Delitos informáticos
Análisis comparativo del proyecto de ley uruguaya sobre delitos informáticos
El presente trabajo busca realizar un análisis comparativo de las Ley 26.388 sobre delitos informáticos sancionada en junio de 2008 que materializó una modificación del Código Penal, con el proyecto legislativo presentado en mayo de este año en la República Oriental del Uruguay. Y a su vez considerar en qué medida esta normativa tiene correspondencia con el Convenio Internacional sobre Ciberdelincuencia que se dictó en Budapest en 2001, y al que a la fecha muy pocos países firmaron su ratificación.
Más allá de la discusión constitucional abierta con el tratamiento de estos temas, en cuanto al posible avance de la intromisión de los Estados sobre derechos fundamentales como lo son la libertad de expresión y la intimidad, que seguramente se interponen a la intención de conseguir una adecuación de la normativa interna de los países con los estándares fijados por el Convenio, lo importante es analizar de qué manera tanto nuestro país como Uruguay consideran que debe abordarse esta problemática muy compleja, que moviliza hacia un verdadero cambio de paradigma en el modo de persecución de estos tipos delictivos.
En el ciberespacio reina el caos. Y todas las intenciones regulatorias sobre Internet se entienden en la comunidad virtual como una restricción a las libertades de las personas. No sin fundamento, ya que los gobiernos han dejado grandes ejemplos en la historia de su afán por ver aumentar su poder sobre los gobernados pocas veces en beneficio del éstos.
Y en la medida de que existan en el mundo países que no se comprometan con la cooperación internacional en la persecución de estos delitos seguirán existiendo “paraísos para el cibercrimen”(1), de modo que se dificulta aún más la posibilidad de aprehender, procesar, condenar y sancionar a quienes delinquen, lo que implica también que no exista desaliento para persuadir al criminal.
Respecto de las actividades que los gobiernos realizan más allá de su compromiso o no con el Convenio Internacional sobre Ciberdelincuencia, hay muchos mitos que circulan entre la desinformada opinión pública, y todos ellos indican que ya existe algún tipo de control y monitoreo sobre las actividades en Internet, por supuesto trascendiendo los límites del respeto que las constituciones de los países otorgan a los derechos fundamentales.
Como la punta de un iceberg aparecen periódicamente noticias que abonan esta situación, como cuando por ejemplo un juez federal(2) de los EEUU dictamina que Google debe cumplir con las solicitudes de pedidos del FBI sin orden judicial sobre los datos confidenciales de los usuarios del buscador. De la misma manera que circula la información que si alguien busca fórmulas sobre “cómo construir una bomba”, puede colocarse en el radar de las agencias policiales o de inteligencia.
En conclusión, el problema que plantean esta nuevas formas delictivas que muy fácilmente pueden convertirse en transnacionales, empieza a preocupar a los servicios de justicia en la medida que se requieren procedimientos que hagan eficaz la persecución del cibercrimen, pero también se deben encontrar un equilibrio que no implique un crecimiento del poder punitivo de los Estados, afectando los ya mencionados derechos constitucionales.
Lo que sigue es un detalle de cómo se materializaron las primeras respuestas a esta problemática teniendo en cuenta los contenidos de la normativa argentina y el proyecto uruguayo.
La normativa
En principio tanto la norma argentina, como el proyecto uruguayo establecen un glosario similar a las definiciones sobre terminología que el Convenio internacional propone en su artículo 1.
Ello resulta necesario para determinar con precisión tanto datos como sistemas informáticos, proveedores de internet, datos relativos al tráfico y otras que cuestiones relacionadas, que servirán para actualizar los textos de la legislación penal, importante a la hora de determinar objetos, facilitadores y/o víctimas del delito.
En cuanto a las coincidencias que se observan en los tipos delictivos que receptan las tres normas se penaliza el acceso ilícito, y su modalidad de accesos a sitios restringidos.
La norma internacional sugiere en su artículo 2 adaptar la legislación interna de los países para que se sancione este tipo de conductas, actitud que la Argentina asume en los artículos 4 y 5 de la ley 26.388, y el proyecto uruguayo en su artículo segundo.
Como se verá la coincidencia es total en sancionar este tipo de ilícitos. Incluso ya la Corte Suprema de Justicia de la Nación ha sentado jurisprudencia en ese sentido, en una causa en la que consideró que espiar los mensajes de Facebook de otra persona es comparable a hacerlo con los correos electrónicos y, en consecuencia, se trata de un delito federal(3).
Ahora bien, si se tiene en cuenta los cambios permanentes que se producen en los sistemas informáticos y en el software cuestiones como el acceso ilegal a “la nube”-Cloud Computing- (4) entrarían en una categoría especial, que aún las normas no contemplan.
También tanto Argentina como Uruguay convirtieron en tipo penal a la difusión de la información obtenida mediante un acceso ilegal. Nuestro país destina al tratamiento de este tema los artículos 4, 6 y 7 de la ley, mientras que Uruguay compila todos estos tipos en el citado artículo 2. De todas maneras existe en Argentina un eximente de responsabilidad penal basado en la difusión de datos obtenidos de manera irregular que impliquen un propósito inequívoco de defensa del interés público.
Otra de las coincidencias de la normativa de los dos países alcanza al acceso ilegal y la posible alteración de bancos de datos personales, cuestión que el Convenio de Budapest no menciona, pero que para nuestros países cobra especial importancia en la medida que existen normas de Habeas Data y el tema adquiere carácter constitucional. Uruguay describe muy acertadamente a la luz de los derechos humanos, lo que se considera “datos sensibles”, que refiere a información que revele el origen racial y étnico, preferencias políticas, convicciones religiosas o morales, afiliación sindical, y datos referentes a la salud o la vida sexual.
El tema de la interceptación ilegal de comunicaciones electrónicas, análogo a las escuchas telefónicas, está contemplado en la norma internacional y en el 2do párrafo del artículo 4 de nuestra ley 26.388. Notoriamente el proyecto uruguayo no aborda este tema en particular, no obstante con el artículo 2 por la amplitud del término “acceso” se podría penalizar este tipo de conductas.
Los daños tanto a archivos informáticos como a los sistemas están contemplados en las tres normas. Lo mismo que los supuestos de fraudes informáticos.
En este punto nuestra legislación contempla las diferentes modalidades de estafa informática, que encuadra en este tipo. Es así como se considera desde la alteración de registros, hasta el uso de tarjetas falsificadas, dispositivos en cajeros automáticos, phising, estafas en mercados virtuales, etc (5).
Incluso la norma uruguaya considera un agravante que el ilícito produzca un beneficio económico, para a quien lo cometió o un tercero, lo cual pareciera como redundante con la propia figura de fraude.
Finalmente la norma uruguaya contempla el tipo de “suplantación de identidad” para cometer delitos o producir perjuicios al que castiga con la mayor severidad dentro de su ordenamiento legal específico, figura que la Convención de Budapest no describe.
Palazzi se refiere a la legislación argentina en este punto considerando que “el robo de identidad es un delito complejo porque afecta bienes jurídicos penalmente protegidos: la privacidad, la propiedad, el honor”, no obstante la normativa muchas veces no permite encuadrar estrictamente el ilícito en un delito tipificado.
Este es un tema importante en el que aún hay diferencias de criterio y pocos avances desde la ley argentina, y que tampoco figura en las previsiones de la Convención. Otros países si han avanzado en el análisis de este tema: en el derecho español, por ejemplo, la suplantación de identidad únicamente es delito si la conducta encuadra claramente en el tipo penal del artículo 401 del Código Penal de aquel país, o sea, si lo que se usurpa es el estado civil de otro. Sólo en este caso, la conducta puede ser sancionada con prisión de seis meses a tres años.
No obstante pareciera una preocupación creciente tomar en consideración la cada vez más habitual creación de perfiles inventados o con datos falsos. La legislación de aquel país considera que esa conducta no se incluiría en el tipo penal mencionado y por lo tanto no podría ser considerada delito; de tal manera que el hecho de utilizar datos apócrifos para participar en una red social no constituye delito de usurpación de estado civil.
Hasta aquí los aspectos contemplados por el proyecto de ley uruguayo, que como se ve tiene numerosos puntos de coincidencia con la legislación argentina, y correspondencia con lo que el Convenio de Budapest solicita a los países suscriptores.
Pero como se describirá a continuación es para destacar que muchos de los temas que plantea el tratado internacional y que son relevantes para el derecho, no son abordados en el proyecto del vecino país.
Tal es el caso de la pornografía infantil, un delito creciente en el ciberespacio, que figura en las disposiciones del Tratado de Budapest y es receptado por nuestra ley 26.388 en su artículo 2.
El tipo que se describe en el actual artículo 128 del Código Penal establece además una sanción para quien facilite el de acceso de menores a espectáculos pornográficos.
Existe entonces un vacío muy importante en el proyecto de norma uruguaya, respecto de este delito.
Otro tema que nuestra legislación contempla es el de los ataques a sistemas públicos, medios de comunicación, de transportes, etc. lo mismo que se pena la interrupción de los medios de comunicación (artículos 11 y 12) lo cual se entiende como una decisión especial del legislador de convertirlos en objeto de especial protección, por considerar el interés público que estos poseen.
La restante diferencia entre nuestra normativa y la uruguaya figura en el artículo 13 de nuestra ley, que protege a “objetos de prueba y/o registros”, que fueran confiados a la custodia de funcionario público u otra persona, sancionando su sustracción, alteración, ocultamiento, inutilización o destrucción con una de las penas más severas que se prevé para los delitos informáticos.
Es para destacar que tanto los delitos de ataques a sistemas públicos, medios de comunicación y otros como los relacionados con objetos de prueba o registros, no figuran en los temas abordados directamente por el Convenio Internacional.
Los agravantes
La ley argentina considera en algunos tipos un agravamiento de la sanción para los supuestos de comisión de delitos por parte de funcionarios públicos, o por ser el objeto del delito el propio sistema público o sistemas pertenecientes a servicios financieros.
La proyectada norma uruguaya considera agravantes los casos en los que la víctima sea menor de edad o persona con discapacidad, también que el objeto del delito se relacione con activos públicos o con datos críticos privados, con información sensible sobre personas, o que el daño que se produzca a datos o sistemas sea irreparable.
Temas ausentes
Las normas citadas de ambos países no contemplan una cantidad de temas que el Convenio ha puesto en consideración.
Uno de ellos es el que refiere a todo lo relacionado con los delitos contra la propiedad intelectual, que el tratado aborda en su artículo 10.
En todo caso este tema cuenta con disposiciones específicas en nuestro derecho, que protegen a los autores tanto civil como penalmente. Ley 11.723 – Régimen Legal de la Propiedad Intelectual refiere a la normativa penal, en su artículo 71, cuando reproduce la sanción establecida por el artículo 172 del Código Penal, para quien “de cualquier manera y en cualquier forma defraude los derechos de propiedad intelectual” que reconoce esta Ley (6).
De la misma manera Uruguay también posee norma específica para el tema. La ley 9.739 sobre “Propiedad Literaria y Artística” sanciona en su artículo 46 a quien edite, venda o reproduzca “por cualquier medio o instrumento”, una obra inédita o publicada sin autorización de su autor (7).
Otro de los temas que no figuran en las normas uruguaya y argentina, pero al que el Convenio de Budapest, otorga importancia es el del “Abuso de dispositivos” previsto en el artículo 6 del tratado, y refiere a los dispositivos o programas que puedan ser utilizados para cometer delitos informáticos.
Del mismo modo las legislaciones de nuestros países no receptan lo dispuesto por el artículo 7 del tratado sobre “falsificación informática”, que refiere a la alteración o en otras disposiciones, por ejemplo en el artículo 13 de nuestra ley 26.388.
Una cuestión que permanece en agenda de los operadores legales, pero también con escasos avances eficaces, es la persecución del blanqueo de capitales por internet, tras la aparición de sistemas virtuales de pago, tarjetas inteligentes, y sistemas basados en computadoras. Detrás de estos temas se encuentra el GAFI (Grupo de Acción Financiera Internacional) que desde 1996 recomienda a los países que “revisen sus regímenes normativos para asegurar su supervisión y la elaboración de registros de transacciones online por parte de las instituciones financieras”(8).
La Convención tiene otras disposiciones interesantes que no tienen correspondencia n nuestras legislaciones. En general todas ellas son de carácter procesal, y quizá la demora de los países en adecuarse a estos requerimientos, se deba a que aquí es donde entran en juego los derechos fundamentales a los que nos referimos al comienzo de este trabajo.
La defensa de la privacidad en las comunicaciones tiene rango análogo al que los códigos procesales otorgan a la injerencia domiciliaria, inclusive con la utilización de tecnología especial -ver. “Protección contra la irrupción domiciliaria”- (9)
Especialmente aludimos a las disposiciones que se encuentran entre los artículos 19 y 21 del tratado. Aquí se avanza sobre el registro y confiscación de los datos almacenados, la obtención en tiempo real de datos relativos al tráfico, y la interceptación de datos relativos al contenido.
Existe casi un contrasentido en el cuidado que propone la legislación argentina respecto de la privacidad de las comunicaciones y este poder que requiere el convenio para los que los Estados puedan avanzar sobre estos derechos fundamentales.
Allí puede explicarse en cierta forma porqué a más de 13 años de dictado el tratado muchos países aún no lo han ratificado, inclusive algunos de sus principales propulsores.
Más allá de esto el convenio propone cuestiones interesantes como lo son: la tentativa, la posibilidad de penalizar a personas jurídicas, la cooperación internacional y el tendido de una red de asistencia mutua internacional para la investigación de delitos que tengan su asiento o relación directa con el ciberespacio, con oficinas que trabajen todos los días las 24 horas para agilizar los procedimientos (artículos 23 a 35 del Convenio de Budapest) y brindar respuestas y auxilio.
Sin el funcionamiento preciso y eficaz de esta red continuará sucediendo como en la actualidad, donde en la mayor parte de los casos los criminales internacionales consiguen salir indemnes por la dificultad de aplicar a Internet sistemas de justicia concebidos para un mundo off line y de distancias cortas, de modo que muy pocas veces los procedimientos y las sentencias consiguen ejecutarse a tiempo.
Aquí se aclara que ni la ley argentina, ni el proyecto uruguayo, contemplan esta cuestión. Ni tampoco se han adaptado los códigos procesales de modo de brindar respuestas a esta problemática.
Ciberacoso y Ciberinjurias
Estas dos figuras no se integran en la letra de la legislación de ambos países, ni en el Tratado, aunque posiblemente sean de las que causan mayor preocupación en la población. Cantidad de personas padecen estas situaciones que afectan tanto a su tranquilidad como su honor, recurren a las autoridades para descubrir que no se ha avanzado legislativamente en soluciones para estos ataques.
La jurisdicción
Es sin duda el gran tema en cuestiones de delitos en producidos en el ciberespacio, o utilizando sus recursos y posibilidades de anonimato.
El Convenio en su artículo 22 convoca a los estados parte a afirmar su jurisdicción respecto de delitos cometidos con ciertas bases territoriales o por uno de sus nacionales.
De todas maneras en la investigación y persecución de este tipo de delitos las cuestiones de jurisdicción son las que más retrasan, y las demoras son incompatibles con la velocidad con que suceden los eventos en el ciberespacio.
De allí que cuando se tratan estos temas es que se piensa en un cambio de paradigma que dote a la justicia de herramientas para avanzar con eficacia en sus expedientes, y está claro que el sistema jurídico ideado para cuestiones territoriales queda disminuido frente a los delitos informáticos que tienen su propia naturaleza, muy diferente.
La norma argentina, así como el proyecto uruguayo no proveen definiciones sobre esta cuestión. Y en particular en nuestro país en ocasiones las causas iniciadas por delitos informáticos viajaron de juzgado en juzgado buscando magistrado con competencia.
En este punto la red de cooperación propuesta por el tratado hace más de una década constituiría un avance para la resolución eficaz de las causas, no obstante no se registran avances institucionales en este sentido.
Los montos de la pena
Para concluir esta comparación entre las disposiciones de nuestra ley 26.388 y el proyecto uruguayo, es importante partir desde la comprensión de que la legislación del país vecino prevé en general penas más duras para los delitos, que las que dispone el Código Penal Argentino.
Para ejemplificar esto consideremos que por el delito de hurto puede caber una pena de hasta 8 años de cárcel y para el de robo (“rapiña” para los uruguayos) de hasta 16 años de prisión. En nuestra ley ambos delitos en sus figuras no agravadas prevén como máximo 6 años. Peor es el caso de las calumnias e injurias que mientras para la normativa Argentina hoy se sanciona con multa e indemnización civil, mientras que para Uruguay son 4 y 3 años de cárcel, como pena máxima respectivamente.
En este punto y siempre tomando los montos máximos de la pena, mientras en Argentina el acceso ilícito es de 6 meses en Uruguay llega a 3 años.
Los delitos sobre bases de datos alcanzan penas de 2 años en Argentina y 6 años en Uruguay.
Nuestro país sanciona con mayor dureza los casos de fraude informático con penas que pueden llegar a 6 años de cárcel. Este es el único supuesto en que la legislación nacional supera los máximos de pena previstos por Uruguay (por fraude el monto mayor es de 4 años en la nación vecina).
Y finalmente, como ya se mencionó, el proyecto uruguayo castiga fuertemente (hasta 8 años de “penitenciaría”) a la suplantación de identidad para cometer delitos u ocasionar perjuicios. Una figura cuya proporcionalidad de la pena sorprende por lo que implica y por el castigo que se le asigna. Esto si se considera especialmente que hay allí un vacío legal para cuestiones aberrantes como la pornografía infantil.
(1) Brenner, Susan, “The convention on Cybercrime”, Revista Chilena de Derecho y Tecnología, Universidad de Chile,
(2) Portal informativo CNET, 31I/ 05/2013, http://www.cnet.com/news/judge-orders-google-to-comply-with-fbis-secret-nsl-demands/
(3) Diario La Nación, 06/07/2014, http://www.lanacion.com.ar/1707557-espiar-el-facebook-ajeno-es-un-delito
(4) Palazzi, Pablo, Los delitos informáticos en el Código Penal -2da ed- Buenos Aires, Abeledo Perrot, 2013
(5) Palazzi, Pablo, Los delitos informáticos en el Código Penal -2da ed- Buenos Aires, Abeledo Perrot, 2013
(6) Ley 11.723 – http://infoleg.mecon.gov.ar/infolegInternet/anexos/40000-44999/42755/texact.htm
(7) Ley 9.739 ROU – http://www.parlamento.gub.uy/leyes/AccesoTextoLey.asp?Ley=9739.&Anchor=
(8) Saín, Gustavo Raúl, “Delito y nuevas tecnologías. Fraude, narcotráfico y lavado de dinero por Internet” Editores del Puerto, Buenos Aires, 2012
(9)Garibaldi, Gustavo, “Las modernas tecnologías de control y de investigación del delito. Su incidencia en el derecho penal y los principios constitucionales”, Ad Hoc, Buenos Aires, 2010
Dr. Pablo Baqué / Abogado
