Sepúlveda, además, recalca la modificación al Código Procesal Penal que permite al Ministerio Público sin orden judicial poder solicitar a cualquier proveedor de servicio la conservación y la protección de datos informáticos. Ello considerando que ahora se abre el concepto de proveedor de servicio, pudiendo involucrar a la mayoría de las empresas, es en extremo relevante.
En el marco del mes de la ciberseguridad, la nueva Ley de Delitos Informáticos, siguiendo las normas del Tratado de la Ciberdelincuencia europea, también conocido como Tratado de Budapest, estandariza las normas referidas a delitos sancionables, formas de investigarlos y por otra parte amplia el catálogo de delitos de responsabilidad penal de las personas jurídicas.
Para aquello, en Actualidad Jurídica conversamos con Ximena Sepúlveda, abogada y académica de la Facultad de Ciencias Jurídicas y Sociales de la Universidad de Concepción, sobre las tipificaciones y normativas que están presentes en la nueva Ley de Delitos Informáticos.
A modo general y como introducción, ¿qué significa en materia de ciberseguridad que esta nueva ley esté dentro del convenio de Budapest?
El que nuestra nueva ley de delitos informáticos se encuadre en el convenio de Budapest, significa la adecuación de nuestra normativa a una normativa general, vigente no sólo a nivel europeo, sino que a nivel mundial por un gran número de Estados. En la práctica, involucra la estandarización de las conductas que en materia penal se van a entender que constituyen delitos informáticos de forma uniforme en todos esos países. Por otra parte, también significa la estandarización de cuáles van a hacer las formas de investigar esos delitos, vale decir, normas de carácter procesal, adjetivas, y por otra parte involucra el concordar ciertas medidas de cooperación internacional que ayudan a la persecución de la ciberdelincuencia (particularmente establecidas en el protocolo 2 del tratado que fue ratificado por Chile el 12 de mayo y que complementará la ley), que como bien sabemos, no respeta fronteras físicas o límites de cada uno de los países.
Teniendo en cuenta que uno de los delitos más discutidos en el parlamento fue el de acceso ilícito. En ese sentido, ¿en qué consiste dicha normativa y por qué fue tan discutida?
El delito de acceso ilícito que está establecido en el artículo 2 de nuestra Ley, establece cuatro hipótesis de acceso ilícito. Una primera, que sanciona el mero acceso a un sistema informático sin autorización, o bien excediendo la autorización que eventualmente se hubiese otorgado, y siempre que ello se verifique superando barreras técnicas o medidas tecnológicas de seguridad del sistema. En segundo lugar, una segunda hipótesis es también un acceso al sistema informático sin autorización, con ánimo de apoderarse o de usar la información que está contenida en el sistema informático. Una tercera forma de comisión, es la mera divulgación de información obtenida mediante un acceso ilícito, vale decir, no es el mismo sujeto quien accede, sino quien meramente divulga. Una cuarta hipótesis de acceso ilícito en el supuesto del mismo sujeto es quien accede, superando las barreras técnicas, y quien además divulga, que es la figura más agravada de la sanción.
La discusión en relación a este artículo, fue que la referida a la sanción de lo que denomina al “white hacking” o la investigación científica referida al acceso a sistemas informáticos que se llevan a cabo por académicos o investigadores del área informática, y que tiene por finalidad precisamente poder superar las eventuales brechas de seguridad que puedan existir en los sistemas informáticos. Eso hoy día, de acuerdo a la ley, eventualmente podría quedar sancionado criminalmente por este tipo. Sin perjuicio que el artículo 16 establece una suerte de autorización a la investigación académica, en general, se ha entendido que es algo que debe corregirse, de acuerdo a lo que al menos en la inauguración del mes de la ciberseguridad señaló el subsecretario de interior, al parecer de la ley marco de ciberseguridad que está en el congreso y que ya se aprobó en general por el Senado el paso 18 de octubre, podría eventualmente modificarse o adecuarse esto para los efectos específicamente de dejarlos fuera de la sanción penal.
En cuanto a datos informáticos y datos relativos al tráfico informático, ¿cuáles son las diferencias entre estos dos y cuáles son los aspectos claves que introduce?
El tratado establece, en la parte preliminar, ciertas definiciones que ayudan a la correcta interpretación no solo de los delitos y la configuración de los delitos en la práctica, sino que también ayuda en la interpretación de los aspectos procesales. Define, a los datos informáticos, como una representación de hechos, información o conceptos que se pueden expresar de cualquier forma y que se presten o sirvan para el tratamiento informático. Por su parte, los datos relativos al tráfico informático, son datos relativos a una comunicación que se realiza por medio de un sistema informático, y que pueden indicar indistintamente el origen, el destino, la ruta, la hora, la fecha y la duración de la comunicación, entre distintos dispositivos o usuarios.
La importancia de distinguir entre datos y metadatos, tiene importancia en relación a la configuración de ciertos delitos y también en cobra mayor importancia en lo que se refiere al ámbito procesal. Así por ejemplo, frente al eventual escenario de que el órgano persecutor, el Ministerio Público, con ocasión de una investigación penal, pudiese eventualmente requerir de algún proveedor de servicio información, los estándares para acceder a datos o metadatos van a hacer distintos, teniendo que acreditar la existencia de un fundamento más plausible cuando se trata de acceder a datos informáticos.
¿Cuál es la importancia de que la nueva ley amplíe la responsabilidad penal de las personas jurídicas?
Que el catálogo de delitos informáticos se haya incorporado como parte de los delitos base que dan lugar a la responsabilidad penal de las personas jurídicas, es una cuestión extremadamente relevante que las entidades tienen que considerar como una vulnerabilidad nueva de cual deben hacerse cargo. Hasta ahora, el catálogo de delitos era relativamente acotado; se trataban de hechos de bastante gravedad como el cohecho, corrupción, soborno, financiamiento del terrorismo, lavado de activos, algunos delitos contra el medio ambiente, otros de control de armas, y algunos otros establecidos en normas particulares. Pero hoy día con la inclusión de los delitos informáticos, la matriz de riesgo que las entidades habían considerado a la hora de crear eventualmente sus modelos de prevención, cambia de manera radical.
Esto significa que las organizaciones tienen que readecuar los eventuales modelos de prevención que pudieran haber establecido, para incorporar estos nuevos riesgos que surgen con el acaecimiento de estos delitos establecidos en la ley haciendo la bajada al tratado de Budapest. Es importante considerar que, para estos efectos, no basta con tener un código de compliance, ese código que es ese conjunto de directrices que tienen por objeto establecer las conductas aceptables para los miembros de la organización, y que fija en definitiva estándares legales o éticos en la organización atendida en su visión y misión, tiene que ser un código de compliance eficiente. Debe ser en la práctica una guía que establezca para todos los miembros de la organización, basándose en su propia mirada de deber cumplir con el principio de diligencia debida, atendido la prevención, detección y la erradicación de irregularidades, y también en relación a lo que dice los delitos informáticos. Está demás decir que la función del código del compliance, además de ser orientativa, declarativa, discriminativa, metodológica, coercitiva, tiene que ser una herramienta de protección, de manera tal que, va a ser importante que la matriz de riesgo que se levante para la creación y la actualización de los modelos de prevención sea hecho por expertos. No basta con tener un código de modelo de prevención simplemente como un make up compliance program, porque se ha fallado por la jurisprudencia que no todo modelo exima o atenue la responsabilidad, él tiene que ser eficiente y eso tiene que poder probarse de manera proactiva por parte de la organización.
Respecto en materia de compliance informático y la nueva ley, ¿qué o cuáles son los pilares fundamentales que se deben tener en cuenta?
El compliance informático, en primer término, tiene una importancia objetiva que es que, hoy día se constituyen los delitos informáticos como base para los efectos de responsabilidad penal de las personas jurídicas. Pero la importancia de fondo para la organización, de llevar a cabo acciones vinculadas a la seguridad de la información, se relaciona con poder asegurar ciertos pilares que son fundamentales en las entidades. En primer lugar, la confidencialidad, que se relaciona con solo las personas pueda acceder a la información que para la entidad sea sensible o privada, ya sea información propia o de terceros, o datos personales de terceros. En segundo lugar, el asegurar la integridad de la información, vale decir que esa información sea exacta, completa, y que no haya sido manipulada sin autorización. Además, que la información esté disponible, respecto de esa información se pueda garantizar la autenticidad de no repudio, esto significa que existe una garantía de que la identidad de los usuarios de los procesos que trata la información sea la correcta, que no haya sido modificada. También la trazabilidad, y finalmente la privacidad sobre todo a lo que refiere a la protección de los datos personales.
¿Cuáles, según tú, vendrían siendo las medidas que más aportan a esta nueva ley de delitos informáticos?
Sin duda que lo sustantivo resulta ser muy importante la creación de nuevos ilícitos más adaptados precisamente a la ciberdelincuencia, por ejemplo el delito de fraude, es claro que el delito de estafa era figura que penalmente no daba el ancho con la forma de comisión y los elementos típicos de un fraude cometido a través de sistemas informáticos, de manera tal que, por ejemplo, hay nuevos ilícitos que son más específicos y que se adecuan más a las conductas llevadas a cabo por el sujeto activo. Pero también es relevante considerar que, las medidas de investigación y colaboración internacional, facilitan muchísimo la investigación y finalmente la sanción efectiva a los autores de estos ilícitos. Desde ahí, es muy importante tener en cuenta la importancia que posee el hecho de que Chile haya ratificado el segundo protocolo del tratado de Budapest, que precisamente establecen mayores y más eficientes medidas de investigación y colaboración internacional entre los estados miembros, tendientes en el plano más procedimental poder aplicar la sanción penal que es lo sustantivo y que es lo que se establece para cada uno de los ilícitos.
Respecto al ámbito procesal, ¿qué medidas especiales son las que se agregan a esta ley?
Se establece una modificación al Código Procesal Penal, permitiendo al Ministerio Público, con ocasiones por cierto de una investigación penal, el de poder solicitar a cualquier proveedor de servicio la concertación y a la protección de datos informáticos, o de informaciones concretas que ellos tengan en sus sistemas informáticos, hasta que obtenga la respectiva autorización judicial, se trata de una obligación de conservación y custodia. Hasta por el plazo de 90 días y eventualmente pudiendo ser prorrogado por un plazo igual. Esto aplica a todos los proveedores de servicio, esa es una primera medida. En segundo término, se incorporan técnicas especiales de investigación, como por ejemplo el agente encubierto digital, y otras técnicas de investigación que eran más propias de otros tipos de ilícitos, y se entiende que van a facilitar bastante la investigación de los delitos informáticos.