La protección de la información en Colombia se garantiza penalmente, cuando su transferencia no es consentida por su titular. Ley 1273 de 2009. Ley de Delitos Informáticos.
La Información como activo protegido penalmente en Colombia
1. LA INFORMACIÓN COMO BIEN PROTEGIDO, EN EL DELITO DE
TRANSFERENCIA NO CONSENTIDA DE ACTIVOS. ART. 269 J. CÓDIGO
PENAL COLOMBIANO
DE ALEXANDER DÍAZ GARCÍA
Según investigación del periodista de la revista Enter Luis Iregue, afirma que
de acuerdo con el más reciente estudio realizado por The Economist
Intelligence Unit para Kroll –una empresa de inteligencia empresarial –, titulado
Global Fraud Report, Colombia ocupa el segundo puesto en los países más
victimizados por el fraude, sólo detrás de China y por delante de Brasil. Afirma
el columnista que el estudio de Kroll establece que el fraude y el hurto de
información por primera vez en la historia han superado los otros tipos de
fraude en el mundo, y dice que “el 94% de los negocios colombianos sufrió
algún fraude en el último año, en comparación con el 88% global”. El 21% está
en la categoría de fraudes electrónicos, que incluyen hurto de información y
ciberataques (a sitios web e infraestructura de las empresas), y el porcentaje
podría crecer en los próximos años.
Las cifras de fraudes electrónicos en Colombia y Latinoamérica son un poco
menores que en China y otros países de Oriente, pero no dejan de ser
preocupantes y superan el 20% de las empresas, una cifra importante si se
tiene en cuenta que sólo 30 de cada 100 latinoamericanos tiene acceso a
Internet.
Después de este prolegómeno periodístico, haremos unas pequeñas
reflexiones sobre el tema, el que me ha generado preocupación desde el punto
de vista de mi experiencia en Nuevas Tecnologías, Juez Informático y en
especial como autor del texto original del proyecto de ley (hoy Ley 1273 de
2009) de delitos informáticos. He observado que algunos empresarios (de la
vieja generación) no le han puesto aún la atención debida a la calidad de bien
que tienen con la información, pues le restan mucha importancia al considerarla
un intangible aparentemente sin valor. Éstos incurren en un lamentable error
porque ignoran tal vez, que amén de todos los bienes físicos, ésta constituye
también parte de sus activos (fijos), tal vez uno de los primordiales sino el
principal, pues es un verdadero activo, el que se debe sumar indudablemente
al patrimonial, como parte de los haberes de éstos en la empresa.
Dentro de la ley de delitos informáticos, además de los otros tipos que protegen
el bien jurídico tutelado de la Información y el Dato, redactamos uno
denominado:
2. 2
"Artículo 269 J. Transferencia no consentida de activos. El que, con ánimo
de lucro y valiéndose de alguna manipulación informática o artificio semejante,
consiga la transferencia no consentida de cualquier activo en perjuicio de
un tercero, siempre que la conducta no constituya delito sancionado con pena
más grave, incurrirá en pena de prisión de cuarenta y ocho (48) a ciento veinte
(120) meses y en multa de 200 a 1500 salarios mínimos legales mensuales
vigentes. La misma sanción se le impondrá a quien fabrique, introduzca, po-sea
o facilite programa de computador destinado a la comisión del delito descrito en
el inciso anterior, o de una estafa. Si la conducta descrita en los dos incisos
anteriores tuviere una cuantía superior a 200 salarios mínimos legales
mensuales, la sanción allí señalada se incrementará en la mitad" (Subrayas y
negrita fuera del texto)
Como observamos en su sintaxis el término "transferencia no consentida de
cualquier activo", implica precisamente eso, cualquier otro activo (además de
los conocidos como patrimoniales clásicos), esto es, también la información.
Lamentablemente algunos especialistas judiciales (Delegados del Fiscal y
Jueces) y algunos Abogados no lo han entendido y creen que dicha
transferencia sólo se refiere a dinero almacenado (desocupar cuentas
bancarias) en bases de datos electrónicas (cuentas como vg. tesorerías,
pagadurías o bienes muebles como los existentes en un almacén), incurriendo
así en una desatinada apreciación. ¿Cómo nos explicaríamos qué clase de tipo
penal incurrirían los sub judices si éste (os) ordena (n) la transferencia de una
base de dates de clientes, proveedores, perfiles u otros, de una dirección
(cuenta) a otra? ¿Cuál sería su adecuación típica?
Estos comportamiento los están adecuando o subsumiendo en tipos clásicos y
en forma exclusiva contra el patrimonio económico.
Esta conducta reprochable social y antijurìdica es un comportamiento
informático ilegal, el que se debe adecuar en el delito que hoy nos ocupa su
atención, porque la transferencia no autorizada de información está tipificada
en la ley arriba referenciada, la información es un activo; pero
lamentablemente no lo tipifican en esta descripción, al no considerarlo que se
esté violando nuestro código sustantivo, por consiguiente pretender en estos
Despachos investigaciones e indemnizaciones se torna en un proyecto judicial
difícil de alcanzar (por lo menos pensar en un tiempo razonable) pues vamos
invertir un tiempo valioso en explicaciones y más si no conocemos (abogados
no especialistas) el tema como profesionales del Derecho al tratar de defender
los intereses del derecho vulnerado o establecer la verdad procesal, se nos va
a convertir tal vez en un tortura profesional.
Por eso y acertada se torna que la nueva generación de ejecutivos
colombianos (lo afirma el columnista arriba citado) hayan modificado su otrora
pensamiento y le han dado un nuevo valor a la información y por ello tienen
3. 3
planeado invertir en mejores soluciones de protección (dispositivos
electrónicos, políticas de seguridad en la información, las ISO 27001, 27002,
27005, capacitación).
Observamos también con beneplácito como las empresas nacionales han
pronosticado invertir más en sistemas de gestión de riesgos, entrenamiento del
personal, controles financieros y herramientas de seguridad informática. El
sistema judicial colombiano por ello no puede quedarse rezagado en
implementar verdaderas políticas de seguridad en la información, pues a
medida que pasa el tiempo los ficheros con los datos judiciales de los sub
judice, estarán más expuestos y serán vulnerables para propósitos diferentes a
las verdaderas políticas criminales del Estado.
Implementando efectivas herramientas para evitar intrusiones, garantizaremos
la seguridad, integridad y confidencialidad de la información y por ende estará y
se mantendrá incólume la información, la que servirá, si ese es el uso que le
piensa dar (casi siempre lo es), en una excelente evidencia digital. Recordemos
como hoy por hoy, la evidencia digital se ha ubicado en lugares privilegiados en
el ámbito probatorio, constituyéndose en muchas oportunidades en la prueba
reina, en cualquier proceso judicial. Ello implica que su errado manejo forense
o semi-forense (rol que algunos ingenieros están asumiendo sin ser
especialistas en las ciencias forenses) malogran ésta y para cuando se sube al
proceso el Juez la excluyen por ilegal (su extracción y fijación) declarándola
nula; una vez declarada judicialmente nula (la evidencia digital) no sirve para
absolutamente nada, entendiéndose que a futuro no se podrá usar ésta para
ningún fin (tal vez para enseñanza académica y poner en conocimiento qué es
lo que no se debe hacer con ella) porque una prueba nula no existe.
A guisa de conclusión hemos de concienciarnos que debemos ofrecerle
especiales, serias y verdaderas garantías de protección a la información y más
la que se almacena en dispositivos electrónicos, como un verdadero activo del
capital de una empresa, sin olvidar la información guardada en los protocolos
digitales de los organismos del Estado.
Alexander Díaz García
Especialista en Nuevas Tecnologías y Protección de Datos
Ciencias Penales y Criminológicas
Ciencias Constitucionales y Administrativas
Juez de Control de Garantías Constitucionales