2. LA NUEVA LEY DE DELITOS INFORMÁTICOS
El delito informático es el que va contra el bien jurídico: información; y el delito por medio
informático es aquel que utiliza las TICs para afectar otro bien jurídico protegido, diferente a la
información. En esta medida, el nombre de la norma no es el más pertinente puesto que
confunde medio con fin. En este sentido se expresa el Informe del grupo de trabajo sobre
marco regulatorio de sociedad de la información de la estrategia eLAC sobre Sociedad de la
Información en América Latina - "Estado situacional y perspectivas del derecho informático en
América Latina y el Caribe" (pag 17 y ss)
Sin embargo la denominación de "Ley de Delitos Informáticos" refleja cual era la
intencionalidad de la norma, la misma que no se ve reflejada por ejemplo en los artículos que
son de informática forense para la persecución de delitos, en tal caso no es una norma sobre
delitos sino sobre persecución de delitos por medios informáticos.
El Documento de Trabajo de la Meta 25 eLAC2007: Regulación en la Sociedad de la
Información en América Latina y el Caribe. Propuestas normativas sobre privacidad y
protección de datos y delitos informáticos y por medio electrónicos, también mantiene la idea
de normativas separadas en materia de delitos informáticos y delitos por medios informáticos,
así como la creación y fortalecimiento de CERTs y la adhesión al Acuerdo de Budapest, antes
de ejercicios normativos que puedan generar islas de regulación en el contexto de procesos
regionales de armonización normativa.
3. FINALIDAD Y OBJETO DE LA LEY
Artículo 1. Objeto de la Ley
La presente Ley tiene por objeto prevenir y sancionar las conductas ilícitas que
afectan los sistemas y datos informáticos y otros bienes jurídicos de relevancia
penal, cometidos mediante la utilización de tecnologías de la información o de la
comunicación, con la finalidad de garantizar la lucha eficaz contra la
ciberdelincuencia.
La legislación vigente en el Perú contempla los artículos 207A, 207B y 207C como
delitos informáticos, incorporados a la legislación penal en el año 2000. Pero desde
la creación del código penal hasta la fecha se tienen y se han incorporado diversos
artículos sobre delitos por medios informáticos o utilización de medios informáticos
(incluidas las TICs) para la comisión de delitos.
Esta autógrafa deroga los artículos 207A, 207B, 207C y 207D (incorporado en el
Codigo Penal hace tan solo un par de semanas por la ley 30076), replanteandolos,
pero ademas incorpora nuevas tipificaciones que tendrán que coexistir con la gama
de artículos ya incorporados al código penal sobre delitos por medios de TICs que
se mantienen vigentes. Es decir se ha aumentado la profusión de normas en lugar
de crear, si esta era la intensión de la regulación un solo cuerpo ordenado en estas
materias, armonizado con regulaciones internacionales.
4. El que accede sin autorización a todo o en parte de un sistema informático,
CAPITULO II
siempre que se realice DELITOS CONTRA con vulneración DATOS Y SISTEMAS de INFORMATICOS
medidas de seguridad establecidas
para impedirlo, será reprimido Artículo con 2. Acceso pena ilícito
privativa de libertad no menor de uno ni
mayor de cuatro años y con treinta a noventa días-multa.
Será reprimido con la misma pena, el que accede a un sistema informático
excediendo lo autorizado.
La legislación vigente de intrusismo informático es el "Artículo 207-A.- El que
utiliza o ingresa indebidamente a una base de datos, sistema o red de
computadoras o cualquier parte de la misma, para diseñar, ejecutar o alterar un
esquema u otro similar, o para interferir, interceptar, acceder o copiar información
en tránsito o contenida en una base de datos, será reprimido con pena privativa
de libertad no mayor de dos años o con prestación de servicios comunitarios de
cincuentidós a ciento cuatro jornadas.
Si el agente actuó con el fin de obtener un beneficio económico, será reprimido
con pena privativa de libertad no mayor de tres años o con prestación de
servicios comunitarios no menor de ciento cuatro jornadas."
5. Artículo 3. Atentado a la integridad de datos informáticos
El que, a través de las tecnologías de la información o de la comunicación,
introduce, borra, deteriora, altera, suprime o hace inaccesibles datos
informáticos, será reprimido con pena privativa de libertad no menor de tres ni
mayor de seis años y con ochenta a ciento veinte días-multa.
El Acuerdo de Budapest indica: "Articulo 4. Ataques a la integridad de los
datos
1. Cada Parte adoptará las medidas legislativas y de otro tipo que resulten
necesarias para tipificar como delito en su derecho interno todo acto
deliberado e ilegítimo que dañe, borre, deteriore, altere o suprima datos
informáticos.
2. Las Partes podrán reservarse el derecho a exigir que los actos definidos en
el párrafo 1 comporten daños graves"
6. Artículo 4. Atentado a la integridad de sistemas
informáticos
El que, a través de las tecnologías de la información o de la
comunicación, inutiliza, total o parcialmente, un sistema
informático, impide el acceso a este, entorpece o
imposibilita su funcionamiento o la prestación de sus
servicios, será reprimido con pena privativa de libertad no
menor de tres ni mayor de seis años y con ochenta a ciento
veinte días multa.
El Acuerdo de Budapest indica: "Artículo 5. Ataques a la
integridad del sistema
Cada Parte adoptará las medidas legislativas y de otro tipo
que resulten necesarias para tipificar como delito en su
derecho interno la obstaculización grave, deliberada e
ilegítima del funcionamiento de un sistema informático
mediante la introducción, transmisión, daño, borrado,
deterioro, alteración o supresión de datos informáticos"
7. DELITOS INFORMATICOS CONTRA LA INDEMNIDAD Y
LIBERTAD SEXUALES
Artículo 5. Proposiciones a niños, niñas y adolescentes con
fines sexuales por medios tecnológicos.
El que, a través de las tecnologías de la información o de la
comunicación, contacta con un menor de catorce años para
solicitar u obtener de él material pornográfico, o para llevar a cabo
actividades sexuales con el, será reprimido con una pena privativa
de libertad no menor de cuatro ni mayor de ocho años e
inhabilitación conforme a los numerales 1,2 y 4 del artículo 36 del
Código Penal.
Cuando la víctima tiene entre catorce y menos de dieciocho años
de edad y medie engaño, la pena será no menor de tres ni mayor
de seis años e inhabilitación conforme a los numerales 1,2 y 4 del
artículo 36 del Código Penal.
8. CAPITULO IV
DELITOS INFORMATICOS COTRA LA INTIMIDAD Y EL SECRETO DE LAS COMUNICACIONES
Artículo 6. Tráfico ilegal de datos
El que, crea, ingresa, o utiliza indebidamente una base de datos sobre una
persona natural o jurídica, identificada o identificable, para comercializar, traficar,
vender, promover, favorecer o facilitar información relativa a cualquier ámbito de
la esfera personal, familiar, patrimonial, laboral, financiera y otro de naturaleza
análoga, creando o no perjuicio, será reprimido con pena privativa de libertad no
menor de tres ni mayor de cinco años.
Este artículo ya estaba incorporado en la legislación (y se encuentra vigente) por
medio del artículo 2 de la Ley 30076 (se incorporó como artículo 207D)
En su momento presentamos comentarios a esta propuesta del Congresista
Delgado, teniendo en consideración que esto es una violación a la Privacidad y
no debería haberse incorporado como Delito Informático, dado que el delito no es
sobre información sino sobre los datos personales, que se debe enmarcar en la
legislación de protección de Datos Personales.
9. Artículo 7. Interceptación de datos informáticos
El que, a través de las tecnologías de la información o de la
comunicación, intercepta datos informáticos en transmisiones
no publicas, dirigidas a un sistema informático, originadas en
un sistema informático o efectuadas dentro del mismo,
incluidas las emisiones electromagnéticas provenientes de un
sistema informático que transporte dichos datos informáticos,
será reprimido con una pena privativa de libertad no menor de
tres ni mayor de seis años.
La pena privativa de la libertad será no menor de cinco ni
mayor de ocho años cuando el delito recaiga sobre
información clasificada como secreta, reservada o confidencial
de conformidad con las normas de la materia.
La pena privativa de libertad será no menor de ocho ni mayor
de diez cuando el delito comprometa la defensa, seguridad o
soberanía nacionales.
10. CAPITULO V
DELITOS INFORMATICOS CONTRA EL PATRIMONIO
Artículo 8. Fraude informático
El que, a través de las tecnologías de la información o de la comunicación,
procura para si o para otro un provecho ilícito en perjuicio de tercero,
mediante el diseño, introducción, alteración, borrado, supresión, clonación
de datos informáticos o cualquier interferencia o manipulación en el
funcionamiento de un sistema informático, será reprimido con una pena
privativa de libertad no menor de tres ni mayor de ocho años y con sesenta
a ciento veinte días-multa.
La pena será privativa de libertad no menor de cinco ni mayor de diez años
y de ochenta a ciento cuarenta días-multa cuando se afecte el patrimonio
del Estado destinado a fines asistenciales o a programas de apoyo social.
11. CAPITULO VI
DELITOS INFORMATICOS CONTRA LA FE PUBLICA
Artículo 9. Suplantación de identidad
El que, mediante las tecnologías de la información o de la comunicación
suplanta la identidad de una persona natural o jurídica, siempre que de dicha
conducta resulte algún perjuicio, será reprimido con pena privativa de libertad
no menor de tres ni mayor de cinco años.
El artículo plantea que una suplantación sin perjuicio no configura delito. El
mismo hecho de una suplantación ya configura un perjuicio y el tema de la
protección de la identidad ya se tiene en el espacio del derecho civil:
"Artículo 28.- Nadie puede usar nombre que no le corresponde. El que es
perjudicado por la usurpación de su nombre tiene acción para hacerla cesar
y obtener la indemnización que corresponda."
12. CAPITULO VII
DISPOSICIONES COMUNES
Artículo 10. Abuso de mecanismos y dispositivos
informáticos
El que fabrica, diseña, desarrolla, vende, facilita,
distribuye, importa u obtiene para su utilización, uno o mas
mecanismos, programas informáticos, dispositivos,
contraseñas, códigos de acceso o cualquier otro dato
informático, específicamente diseñados para la comisión
de los delitos previstos en la presente Ley, o el que ofrece
o presta servicio que contribuya a ese propósito, será
reprimido con pena privativa de libertad no menor de uno
ni mayor de cuatro años y con treinta a noventa días-multa.
13. Artículo 11. Agravantes
El juez aumenta la pena privativa de libertad hasta en un tercio por encima
del máximo legal fijado para cualquiera de los delitos previstos en la
presente Ley, cuando:
1. El agente comité el delito en calidad de integrante de una organización
criminal.
2. El agente comete el delito mediante el abuso de una posición especial
de acceso a la data o información reservada o al conocimiento de esta
información en razón del ejercicio de un cargo o función.
3. El agente comete el delito con el fin de obtener un beneficio económico,
salvo en los delitos que prevén dicha circunstancia.
4. El delito compromete fines asistenciales, la defensa, seguridad y
soberanías nacionales.
Ciertamente que los agravantes tendrán que analizarse a la luz de las
posibles modificaciones a los artículos de derecho penal sustantivo.
14. CONTROVERSIA GENERADA POR LA
NUEVA LEY DE DELITOS INFORMÁTICOS
CRÍTICAS
Probablemente, en estos momentos, varias personas están violando la ley, a
consecuencia de las inconsistencias y ambigüedades de su texto.
Pese a que se insistió en que se desarrolle un amplio debate sobre el tema y que
especialistas en tecnologías de la información y comunicación participen en su
modificación, el presidente Ollanta Humala promulgó la Ley de Delitos Informáticos .
No solo la libertad de expresión está en peligro con esta ley, que entra a vigencia a
partir de este miércoles 23 de octubre, la regulación del uso de la Internet es un factor
importante que se vería afectado.
“La forma en la que se ha aprobado esta ley sienta un precedente nefasto para
nuestro país. Que el Congreso haya decidido cambiar completamente el texto de un
proyecto de ley y aprobarlo sin discusión en menos de cinco horas demuestra lo poco
que respetan la opinión de la sociedad civil”, indicó Miguel Morachimo , director de la
ONG Hiperderecho.
15. LIBERTAD DE EXPRESIÓN EN RIESGO
La ley se aprovechó para añadir una modificación al artículo
162 del Código Penal, referido a la intercepción telefónica.
Básicamente, la crítica a este punto va porque cuando el
Congreso aprobó la ley mordaza de Javier Bedoya, en enero
del 2012, el Gobierno la observó y recomendó añadir la
excepción de interés público. Sin embargo, en este dictamen
elaborado en base a la propuesta del Ministerio de Justicia , no
se incluye esta excepción, y solo se aumenta el delito cuando la
información sea secreta, confidencial o compromete la defensa
o seguridad nacional.
16. BORRAR ARCHIVOS DE OTRA PERSONA
Asimismo, la legislación castiga con hasta seis años de prisión a aquel que
“ introduce, borra, deteriora, altera, suprime o hace inaccesibles datos informáticos ”
de otra persona sin su consentimiento o permiso.
“No es lo mismo borrar un simple documento que acceder a la información de la
defensa nacional, allí es cuando el juez tendrá que ver qué pena se pone. Con el
Código Penal, ya se castiga esta acción. Lo dice Budapest y lo tienen varios países”,
refirió José Luis Medina del Ministerio de Justicia.
Sin embargo, el especialista Erick Iriarte advirtió que se han cambiado términos del
Convenio de Budapest, tratado internacional sobre cybercrimen al cual el Perú no ha
logrado adherirse, y no existe un glosario para entender a qué se refiere la ley con
tecnologías de la información o comunicación, porque hasta “para algunos, en TIC, se
incluye el teléfono, el telégrafo o los dos”.
17. EL HACKING ÉTICO PUEDE SER DELITO
Uno de los artículos de esta ley es el referente a la tipificación como
delito del acto de fabricar, diseñar, desarrollar o utilizar un software
de hacking, con un castigo de hasta cuatro años de prisión. El
Convenio de Budapest también tiene una norma similar, pero
incluye la excepción expresa que no es delito cuando la persona
realiza un hacking ético o una prueba de vulnerabilidad para
detectar los vacíos que pueda tener un sistema informático.
“Pudo haberse establecido la excepción, pero consideramos que no
era necesario, porque el Código Penal ya tiene reglas generales
sobre el tema. Entiendo la preocupación de todos, pero no hay por
qué preocuparse”, aseguró Medina.
18. UTILIZACIÓN DE UNA BASE DE DATOS
En otro artículo de la ley, se condena con hasta cinco
años de prisión a la persona que crea, ingresa, o utiliza
indebidamente una base de datos. Sin embargo, el texto
es ambiguo y hasta una simple lista de contactos puede
verse involucrada.
Medina comentó que esta parte ya se encuentra en el
Código Penal y lo único que se ha hecho es agruparla en
este dictamen. Sin embargo, reconoció las
inconsistencias.
“La redacción no es muy feliz, pudo ser mejor, yo la
hubiera corregido, pero bueno, así fue, así lo plantearon
en el Congreso”, manifestó.
19. DISCRIMINACIÓN EN INTERNET
Por otro lado, la discriminación de por sí es un delito establecido en el Código
Penal, sin embargo, este legislación plantea añadir a la ley la modalidad a través
de las tecnologías de la información o de la comunicación, llegando a castigar
hasta con cuatro años de prisión, misma pena que la violencia por discriminación.
“Si yo escribo algo en contra o a favor de la unión civil, la otra persona puede decir
que lo estoy discriminando. La ligereza del texto choca contra la libertad de
expresión”, comentó Miguel Morachimo.
20. ACOSAR POR INTERNET ES DELITO, EN PERSONA NO LO ES
Otro punto cuestionado es la inclusión del ‘grooming’ como delito. Si
bien la ley castiga el acoso de menores por Internet, el acoso
presencial no está tipificado en el Código Penal, abriendo todo un
vacío legal.
Los adultos que propongan, vía Internet, a un menor de edad tener
relaciones sexuales o que se desvista serán condenados a prisión
hasta a ocho años de prisión.
21. VENTAJAS
Tenemos la suerte de haber ido desarrollando normativa que da la posibilidades
de crecer en la Sociedad de la Información, para utilizar sus ventajas para el
desarrollo del Perú, normativas sobre firma digital, manifestación de la voluntad
por medios electrónicos, seguridad de la información, protección de datos
personales, lucha contra el spam, contra la pornografía infantil, sobre acceso a la
información pública, sobre portales de transparencia, y la recientemente
aprobada por el Pleno del Congreso, la ley de promoción de la banda ancha,
entre muchas que dan el marco para una Sociedad de la Información.
Sin embargo, y a pesar que diversos espacios de dialogo internacionales (como
la Asamblea de Naciones Unidas, WSIS y eLAC) que han venido promoviendo
diversos instrumentos como la adopción del Acuerdo de Budapest de
Cybercrimen para dar herramientas para combatir el mal uso de las Tecnologías
de la Información y la Comunicación (TICs) en el contexto de la Sociedad de la
Información, no hemos logrado avanzar de manera real y efectiva en esta área.
23. ESTADOS UNIDOS.
Este país adoptó en 1994 el Acta Federal de Abuso Computacional que modificó al
Acta de Fraude y Abuso Computacional de 1986.
Con la finalidad de eliminar los argumentos hipertécnicos acerca de qué es y que no es
un virus, un gusano, un caballo de Troya y en que difieren de los virus, la nueva acta
proscribe la transmisión de un programa, información, códigos o comandos que causan
daños a la computadora, a los sistemas informáticos, a las redes, información, datos o
programas. La nueva ley es un adelanto porque está directamente en contra de los
actos de transmisión de virus.
Asimismo, en materia de estafas electrónicas, defraudaciones y otros actos dolosos
relacionados con los dispositivos de acceso a sistemas informáticos, la legislación
estadounidense sanciona con pena de prisión y multa, a la persona que defraude a
otro mediante la utilización de una computadora o red informática.
En el mes de Julio del año 2000, el Senado y la Cámara de Representantes de este
país -tras un año largo de deliberaciones- establece el Acta de Firmas Electrónicas en
el Comercio Global y Nacional. La ley sobre la firma digital responde a la necesidad de
dar validez a documentos informáticos -mensajes electrónicos y contratos establecidos
mediante Internet- entre empresas (para el B2B) y entre empresas y consumidores
(para el B2C).
24. ALEMANIA.
Este país sancionó en 1986 la Ley contra la Criminalidad Económica, que
contempla los siguientes delitos:
1. Espionaje de datos.
2. Estafa informática.
3. Alteración de datos.
4. Sabotaje informático.
25. AUSTRIA.
La Ley de reforma del Código Penal, sancionada el 22 de
Diciembre de 1987, sanciona a aquellos que con dolo
causen un perjuicio patrimonial a un tercero influyendo en
el resultado de una elaboración de datos automática a
través de la confección del programa, por la introducción,
cancelación o alteración de datos o por actuar sobre el
curso del procesamiento de datos. Además contempla
sanciones para quienes comenten este hecho utilizando su
profesión de especialistas en sistemas.
26. GRAN BRETAÑA.
Debido a un caso de hacking en 1991, comenzó a regir en este país la
Computer Misuse Act (Ley de Abusos Informáticos). Mediante esta ley
el intento, exitoso o no, de alterar datos informáticos es penado con
hasta cinco años de prisión o multas. Esta ley tiene un apartado que
específica la modificación de datos sin autorización.
27. HOLANDA.
El 1º de Marzo de 1993 entró en vigencia la Ley de Delitos
Informáticos, en la cual se penaliza los siguientes delitos:
· El hacking.
· El preacking (utilización de servicios de telecomunicaciones
evitando el pago total o parcial de dicho servicio).
· La ingeniería social (arte de convencer a la gente de entregar
información que en circunstancias normales no entregaría).
· La distribución de virus.
28. FRANCIA.
En enero de 1988, este país dictó la Ley relativa al fraude informático, en la
que se consideran aspectos como:
· Intromisión fraudulenta que suprima o modifique datos.
· Conducta intencional en la violación de derechos a terceros que haya
impedido o alterado el funcionamiento de un sistema de procesamiento
automatizado de datos.
· Conducta intencional en la violación de derechos a terceros, en forma
directa o indirecta, en la introducción de datos en un sistema de
procesamiento automatizado o la supresión o modificación de los datos que
éste contiene, o sus modos de procesamiento o de transmisión.
· Supresión o modificación de datos contenidos en el sistema, o bien en la
alteración del funcionamiento del sistema (sabotaje).
29. ESPAÑA.
En el Nuevo Código Penal de España, se establece que al que causare daños
en propiedad ajena, se le aplicará pena de prisión o multa. En lo referente a:
· La realización por cualquier medio de destrucción, alteración, inutilización o
cualquier otro daño en los datos, programas o documentos electrónicos ajenos
contenidos en redes, soportes o sistemas informáticos.
· El nuevo Código Penal de España sanciona en forma detallada esta categoría
delictual (Violación de secretos/Espionaje/Divulgación), aplicando pena de
prisión y multa.
· En materia de estafas electrónicas, el nuevo Código Penal de España, solo
tipifica las estafas con ánimo de lucro valiéndose de alguna manipulación
informática, sin detallar las penas a aplicar en el caso de la comisión del delito.
30. CHILE.
Chile fue el primer país latinoamericano en sancionar una Ley contra
delitos informáticos, la cual entró en vigencia el 7 de junio de 1993.
Esta ley se refiere a los siguientes delitos:
· La destrucción o inutilización de los de los datos contenidos dentro
de una computadora es castigada con penas de prisión. Asimismo,
dentro de esas consideraciones se encuentran los virus.
· Conducta maliciosa tendiente a la destrucción o inutilización de un
sistema de tratamiento de información o de sus partes componentes
o que dicha conducta impida, obstaculice o modifique su
funcionamiento.
· Conducta maliciosa que altere, dañe o destruya los datos
contenidos en un sistema de tratamiento de información.