B2. LA PROBLEMÁTICA.
En base al artículo transcrito, es indudable que la mayoría de los académicos y estudiantes de las carreras de Ingeniería en computación y otras afines, deberían terminar con sus humanidad en prisión, para disfrute de los demás reclusos.
Ello en razón de que parte fundamental de la labor que desarrollan es la investigación y desarrollo de software, la creación de nuevas herramientas y plataformas informáticas, el análisis de seguridad de productos y servicios, así como múltiples otras actividades que involucran el conocer como funcionan los sistemas informáticos.
Pues bien: el proyecto de ley los criminaliza. Todos serán delincuentes, pues no tienen (ni tendrán) la autorización de las empresas productoras de software para desentrañar lo que nos están vendiendo, lo que en definitiva coartaría el desarrollo científico y productivo de Chile y, en lo inmediato, obligará a las Universidades y centros de investigación a hacer algo que detestan: lobby en el Congreso Nacional para que los parlamentarios entiendan los alcances de lo que se está legislando.
B3. LA SOLUCIONÁTICA.
La solución pasa por formular una indicación que exceptúe de esta norma a las Universidades, empresas del rubro y centros de investigación, o que interprete que no puede entenderse como “indebida” las labores que llevan adelante en estos ámbitos.
III. Y EL “MALICIOSAMENTE” SE NOS APARECE HASTA EN LA SOPA.
C1. LA NORMATÍVICA.
Artículo 3°.- Interceptación ilícita. El que indebida y maliciosamente intercepte o interfiera la transmisión no pública de información entre los sistemas informáticos, será castigado con presidio menor en su grado mínimo a medio.
C2. LA PROBLEMÁTICA.
Ya hemos hablado de los problemas de la “malicia”. Y como todavía no se han inventado los lectores de cerebros que, además, viajen en el tiempo y puedan leerlos en el momento que se produjo el acto delictivo, es desaconsejable que le demos a los fiscales y querellantes, nuevamente, la ingrata labor de demostrar ante tribunales la “malicia” de los malhechores.
C3. LA SOLUCIONÁTICA.
Quitarle al artículo 3º el concepto “maliciosamente” o, si se quiere, reemplazarlo por la palabra “deliberadamente” u otra similar.
IV. ¿REALLY?.
D1. LA NORMATÍVICA.
Artículo 4°.- Daño informático. El que maliciosamente altere, borre o destruya datos informáticos, será castigado con presidio menor en su grado medio, siempre que con ello se cause un daño serio al titular de los mismos.
D2. LA PROBLEMÁTICA.
Primero creí que esta norma tenía dos problemas, pero ya veo que en realidad son tres. El primero de ellos es un viejo conocido nuestro: el detestable “maliciosamente”, frase que actualmente incide en que los fiscales del Ministerio Público prefieran ejercer su atribución de no perseverar en los casos relativos a delitos informáticos, archivándolos para siempre.
El segundo es que quienes persiguen este delito de “daño informático”, aparte de probar la malicia, deben probar también que se produjo un daño, y que no es de cualquier tipo, sino que un daño serio, pero la ley no entrega ningún criterio para determinar qué es un daño serio. ¿El que afecte a una gran cantidad de datos?. ¿El que afecte a parte importante de la población?. ¿El que deja sin sistemas de soporte vital a un grupo reducido de la misma?. ¿El que afecta a infraestructuras críticas?. No es lo mismo dejar sin sus fichas clínicas a la población del país que borrar las actas de directorio de una Sociedad Anónima.
Tenemos un tercer problema: el Convenio de Budapest no habla de daño informático, sino que se refiere explícitamente a los ataques a la integridad de los datos. Entonces, si requerimos asistencia internacional para perseguir a un ciberdelincuente, por supuesto que si hablamos de “daño” van a entender esta expresión genérica mucho más que si les hablamos de “perturbación”, pero aún así hay que considerar que si se firma un Convenio de esta naturaleza es para tener conceptos y procedimientos comunes, y no para prescindir de ellos e inventar los que se nos vengan en gana.
Si no decimos con las palabras correctas lo que estamos solicitando, es altamente probable que en el país destinatario de nuestros requerimientos se forme una trifulca jurídica de envergadura sobre la procedencia de acceder a la solicitud de nuestro país, polémica que bien valdría evitarse.
D3. LA SOLUCIONÁTICA.
La solución pasa por reemplazar, a través de una indicación, la figura del “daño informático” por la de “ataques a la integridad de los datos” (por la compatibilidad internacional de la que ya hablamos antes) y definir en forma más precisa cuándo hay que entender que se está ante un ataque grave a la integridad de los datos, pues de lo contrario terminaremos con los fiscales exagerando la importancia de cualquier asunto y pidiendo altísimas penas para delitos de bagatela.
Desde luego que también es una buena idea reemplazar el “maliciosamente”, que nos persigue cual maldición gitana, por la palabra “deliberadamente” o “indebidamente”.
V. EL FINO ARTE DE LAS DISTINCIONES INNECESARIAS
E1. LA NORMATÍVICA.
Artículo 5º.- Falsificación informática. El que maliciosamente introduzca, altere, borre, deteriore, dañe, destruya o suprima datos informáticos con la intención de que sean tomados o utilizados a efectos legales como auténticos, será sancionado con las penas previstas en el artículo 197 del Código Penal, salvo que sean o formen parte de un instrumento, documento o sistema informático de carácter público, caso en que se sancionará con las penas previstas en el artículo 193 de dicho cuerpo legal.
E2. LA PROBLEMÁTICA.
Si has llegado hasta acá por supuesto que ya viste el monstruo legal del “maliciosamente”, con sus ojos brillando en la oscuridad, pero esas referencias a los artículos 197 y 193 del Código Penal son más extrañas todavía. El primero de ellos castiga las falsedades cometidas en instrumentos privados y el segundo cuando quien interviene en las falsedades es un funcionario público y se trata de instrumentos públicos.
Pero la distinción entre instrumentos públicos e instrumentos privados, con la digitalización, se ha vuelto irrelevante, pues cumplen los mismos requisitos y tiene las mismas formalidades. ¿Es más válido o tienen diferente valor probatorio un instrumento público, suscrito con firma electrónica avanzada, respecto de uno privado suscrito bajo la misma modalidad?. La respuesta es negativa.
Me permito, entonces, plantear mis dudas respecto de la razonabilidad de una norma que aplica una u otra sanción dependiendo de la persona del hechor, cuando la conducta es exactamente la misma.
¿Y qué es un sistema informático de carácter público?. ¿Los que sirve a la función pública aunque estén en manos de particulares?, ¿aquellos a los que tiene acceso la generalidad de la población?, ¿los que están en poder del Estado?.
Las dudas pueden generar una casuística que bien podríamos ahorrarnos en favor de la certeza.
E3. LA SOLUCIONÁTICA.
Por lo pronto, hay que borrar el “maliciosamente” de la faz de la tierra. O de la faz de las leyes penales.
Ahora, respecto del castigo diferenciado para quienes realizan la misma conducta respecto de documentos que cumplen las mismas formalidades, o el establecimiento de la categoría de “sistema informático de carácter público”, la verdad es que me conduce a más dudas que respuestas.
Personalmente, optaría por establecer que el castigo es igual para todos quienes cometen los mismos delitos, en vez de hacer alambicadas relaciones con la distinción de instrumentos o documentos informatizados públicos o privados, que actualmente son muy poco diferenciables.
VI. COMO QUE LE FALTA ALGO…
F1. LA NORMATÍVICA.
Artículo 6°.- Fraude informático. El que, causando perjuicio a otro y con la finalidad de obtener un beneficio económico ilícito para sí o para un tercero, utilice la información contenida en un sistema informático o se aproveche de la alteración, daño o supresión de documentos electrónicos o de datos transmitidos o contenidos en un sistema informático, será penado (…)
F2. LA PROBLEMÁTICA.
Bueno, ¡aleluya!, por fin en este artículo nos libramos del “maliciosamente” y la disposición en principio me parece estupenda.
El problema se presenta cuando intento aplicarla, por ejemplo, al caso de la gente que adulteraba las tarjetas Bip, incorporándole saldos ficticios, lo que les permitía pasar libremente por los torniquetes del Metro de Santiago.
Si ocurriera de nuevo, ¿sería un fraude informático en los términos del proyecto de ley?. ¿Podríamos castigarles penalmente?.
Veamos. ¿A quién causa perjuicio?. Seguramente a Metro S.A.. ¿El hechor obtiene un beneficio económico ilícito?. Si, una indebida gratuidad en el uso del Metro de Santiago. ¿Utilizó para cometer el delito la información contenida en un sistema informático?. Las tarjetas Bip no son sistemas informáticos, pero, ¿los torniquetes lo son?. ¿Son computadores los torniquetes del Metro?. No tengo la certeza, pero me parece que no se ha utilizado la información contenida en el torniquete (que es lo que pide el tipo penal), sino que se ha manipulado la información de la tarjeta que, como ya señalé, no es un sistema informático.
F3. LA SOLUCIONÁTICA.
En este caso, la verdad es que tengo dudas. En principio me parece una norma adecuada, pero al pasar un caso corriente por esa figura penal, los goznes de las ruedas chirrean mucho.
Creo que, para salir de dudas, la mejor solución es acercarse más a los términos del Convenio de Budapest, es decir, señalar derechamente que es fraude informático la interferencia en el funcionamiento normal de un sistema informático hecho con la intención de obtener un beneficio económico en forma ilegítima.
VII. LA NEUTRALIDAD TECNOLÓGICA NO FUE INVITADA Y NOS MALDICE.
G1. LA NORMATÍVICA.
Artículo 9°.- Circunstancias agravantes. Constituyen circunstancias agravantes de los delitos de que trata esta ley:
1) Utilizar tecnologías de encriptación sobre datos informáticos contenidos en sistemas informáticos que tengan por principal finalidad la obstaculización de la acción de la justicia. (…)
G2. LA PROBLEMÁTICA.
Vamos a ver, vamos a ver. Me parece razonable que se pretenda sancionar el uso de tecnologías que tienen por finalidad obstaculizar la acción de la justicia, pero ya no me parece razonable elegir arbitrariamente solo una de ellas, cuando muchas pueden utilizarse con el mismo fin.
La encriptación es solo una tecnología que le puede hacer la vida a cuadritos a los investigadores, pero hay otras tanto o más efectivas, como la esteganografía, que es el arte de ocultar información a plena luz del día. O para hacerlo más concreto, una tabla Excel encapsulada dentro de los bytes de una selfie (“Cuando muramos seremos condenados a ver, por toda la eternidad, cada una de las selfies que nos hemos sacado”, me dijo alguna vez el prof. Lorenzo Cotino).
Entonces, hace su aparición aquí la Neutralidad Tecnológica, a quien no se invitó al baile para, clamando venganza, decirnos que el art. 9º es del todo incorrecto ya que arbitrariamente deja sin sanción a todas las tecnologías utilizadas para eludir a la justicia, pero que no usan cifrado.
G3. LA SOLUCIONÁTICA.
Pues esta parte es muy simple. Una indicación al proyecto de ley debería eliminar las palabras “de encriptación” del artículo 9º, y así queda abierto a sancionar cualquier tecnología usada con la finalidad de obstaculizar la acción de la justicia, incluso cuando se invente en un futuro próximo.
VIII. ESA FEA COSTUMBRE DE SACAR LAS CASTAÑAS CON LAS MANOS DE LOS ISPs.
H1. LA NORMATÍVICA.
Art. 222 NCPP.- Las empresas concesionarias de servicio público de telecomunicaciones que presten servicios a los proveedores de acceso a Internet (…) deberán mantener, con carácter reservado y adoptando las medidas de seguridad correspondientes, a disposición del Ministerio Público a efectos de una investigación penal en curso, por un plazo no inferior a dos años, un listado y registro actualizado de sus rangos autorizados de direcciones IP y de los números IP de las conexiones que realicen sus clientes o usuarios, con sus correspondientes datos relativos al tráfico, así como los domicilios o residencias de sus clientes o usuarios.
H2. LA PROBLEMÁTICA.
De prosperar esta disposición, ella establecería legalmente la destrucción del principio de inocencia, al indicar que las empresas de telecomunicaciones y los proveedores de acceso a Internet deben llevar un registro de lo que hacen los ciudadanos para ponerlo a disposición del Ministerio Público. Es decir, ya no sería efectivo que las personas sean inocentes hasta que se demuestre lo contrario, sino más bien que existe una presunción de culpabilidad y es por ello que se obliga a los proveedores de servicios a guardar los medios probatorios que servirán para incriminarlo cuando sea necesario.
Además esta disposición tiene otro pecado: el tratamiento indiscriminado de datos de personas determinadas o determinables (como es el que harían las empresas de telecomunicaciones e ISPs), infringe la garantía del art. 19 Nº 4 de la Constitución, que garantiza el derecho a la protección de datos personales, lo que implica que no pueden establecerse excepciones generales y permanentes a un derecho establecido en la Constitución Política, como sería este continuo espionaje.
H3. LA SOLUCIONÁTICA.
A través de una indicación, deberá ajustarse esta disposición a un contexto respetuoso de los derechos constitucionales, en concreto, que este tipo de medidas solo pueda ordenarlas un juez, por un tiempo determinado y ligado a la duración de una investigación concreta.
Finalmente, hay un tema al que no me he referido, que es el de si la duración de las penas es la adecuada, pero es una pregunta imposible de responder: en Chile no tenemos un sistema racional de penas.
En un país que por robar una caja de cartón vas 10 años preso, por vender CD “pirateados” puedes morir en la cárcel y por defraudar a millones de personas te hacen tomar cursos de ética, hacerse preguntas sobre la racionalidad de las penas tiene escaso sentido, pues no tenemos elementos de juicio como para decir, por ejemplo, si 5 años de cárcel por la comisión de un delito informático es mucho o poco tiempo, así que nada diré al respecto.
En cualquier caso, tenga presente el lector que si el proyecto de ley es aprobado, cualquiera que sea su redacción final, en principio solo se actualizaría nuestra legislación penal al año 2001, así que todavía estaríamos casi 18 años tarde de lo que debería ser.
Y no estoy cierto que valga la pena tanto esfuerzo para tan magros resultados: es una relación que perfectamente podría mejorarse con algunos ajustes.
Busqué mucho en Internet algún Chileno cuestionando este proyecto de Ley, di con su comentario, y me auto felicito porque siempre trato de buscar respuestas a mis interrogantes. Ayer buscando información para compartir con un grupo de amistades en temas relacionados a nuestros fondos de las AFP’s me percaté de este proyecto, al leer a groso modo lo que contempla, me extraño a gran medida lo que se quiere legislar. Con su explicación me queda más clara aún que estas ideas no son correctas, que pierde en varias partes el foco de tener una Ley Contundente y de calidad en esta materia. El proyecto invade un mil por ciento mi privacidad como ciudadano, además hay algo que me causa mucho ruido… Permite investigación secreta y pide a parte de las ip’ s, dirección o residencia del usuario… Esto claramente no corresponde. Seguiré este proyecto de Ley que parece toda costa privar al ciudadano a investigar delitos como por ejemplo los Gate.. Pacogate.. Milicogate y otros… No sé, pero este proyecto pierde el foco del Ciberdelito. Muchas gracias por su publicación y espero que se encuentre muy bien.