Juan Carlos Manríquez R., Abogado, LLM (CWSL, USA); Profesor LLM UC, Especialista en Derecho Penal Económico y de la Empresa (UC-LM, España), AD en Derecho Penal Internacional (Siracusa, Italia) Litigante ante la Corte Penal Internacional (La Haya, Holanda).
Una reiteración y al enfoque nacional
El derecho penal económico moderno concibe a los delitos informáticos, cibernéticos y a los crímenes contra la ciberseguridad, cuando tienen una significación económica funcional, como afectaciones a sistemas, de un gran poder expansivo, y es así que la preceptiva objetiva nacional y los criterios sobre los que se dictó la ya añosa Ley 19.223, sobre delitos informáticos, ha llegado el último tiempo “dos veces tarde” para enfrentar la criminalidad que se da en la a-espacialidad, que es la gran característica de la web cuando se trata de situar el tempus y el locci delicti.
En el ámbito de la delincuencia cibernética, más que aplicar la “sociedad del riesgo global “ (Beck: 1995), en materia del tratamiento de la información, debemos tener en cuenta que el “objeto de deseo“ hoy son los datos, los sistemas de información, las data bases que son sumamente valiosas: el dato es el nuevo petróleo, y particularmente la información financiera y la conducta del usuario, predecible luego de trackearla y procesarla usando algoritmos, Inteligencia Artificial (IA), herramientas biométricas (huellas y reconocimiento facial, FR), etc.
Esta neo-realidad no ocurre en un lugar como tradicionalmente lo concebimos. Se trata de la circulación por carreteras virtuales en que los datos se encuentran y entrelazan por miles de millones de TeraBytes por segundo.
Y es por eso que para la internet se ha tenido que ir generando necesariamente desde fuera una regulación, para que no se convierta en tierra de nadie: es lo que denominamos el Nuevo Estado de Derecho Digital 4.0. Aíi, ese “lugar” que es la web no podrá quedar entregado a las fuerzas innominadas e indómitas de cualquiera, sino que sujeto a reglas claras, precisas y universales. Aunque varios no lo quieran así.
¿Por qué regular la net?
Porque desde la Doctrina y la Ciencia se reconoce que el uso y expansión de los mecanismos del alter ego digital, anonimización, seudonimización, el block chain y otra serie de cuestiones vinculadas a la protección de datos y la ciberseguridad, hacen necesario generar reglas, límites protecciones y sanciones que permitan a los Estados y a las personas y empresas saber cómo y hasta dónde actuar en el ámbito de la seguridad y protegerse de amenazas.
También para saber dónde están los límites y sobre todo, para que los Estados y sus parlamentos sean capaces de tipificar conductas con una técnica legislativa de buena factura, y que estos tipos de ilícitos dejen de ser considerados más que simple felonías para tratarlos como verdaderos crímenes o delitos muy lesivos con efectos expansivos enormes, por ejemplo en el sistema de pensiones (pensemos en el Caso Enron en su época), aunque no sean aparentes, porque no hay sangre, y no se tomen en principio tan en serio, más aún a propósito de amenazas especialmente graves, como el ciber terrorismo, los secuestros informáticos de bases de datos, de mail; la piratería, el pillaje de datos y el robo, comercialización a competidores de secretos informáticos, etc. De ahí que sea necesario sobre esta realidad, valerse de herramientas nuevas que puedan quedar sujetas al marco normativo global, y a pesos y contrapesos, a objeto que en Chile se aplique una normatividad positiva vigente,
¿Qué ocurre en Chile? ¿Qué ha pasado con la Ley 19.223?
La Ley 19223, sobre delitos informáticos, pretende proteger, al igual que las reglas penales generales, bienes jurídicos, o sea, intereses de especial relevancia para sus titulares, en tanto sujetos, personas naturales o jurídicas dignas de protección criminal frente a conductas que los pueden dañar o poner en riesgo jurídicamente relevante.
El problema comienza ya con el bien jurídico protegido. La ley quedó demasiado sujeta al concepto tradicional de la propiedad dominical de cosas corporales, sabiendo que la información y los datos son inmateriales, y bien pueden estar alojados en bandas magnéticas, chips o iCloud de una tarjeta de débito o crédito, por lo que no son más que un conjunto de pulsos electrónicos.
De ahí que cuando se tuvo que dictar y luego aplicar la Ley 20.009, sobre uso malicioso o apoderamiento de tarjetas de crédito o débito, se generó un arduo debate: determinar si se trataba de apoderamiento de cosas muebles o no; si la tarjeta de un cajero era una llave o no y si a alguien le sustraían la tarjeta verdadera y si apoderaban de su clave y sustraían el dinero en cuenta corriente, acaso eso no era el robo, en lugar cerrado con ingreso con llave verdadera sustraída del art. 440 del Código Penal.
Ante la realidad y el avance tecnológico es que nos hemos ido dando cuenta el nivel de insuficiencia de esta preceptiva para tratar con estos problemas tan reales, nuevos y acuciantes, al no dar las respuestas adecuadas. Así, ¿La banda magnética? ¿La tarjeta? ¿La clave? ¿El mecanismo Touchless? ¿El medio Bluetooth? ¿El cajero sobre el cual recae la digitación de la clave? Cuál es el objeto de ataque y cuál el objeto material y/o el objeto jurídico protegido en la norma? ¿O se trata de tipos pluri ofensivos?
Nada de lo que interesa apropiarse a los hechores es una cosa corporal mueble allí. Entonces, si no es así el hurto del 432 del CP, el robo del 436 y del 440 del CP quedan completamente desplazados. (Gómez Mieres).
La ley 19. 223 buscó proteger un “nuevo” bien jurídico, surgido a propósito de las tecnologías computacionales y ese bien jurídico sería la calidad y la pureza de la información en cuanto tal, ya que no es la propiedad corporal mueble, pasa a ser la idoneidad de la información, y en otros casos, la integridad del sistema automatizado de tratamiento de la misma y de los productos que de su operación se obtengan. La Prof. Laura Mayer se ha hecho cargo el asunto del bien protegido.(https://scielo.conicyt.cl/scielo.php?script=sci_arttext&pid=S0718-34372017000100011).
En 4 artículos se definieron diversas formas de delito informático, que como dicen los autores “son todas aquellas acciones u omisiones, típicas antijurídicas y dolosas, cometidas ya sea todos o aislados contra personas naturales o jurídicas, que se realizan con uso de un sistema de tratamiento de información destinadas al perjuicio de la víctima.” (Huerta y Líbano: 1996).
¿A través de qué? De atentados a la tecnología informática, lo cual normalmente va a producir daños colaterales, lesiones de carácter patrimonial, con tal que se actúe con ánimo de lucro, o solo por dañar, o por injerir en un ámbito de protección y privacidad ajena y apoderase o destruir los datos que allí están etc.
Pero los dos grupos de ilícitos que contiene la ley:
- a)El primero es sabotaje informático,
- b)El segundo dice relación con espionaje informático, y a su vez se dividen en dos categorías distintas:
i.- Atendiendo al objeto al que se atenta, o
ii.- Al modo de operación.
Han sido insuficientes para el caso de secuestro de datos o ransomware que afecta a BancoEstado.
¿Qué debemos hacer?
Además de una verdadera política integral de ciberseguridad, votar la ley que acoge el Convenio de Budapest para el ordenamiento jurídico nacional, que sustituye la Ley 19.223 e incorpora nuevas herramientas de tipicidad, persecución y descubrimiento de estos ilícitos económicos modernos.
Las actuales formas de fraude de identidad o de malware, e incluso el caso del Garbaging (robo de la información que entrega la basura), que ejemplifico como el “Crimen del Pingüino” (el archienemigo de Batman, que se hizo poderoso y rico recolectando en las esclusas y túneles subterráneos donde vivía, la información destruida por los influyentes de Gótica, para luego extorsionarlos), no pueden pesquisar con eficiencia.
Todas estas figuras de sabotaje informático, de acceso no autorizado, etc, han quedado atrasadas y también los tipos penales de la Ley 19. 223. Los invito particularmente a ver el FBI Report y el Europol Report 2020 en la materia. (FBI Report: https://www.justice.gov/elderjustice/internet-crimes).
Por eso, en el Programa Derecho, Ciencia y Tecnología de la UC abordamos con mucho detalle, días antes del delito que afecta a BancoEstado, y en el contexto del Diplomado en Protección de Datos, estos asuntos tan actuales que el Parlamento debiera votar con suma urgencia, pues la tramitación legislativa está agotada.