Pasar al contenido principal
03 de Octubre de 2022 /
Actualizado hace 20 minutos | ISSN: 2805-6396

Openx ID [25](728x90)

1/ 5

Noticias gratuitas restantes. Suscríbete y consulta actualidad jurídica al instante.

Especiales / Especiales

Derecho Penal y Disciplinario

Los desafíos del delito informático

24 de Mayo de 2022

143534
Imagen
Los desafíos del delito informático (Shutterstock)

Pamela Alarcón

Socia de las áreas de Penal y Compliance

Philippi Prietocarrizosa Ferrero DU & Uría (PPU)

 

Juan Carlos Forero Ramírez 

Socio de las áreas de Penal y Compliance

Philippi Prietocarrizosa Ferrero DU & Uría (PPU)

 

Paola Silva

Asociada de las áreas de Penal y Compliance

Philippi Prietocarrizosa Ferrero DU & Uría (PPU)

Han transcurrido casi 13 años desde la introducción de los delitos informáticos en el Código Penal, y la proporción de casos efectivamente juzgados es significativamente menor a la cantidad de incidentes que ocurren a diario. En el 2021, se registraron más de 48.000 denuncias por delitos informáticos, superando en un 21 % las presentadas en el 2020, año en el que, de por sí, hubo un incremento sustancial de la ciberdelincuencia por el auge del mundo digital que supuso la pandemia.

 

Sin perjuicio de la necesidad de continuar incrementando la capacidad investigativa de la Fiscalía General de la Nación y la tecnificación de la policía judicial, es necesario hacer un balance de los tipos penales actualmente consagrados, con el fin de determinar la adecuación y suficiencia de los mismos en la lucha contra la ciberdelincuencia. No debe olvidarse que los delitos informáticos, previstos en el título VII bis e introducidos con la Ley 1273 del 2009, tienen su origen en la redacción y las tendencias de ataque cibernético predominantes en el 2001, año en que se redactó la Convención de Budapest, que inspiró la referida ley.

 

Interpretaciones

 

Tomemos, por ejemplo, el delito de acceso abusivo a sistema informático, previsto en el artículo 269A del Código Penal. Sin ser un tipo penal subsidiario, esta conducta suele imputarse en la mayoría de los casos de ciberdelincuencia, pues consagra la puerta de entrada a través de la cual se comete gran parte de las demás: por lo general, es un medio para un fin.

 

A diferencia de otros países, en Colombia, el delito de acceso abusivo a sistema informático no requiere de un dolo especial, circunstancia que le permite cobijar más comportamientos, no siendo necesario que el sujeto activo persiga una finalidad específica.

 

Sin embargo, el delito presenta un vacío interpretativo que no ha sido objeto de discusión por la jurisprudencia. El artículo 269A dispone que incurrirá en prisión el que, sin autorización o por fuera de lo acordado, acceda en todo o en parte a un sistema informático protegido o no con una medida de seguridad, o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo. El elemento normativo puede interpretarse de dos maneras, cada una con consecuencias jurídico-penales distintas.

 

Por un lado, puede interpretarse en el entendido de que se reprocha el acto de introducirse en un sistema informático sin autorización o que, teniéndola, se accede a una parte del sistema a la que no se tiene acceso. Bajo este punto de vista, si, por ejemplo, un empleado de una empresa que tenga acceso a los datos de determinado número de clientes por razón de su cargo accede para alterar o valerse de los mismos de forma ilícita (actividad que no estaría autorizada por su contrato), no estaría incurriendo en la conducta del artículo 269A, porque por su cargo el acceso per se es legítimo, con independencia del fin que se proponga. Cosa distinta sería si dicho empleado accede a parte del sistema donde no se le ha otorgado acceso (por ejemplo, el área de cartera).

 

Por aplicación del principio de favorabilidad y a falta de distinción, esta debería ser la interpretación por acoger.

 

Una segunda interpretación implicaría reconocer que la expresión “sin autorización o por fuera de lo acordado” supone una autorización para determinado fin. De este modo, la autorización de acceso que haría la conducta típica o atípica no se limita a decir que el agente puede acceder “sí o no”, sino que el agente puede acceder para hacer “a, b y c”, pero no para hacer “x, y, o z”. Esta alternativa permitiría castigar, vía artículo 269A, a quien se aprovecha de una autorización de acceso a un sistema para realizar conductas desautorizadas.

 

Violación de datos personales

 

Otro ejemplo es el delito de violación de datos personales (art. 269F), que consagra múltiples conductas que solo son típicamente relevantes en la medida en que recaigan sobre datos personales almacenados en ficheros, bases de datos o semejantes. Si la conducta recae sobre datos no contenidos en ninguno de estos medios o datos que, estándolo, no sean datos personales, la conducta es atípica. En tal evento, debe analizarse si los hechos del caso son suficientes para encuadrarse en el delito de interceptación de datos informáticos o, en su defecto, el de violación de comunicaciones.

 

Por otra parte, el delito señala que incurrirá en prisión el que “sin estar facultado para ello” ejecute las conductas tipificadas. No obstante, no distingue si estas recaen sobre todos o algunas clases de datos personales: públicos, semiprivados, privados o sensibles.

 

La Sala de Casación Penal de la Corte Suprema de Justicia ha sostenido que, dado que la norma no hace distinción, el delito de violación de datos personales puede tener lugar, incluso, cuando se trata de datos personales públicos (Rad. 36.208, mayo 16/12). Esta postura, como mínimo, es debatible, y a falta de una urgida precisión legislativa, el artículo 269F es susceptible de interpretación.

 

El artículo 10 de la Ley 1581 del 2012 señala textualmente que no se requiere autorización del titular para el tratamiento de datos públicos. Sería lógico concluir que quien no requiere autorización para tratar datos personales públicos está, de entrada, facultado para ello, con independencia de que esto le reporte beneficio. No requerir autorización, automáticamente, hace la conducta de tratar datos personales públicos atípica, por ausencia del elemento normativo, de acuerdo con el cual, para incurrir en el delito es indispensable no estar facultado.

 

Ahora bien, cosa distinta es que la finalidad que persiga quien realiza el tratamiento de datos personales de carácter público no sea lícita: una cosa es no estar facultado y otra muy distinta es que, estándolo, se persiga una finalidad ilícita. Mientras que lo primero constituye un elemento normativo, lo segundo constituye un elemento subjetivo especial del tipo objetivo. Ninguno de los dos puede entenderse incorporado por simple interpretación, siendo necesario que el legislador los tipifique explícitamente, so pena de violación al principio de legalidad en materia penal.

 

El artículo 269F no consagra un dolo especial, sino que incluye la necesidad de que la conducta se ejecute “con provecho propio o de un tercero”. No obstante, quien trata datos personales públicos aun cuando ello le reporte beneficio, no actúa, necesariamente, con una finalidad ilícita. Así, el artículo 269F presenta un vacío legal que le urge aclarar al legislador para evitar nichos de impunidad y condenas injustas que pudieren haberse proferido, por lo menos en lo que respecta a datos públicos.

 

Tipos penales actuales

 

Es clara, entonces, la necesidad de realizar un estudio juicioso de todas aquellas “tendencias” que han surgido con posterioridad a la Ley 1273 del 2009, con el fin de revisar si las particularidades de aquellas se acomodan a los tipos penales actuales o si, por el contrario, la innovación del delincuente informático ha sido tal que los moldes del Código Penal no resulten suficientes para luchar de manera efectiva y eficiente contra la ciberdelincuencia. De nada sirve una fuerza investigativa altamente calificada, si los tipos penales no se adaptan al dinamismo y la complejidad que caracterizan las tácticas utilizadas por delincuentes informáticos para afectar la información y los datos.

 

Con frecuencia, se dice que el Derecho siempre llega tarde a su cita con la realidad, pero si existen escenarios frente a los cuales el Derecho siempre ha estado un paso (o varios) atrás, sin duda, son aquellos asociados con desarrollos tecnológicos que, como el internet, la inteligencia artificial y el internet de las cosas, en su momento, eran ciencia ficción y hoy son realidad.

 

Mientras tanto, desde el sector privado es necesario seguir reforzando las barreras tecnológicas y los controles internos para evitar ser víctimas de estos delitos. Procesos tecnológicos y digitales, como la verificación de identidad digital (onboarding), cada vez se hacen más necesarios.

Opina, Comenta

Openx inferior flotante [28](728x90)

Openx entre contenido [29](728x110)