Geraldine Díaz Barón
Abogada de Miguel González Sánchez & Abogados Asociados.

El derecho penal ha experimentado una evolución significativa frente a los desafíos que plantea el desarrollo de las nuevas tecnologías, permitiendo la configuración de diversas conductas delictivas que se materializan en entornos digitales. Bajo este contexto, la Ley 1273 de 2009 introdujo al Código Penal los denominados “delitos informáticos”, tipificados en el “título VII bis. De la protección de la información y de los datos”, los cuales se desarrollan desde el artículo 269A hasta el artículo 269J.

No obstante, a pesar de que han transcurrido casi 16 años desde su entrada en vigor, la eficacia en la judicialización de estos delitos continúa siendo limitada. La creciente incidencia de conductas punibles en el ámbito digital contrasta con la baja proporción de casos que efectivamente terminan en una sentencia judicial. Esta situación pone en evidencia deficiencias estructurales en la capacidad del sistema penal para prevenir, investigar y sancionar de manera oportuna y efectiva la ciberdelincuencia, lo cual afecta no solo la credibilidad en las autoridades respectivas, sino también la garantía de los derechos fundamentales de las víctimas.

Entendiéndose, en primer lugar, que la prevención “… no deberá ser, únicamente, el evitar que el delito se cometa sino también que los efectos de éste se propaguen por el ciberespacio afectando no sólo al primer destinatario del ataque sino a muchos más”[1]. En lo que respecta a la etapa investigativa, se ha identificado una serie de dificultades sustanciales que afectan directamente la eficacia de la labor de los fiscales, funcionarios de policía judicial y auxiliares que intervienen en el proceso penal, quienes enfrentan como principal reto la adecuada preservación, recolección y aseguramiento de los elementos materiales probatorios y la evidencia digital.

Estas limitaciones obedecen, en gran medida, a la carencia de conocimientos técnicos especializados en áreas relacionadas con la informática, seguridad de la información, análisis de datos digitales, entre otros, lo cual impide, en muchas casos, la correcta identificación, extracción, tratamiento y valorización de la información relevante para el esclarecimiento de los hechos, y, en cuanto a la fase de la sanción, se observa que no existen muchas decisiones de relevancia en estos tipos penales, ya que de las pocas condenas que se profieren casi ninguna llega a conocimiento de la Corte Suprema de Justicia mediante el recurso de casación, impugnación especial o doble conformidad.

Ahora bien, en el marco de los delitos informáticos tipificados en el Código Penal, se encuentra específicamente el tipo penal de violación de datos personales, consagrado en el artículo 269F. Esta disposición normativa plantea diversos problemas jurídicos, destacándose, en primer lugar, la vaguedad del elemento normativo, concretamente el apartado de: “sin estar facultado para ello”, toda vez que la norma no precisa el alcance de dicha expresión ni determina cuáles son las fuentes normativas que contienen tal facultad. Esta ambigüedad genera múltiples interpretaciones y vulnera el principio de nullum crimen, nulla poena sine lege, por lo que se omite, además, el hecho de considerar las diferencias entre las categorías de datos personales, como lo son los datos públicos, semiprivados, privados y sensibles, tal como lo establece la Ley 1581 de 2012 (Ley de Protección de Datos Personales), donde señala en su artículo 10 que no se requiere autorización del titular para el tratamiento de datos públicos y, en concordancia con lo mencionado en la jurisprudencia de la Sala Penal de la Corte Suprema de Justicia[2], este delito no hace distinción alguna y puede configurarse incluso sobre datos personales públicos, lo cual resulta problemático.

En este sentido, si el tratamiento de estos datos es legalmente permitido sin autorización previa, no debería considerarse una conducta típica en el marco del artículo 269F, ya que se configuraría una atipicidad por falta de antijuridicidad material, al no infringirse ningún bien jurídico protegido.

El tipo penal no especifica si el tratamiento de los datos personales es legítimo o ilegítimo, tampoco si el beneficio obtenido es en sí ilícito. Así, el solo hecho de tratar datos con algún provecho personal puede llevar a una sanción penal, incluso cuando el uso de dichos datos no vulnere los derechos fundamentales de su titular. Esto genera un riesgo de penalización excesiva de conductas que, aunque puedan ser éticamente reprochables, no alcanzan un nivel suficiente de lesividad para justificar la intervención del derecho penal.

En igual medida, puede indicarse que en el caso de que los datos no estén almacenados en bases de datos o medios semejantes, el tipo penal no aplica, lo que lleva a una posible atipicidad, aunque el bien jurídico protegido, en este contexto la protección de la información y de los datos, haya sido igualmente vulnerado. En tales casos, se podría encuadrar la conducta bajo otros delitos como, por ejemplo, la interceptación de datos informáticos, cuando se intercepte datos de forma no autorizada sin orden judicial o el delito de violación ilícita de comunicaciones, cuando la información personal se obtiene mediante la interceptación de comunicaciones privadas, aun si no está en un sistema de almacenamiento, lo cual genera inseguridad jurídica y vacíos punitivos.

Ante las ambigüedades y limitaciones identificadas, cobra importancia que se realice una revisión y reforma legislativa al tipo penal, delimitando la aplicación en los tipos de datos personales protegidos e incluyendo la exclusión de la tipicidad en el tratamiento de datos públicos, así mismo, la incorporación de un dolo especifico, que exija no solo el ánimo de obtener un provecho, sino que dicho provecho sea ilícito, para evitar penalizar conductas que van acorde con la legalidad o el interés público.

En concordancia, se debe ampliar el tipo penal, con el fin de garantizar la protección de la información personal en cualquier entorno digital, sin limitarse únicamente a bases de datos, ficheros o archivos formales.

Gracias por leernos. Si le gusta estar informado, suscríbase y acceda a todas nuestras noticias, los datos identificadores y los documentos sin límites.

Siga nuestro canal de WhatsApp