ANÁLISIS COMPARATIVO DE LA NUEVA LEY DE DELITOS INFORMÁTICOS Y LA LEGISLACIÓN COMPARADA

 LA NUEVA LEY DE DELITOS INFORMÁTICOS

El delito informático es el que va contra el bien jurídico: información; y el delito por medio informático es aquel que utiliza las TICs para afectar otro bien jurídico protegido, diferente a la información. En esta medida, el nombre de la norma no es el más pertinente puesto que confunde medio con fin. En este sentido se expresa el Informe  del grupo de trabajo sobre marco regulatorio de sociedad de la información de la estrategia eLAC sobre Sociedad de la Información en América Latina - "Estado situacional y perspectivas del derecho informático en América Latina y el Caribe" (pag 17 y ss)Sin embargo la denominación de "Ley de Delitos Informáticos" refleja cual era la intencionalidad de la norma, la misma que no se ve reflejada por ejemplo en los artículos que son de informática forense para la persecución de delitos, en tal caso no es una norma sobre delitos sino sobre persecución de delitos por medios informáticos.El Documento de Trabajo de la Meta 25 eLAC2007: Regulación en la Sociedad de la Información en América Latina y el Caribe. Propuestas normativas sobre privacidad y protección de datos y delitos informáticos y por medio electrónicos, también mantiene la idea de normativas separadas en materia de delitos informáticos y delitos por medios informáticos, así como la creación y fortalecimiento de CERTs y la adhesión al Acuerdo de Budapest, antes de ejercicios normativos que puedan generar islas de regulación en el contexto de procesos regionales de armonización normativa.

FINALIDAD Y OBJETO DE LA LEYArtículo 1. Objeto de la Ley

La presente Ley tiene por objeto prevenir y sancionar las conductas ilícitas que afectan los sistemas y datos informáticos y otros bienes jurídicos de relevancia penal, cometidos mediante la utilización de tecnologías de la información o de la comunicación, con la finalidad de garantizar la lucha eficaz contra la ciberdelincuencia.La legislación vigente en el Perú contempla los artículos 207A, 207B y 207C como delitos informáticos, incorporados a la legislación penal en el año 2000. Pero desde la creación del código penal hasta la fecha se tienen y se han incorporado diversos artículos sobre delitos por medios informáticos o utilización de medios informáticos (incluidas las TICs) para la comisión de delitos. Esta autógrafa  deroga los artículos 207A, 207B, 207C y 207D (incorporado en el Codigo Penal hace tan solo un par de semanas por la ley 30076), replanteandolos, pero ademas incorpora nuevas tipificaciones que tendrán que coexistir con la gama de artículos ya incorporados al código penal sobre delitos por medios de TICs que se mantienen vigentes. Es decir se ha aumentado la profusión de normas en lugar de crear, si esta era la intensión de la regulación un solo cuerpo ordenado en estas materias, armonizado con regulaciones internacionales.

CAPITULO IIDELITOS CONTRA DATOS Y SISTEMAS INFORMATICOS

Artículo 2.  Acceso ilícito

El que accede sin autorización a todo o en parte de un sistema informático, siempre que se realice con vulneración de medidas de seguridad establecidas para impedirlo, será reprimido con pena privativa de libertad no menor de uno ni mayor de cuatro años y con treinta a noventa días-multa.Será reprimido con la misma pena, el que accede a un sistema informático excediendo lo autorizado.La legislación vigente de intrusismo informático es el "Artículo 207-A.- El que utiliza o ingresa indebidamente a una base de datos, sistema o red de computadoras o cualquier parte de la misma, para diseñar, ejecutar o alterar un esquema u otro similar, o para interferir, interceptar, acceder o copiar información en tránsito o contenida en una base de datos, será reprimido con pena privativa de libertad no mayor de dos años o con prestación de servicios comunitarios de cincuentidós a ciento cuatro jornadas.Si el agente actuó con el fin de obtener un beneficio económico, será reprimido con pena privativa de libertad no mayor de tres años o con prestación de servicios comunitarios no menor de ciento cuatro jornadas."

Artículo 3. Atentado a la integridad de datos informáticosEl que, a través de las tecnologías de la información o de la comunicación, introduce, borra, deteriora, altera, suprime o hace inaccesibles datos informáticos, será reprimido con pena privativa de libertad no menor de tres ni mayor de seis años y con ochenta a ciento veinte días-multa.El Acuerdo de Budapest indica: "Articulo 4. Ataques a la integridad de los datos1. Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para tipificar como delito en su derecho interno todo acto deliberado e ilegítimo que dañe, borre, deteriore, altere o suprima datos informáticos.2. Las Partes podrán reservarse el derecho a exigir que los actos definidos en el párrafo 1 comporten daños graves"

Artículo 4. Atentado a la integridad de sistemas informáticosEl que, a través de las tecnologías de la información o de la comunicación, inutiliza, total o parcialmente, un sistema informático, impide el acceso a este, entorpece o imposibilita su funcionamiento o la prestación de sus servicios, será reprimido con pena privativa de libertad no menor de tres ni mayor de seis años y con ochenta a ciento veinte días multa. El Acuerdo de Budapest indica: "Artículo 5. Ataques a la integridad del sistemaCada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para tipificar como delito en su derecho interno la obstaculización grave, deliberada e ilegítima del funcionamiento de un sistema informático mediante la introducción, transmisión, daño, borrado, deterioro, alteración o supresión de datos informáticos"

DELITOS INFORMATICOS CONTRA LA INDEMNIDAD Y LIBERTAD SEXUALESArtículo 5. Proposiciones a niños, niñas y adolescentes con fines sexuales por medios tecnológicos.El que, a través de las tecnologías de la información o de la comunicación, contacta con un menor de catorce años para solicitar u obtener de él material pornográfico, o para llevar a cabo actividades sexuales con el, será reprimido con una pena privativa de libertad no menor de cuatro ni mayor de ocho años e inhabilitación conforme a los numerales 1,2 y 4 del artículo 36 del Código Penal.Cuando la víctima tiene entre catorce y menos de dieciocho años de edad y medie engaño, la pena será no menor de tres ni mayor de seis años e inhabilitación conforme a los numerales 1,2 y 4 del artículo 36 del Código Penal.

CAPITULO IV DELITOS INFORMATICOS COTRA LA INTIMIDAD Y EL SECRETO DE LAS COMUNICACIONESArtículo 6. Tráfico ilegal de datos

El que, crea, ingresa, o utiliza indebidamente una base de datos sobre una persona natural o jurídica, identificada o identificable, para comercializar, traficar, vender, promover, favorecer o facilitar información relativa a cualquier ámbito de la esfera personal, familiar, patrimonial, laboral, financiera y otro de naturaleza análoga, creando o no perjuicio, será reprimido con pena privativa de libertad no menor de tres ni mayor de cinco años.Este artículo ya estaba incorporado en la legislación (y se encuentra vigente) por medio del artículo 2 de la Ley 30076 (se incorporó como artículo 207D)En su momento presentamos comentarios a esta propuesta del Congresista Delgado, teniendo en consideración que esto es una violación a la Privacidad y no debería haberse incorporado como Delito Informático, dado que el delito no es sobre información sino sobre los datos personales, que se debe enmarcar en la legislación de protección de Datos Personales. 

Artículo 7. Interceptación de datos informáticosEl que, a través de las tecnologías de la información o de la comunicación, intercepta datos informáticos en transmisiones no publicas, dirigidas a un sistema informático, originadas en un sistema informático o efectuadas dentro del mismo, incluidas las emisiones electromagnéticas provenientes de un sistema informático que transporte dichos datos informáticos, será reprimido con una pena privativa de libertad no menor de tres ni mayor de seis años.La pena privativa de la libertad será no menor de cinco ni mayor de ocho años cuando el delito recaiga sobre información clasificada como secreta, reservada o confidencial de conformidad con las normas de la materia.La pena privativa de libertad será no menor de ocho ni mayor de diez cuando el delito comprometa la defensa, seguridad o soberanía nacionales.

CAPITULO VDELITOS INFORMATICOS CONTRA EL PATRIMONIOArtículo 8. Fraude informáticoEl que, a través de las tecnologías de la información o de la comunicación, procura para si o para otro un provecho ilícito en perjuicio de tercero, mediante el diseño, introducción, alteración, borrado, supresión, clonación de datos informáticos o cualquier interferencia o manipulación en el funcionamiento de un sistema informático, será reprimido con una pena privativa de libertad no menor de tres ni mayor de ocho años y con sesenta a ciento veinte días-multa.La pena será privativa de libertad no menor de cinco ni mayor de diez años y de ochenta a ciento cuarenta días-multa cuando se afecte el patrimonio del Estado destinado a fines asistenciales o a programas de apoyo social.

CAPITULO VIDELITOS INFORMATICOS CONTRA LA FE PUBLICAArtículo 9. Suplantación de identidadEl que, mediante las tecnologías de la información o de la comunicación suplanta la identidad de una persona natural o jurídica, siempre que de dicha conducta resulte algún perjuicio, será reprimido con pena privativa de libertad no menor de tres ni mayor de cinco años.El artículo plantea que una suplantación sin perjuicio no configura delito. El mismo hecho de una suplantación ya configura un perjuicio y el tema de la protección de la identidad ya se tiene en el espacio del derecho civil: "Artículo 28.- Nadie puede usar nombre que no le corresponde. El que es perjudicado por la usurpación de su nombre tiene acción para hacerla cesar y obtener la indemnización que corresponda."

CAPITULO VIIDISPOSICIONES COMUNESArtículo 10. Abuso de mecanismos y dispositivos informáticosEl que fabrica, diseña, desarrolla, vende, facilita, distribuye, importa u obtiene para su utilización, uno o mas mecanismos, programas informáticos, dispositivos, contraseñas, códigos de acceso o cualquier otro dato informático, específicamente diseñados para la comisión de los delitos previstos en la presente Ley, o el que ofrece o presta servicio que contribuya a ese propósito, será reprimido con pena privativa de libertad no menor de uno ni mayor de cuatro años y con treinta a noventa días-multa.

Artículo 11. AgravantesEl juez aumenta la pena privativa de libertad hasta en un tercio por encima del máximo legal fijado para cualquiera de los delitos previstos en la presente Ley, cuando:1. El agente comité el delito en calidad de integrante de una organización criminal.2. El agente comete el delito mediante el abuso de una posición especial de acceso a la data o información reservada o al conocimiento de esta información en razón del ejercicio de un cargo o función.3. El agente comete el delito con el fin de obtener un beneficio económico, salvo en los delitos que prevén dicha circunstancia. 4. El delito compromete fines asistenciales, la defensa, seguridad y soberanías nacionales.Ciertamente que los agravantes tendrán que analizarse a la luz de las posibles modificaciones a los artículos de derecho penal sustantivo.

 CONTROVERSIA GENERADA POR LA NUEVA LEY DE DELITOS INFORMÁTICOSCRÍTICAS

Probablemente, en estos momentos, varias personas están violando la ley, a consecuencia de las inconsistencias y ambigüedades de su texto.Pese a que se insistió en que se desarrolle un amplio debate sobre el tema y que especialistas en tecnologías de la información y comunicación participen en su modificación, el presidente Ollanta Humala promulgó la Ley de Delitos Informáticos .No solo la libertad de expresión está en peligro con esta ley, que entra a vigencia a partir de este miércoles 23 de octubre, la regulación del uso de la Internet es un factor importante que se vería afectado.“La forma en la que se ha aprobado esta ley sienta un precedente nefasto para nuestro país. Que el Congreso haya decidido cambiar completamente el texto de un proyecto de ley y aprobarlo sin discusión en menos de cinco horas demuestra lo poco que respetan la opinión de la sociedad civil”, indicó Miguel Morachimo , director de la ONG Hiperderecho.

LIBERTAD DE EXPRESIÓN EN RIESGOLa ley se  aprovechó para añadir una modificación al artículo 162 del Código Penal, referido a la intercepción telefónica.Básicamente, la crítica a este punto va porque cuando el Congreso aprobó la ley mordaza de Javier Bedoya, en enero del 2012, el Gobierno la observó y recomendó añadir la excepción de interés público. Sin embargo, en este dictamen elaborado en base a la propuesta del Ministerio de Justicia , no se incluye esta excepción, y solo se aumenta el delito cuando la información sea secreta, confidencial o compromete la defensa o seguridad nacional.

BORRAR ARCHIVOS DE OTRA PERSONAAsimismo, la legislación castiga con hasta seis años de prisión a aquel que “ introduce, borra, deteriora, altera, suprime o hace inaccesibles datos informáticos ” de otra persona sin su consentimiento o permiso.“No es lo mismo borrar un simple documento que acceder a la información de la defensa nacional, allí es cuando el juez tendrá que ver qué pena se pone. Con el Código Penal, ya se castiga esta acción. Lo dice Budapest y lo tienen varios países”, refirió José Luis Medina del Ministerio de Justicia.Sin embargo, el especialista Erick Iriarte advirtió que se han cambiado términos del Convenio de Budapest, tratado internacional sobre cybercrimen al cual el Perú no ha logrado adherirse, y no existe un glosario para entender a qué se refiere la ley con tecnologías de la información o comunicación, porque hasta “para algunos, en TIC, se incluye el teléfono, el telégrafo o los dos”.

EL HACKING ÉTICO PUEDE SER DELITOUno de los artículos de esta ley es el referente a la tipificación como delito del acto de fabricar, diseñar, desarrollar o utilizar un software de hacking, con un castigo de hasta cuatro años de prisión. El Convenio de Budapest también tiene una norma similar, pero incluye la excepción expresa que no es delito cuando la persona realiza un hacking ético o una prueba de vulnerabilidad para detectar los vacíos que pueda tener un sistema informático.“Pudo haberse establecido la excepción, pero consideramos que no era necesario, porque el Código Penal ya tiene reglas generales sobre el tema. Entiendo la preocupación de todos, pero no hay por qué preocuparse”, aseguró Medina.

UTILIZACIÓN DE UNA BASE DE DATOSEn otro artículo de la ley, se condena con hasta cinco años de prisión a la persona que  crea, ingresa, o utiliza indebidamente una base de datos. Sin embargo, el texto es ambiguo y hasta una simple lista de contactos puede verse involucrada.Medina comentó que esta parte ya se encuentra en el Código Penal y lo único que se ha hecho es agruparla en este dictamen. Sin embargo, reconoció las inconsistencias.“La redacción no es muy feliz, pudo ser mejor, yo la hubiera corregido, pero bueno, así fue, así lo plantearon en el Congreso”, manifestó.

DISCRIMINACIÓN EN INTERNETPor otro lado, la discriminación de por sí es un delito establecido en el Código Penal, sin embargo, este legislación plantea añadir a la ley la modalidad a través de las tecnologías de la información o de la comunicación, llegando a castigar hasta con cuatro años de prisión, misma pena que la violencia por discriminación.“Si yo escribo algo en contra o a favor de la unión civil, la otra persona puede decir que lo estoy discriminando. La ligereza del texto choca contra la libertad de expresión”, comentó Miguel Morachimo.

ACOSAR POR INTERNET ES DELITO, EN PERSONA NO LO ESOtro punto cuestionado es la inclusión del ‘grooming’ como delito. Si bien la ley castiga el acoso de menores por Internet, el acoso presencial no está tipificado en el Código Penal, abriendo todo un vacío legal.Los adultos que propongan, vía Internet, a un menor de edad tener relaciones sexuales o que se desvista serán condenados a prisión hasta a ocho años de prisión.  

VENTAJASTenemos la suerte de haber ido desarrollando normativa que da la posibilidades de crecer en la Sociedad de la Información, para utilizar sus ventajas para el desarrollo del Perú, normativas sobre firma digital, manifestación de la voluntad por medios electrónicos, seguridad de la información, protección de datos personales, lucha contra el spam, contra la pornografía infantil, sobre acceso a la información pública, sobre portales de transparencia, y la recientemente aprobada por el Pleno del Congreso, la ley de promoción de la banda ancha, entre muchas que dan el marco para una Sociedad de la Información.Sin embargo, y a pesar que diversos espacios de dialogo internacionales (como la Asamblea de Naciones Unidas, WSIS y eLAC) que han venido promoviendo diversos instrumentos como la adopción del Acuerdo de Budapest de Cybercrimen para dar herramientas para combatir el mal uso de las Tecnologías de la Información y la Comunicación (TICs) en el contexto de la Sociedad de la Información, no hemos logrado avanzar de manera real y efectiva en esta área.

CONTEXTO INTERNACIONAL

ESTADOS UNIDOS.Este país adoptó en 1994 el Acta Federal de Abuso Computacional que modificó al Acta de Fraude y Abuso Computacional de 1986.Con la finalidad de eliminar los argumentos hipertécnicos acerca de qué es y que no es un virus, un gusano, un caballo de Troya y en que difieren de los virus, la nueva acta proscribe la transmisión de un programa, información, códigos o comandos que causan daños a la computadora, a los sistemas informáticos, a las redes, información, datos o programas. La nueva ley es un adelanto porque está directamente en contra de los actos de transmisión de virus.Asimismo, en materia de estafas electrónicas, defraudaciones y otros actos dolosos relacionados con los dispositivos de acceso a sistemas informáticos, la legislación estadounidense sanciona con pena de prisión y multa, a la persona que defraude a otro mediante la utilización de una computadora o red informática.En el mes de Julio del año 2000, el Senado y la Cámara de Representantes de este país -tras un año largo de deliberaciones- establece el Acta de Firmas Electrónicas en el Comercio Global y Nacional. La ley sobre la firma digital responde a la necesidad de dar validez a documentos informáticos -mensajes electrónicos y contratos establecidos mediante Internet- entre empresas (para el B2B) y entre empresas y consumidores (para el B2C).

ALEMANIA.Este país sancionó en 1986 la Ley contra la Criminalidad Económica, que contempla los siguientes delitos:1.    Espionaje de datos.2.    Estafa informática.3.    Alteración de datos.4.    Sabotaje informático.

AUSTRIA.La Ley de reforma del Código Penal, sancionada el 22 de Diciembre de 1987, sanciona a aquellos que con dolo causen un perjuicio patrimonial a un tercero influyendo en el resultado de una elaboración de datos automática a través de la confección del programa, por la introducción, cancelación o alteración de datos o por actuar sobre el curso del procesamiento de datos. Además contempla sanciones para quienes comenten este hecho utilizando su profesión de especialistas en sistemas.

GRAN BRETAÑA.Debido a un caso de hacking en 1991, comenzó a regir en este país la Computer Misuse Act (Ley de Abusos Informáticos). Mediante esta ley el intento, exitoso o no, de alterar datos informáticos es penado con hasta cinco años de prisión o multas. Esta ley tiene un apartado que específica la modificación de datos sin autorización.

HOLANDA.El 1º de Marzo de 1993 entró en vigencia la Ley de Delitos Informáticos, en la cual se penaliza los siguientes delitos:· El hacking.· El preacking (utilización de servicios de telecomunicaciones evitando el pago total o parcial de dicho servicio).· La ingeniería social (arte de convencer a la gente de entregar información que en circunstancias normales no entregaría).· La distribución de virus.

FRANCIA.En enero de 1988, este país dictó la Ley relativa al fraude informático, en la que se consideran aspectos como:·   Intromisión fraudulenta que suprima o modifique datos.·  Conducta intencional en la violación de derechos a terceros que haya impedido o alterado el funcionamiento de un sistema de procesamiento automatizado de datos.·  Conducta intencional en la violación de derechos a terceros, en forma directa o indirecta, en la introducción de datos en un sistema de procesamiento automatizado o la supresión o modificación de los datos que éste contiene, o sus modos de procesamiento o de transmisión.·   Supresión o modificación de datos contenidos en el sistema, o bien en la alteración del funcionamiento del sistema (sabotaje).

ESPAÑA.En el Nuevo Código Penal de España, se establece que al que causare daños en propiedad ajena, se le aplicará pena de prisión o multa. En lo referente a:·   La realización por cualquier medio de destrucción, alteración, inutilización o cualquier otro daño en los datos, programas o documentos electrónicos ajenos contenidos en redes, soportes o sistemas informáticos.·   El nuevo Código Penal de España sanciona en forma detallada esta categoría delictual (Violación de secretos/Espionaje/Divulgación), aplicando pena de prisión y multa.·  En materia de estafas electrónicas, el nuevo Código Penal de España, solo tipifica las estafas con ánimo de lucro valiéndose de alguna manipulación informática, sin detallar las penas a aplicar en el caso de la comisión del delito.

CHILE.Chile fue el primer país latinoamericano en sancionar una Ley contra delitos informáticos, la cual entró en vigencia el 7 de junio de 1993. Esta ley se refiere a los siguientes delitos:·  La destrucción o inutilización de los de los datos contenidos dentro de una computadora es castigada con penas de prisión. Asimismo, dentro de esas consideraciones se encuentran los virus.·  Conducta maliciosa tendiente a la destrucción o inutilización de un sistema de tratamiento de información o de sus partes componentes o que dicha conducta impida, obstaculice o modifique su funcionamiento.·   Conducta maliciosa que altere, dañe o destruya los datos contenidos en un sistema de tratamiento de información.