Rufino Martínez
Abogado Contreras Velozo

El pasado 26 de octubre el Ejecutivo envió un proyecto de ley en materia de Ciberseguridad, como respuesta a la necesidad de contar con una regulación pormenorizada, que se adecúe a los tiempos actuales y a los parámetros internacionales en materia de seguridad informática. Junto a esto, se comprometió el envío de un instructivo presidencial complementario.


Dichos proyectos se tornan indispensables en un mundo completamente tecnologizado, donde parece insólito que la normativa actual, contenida en la Ley N° 19.223 (de Delitos Informáticos) y promulgada en1993, se mantenga indiferente frente a la forma en que se desarrollan y evolucionan las comunicaciones y transacciones comerciales.

Con esta regulación se pretende modernizar las instituciones y conceder herramientas más efectivas en la persecución de delitos, dotando de medios concretos al Ministerio Público y a las policías. Sin ir más lejos, el proyecto faculta expresamente la interceptación de comunicaciones telefónicas -reguladas en los artículos 222 y siguientes del Código Procesal Penal- así como también autoriza la utilización de las técnicas especiales de investigación señaladas en el artículo 226 bis (fotografías, filmación, entre otros). Del mismo modo, hace extensibles para casos calificados, y contemplando la intervención del juez de Garantía, el empleo de figuras de investigación propias de la Ley 20.000 de Drogas, como entregas vigiladas y controladas y la intervención de agentes encubiertos e informantes.

En general, el proyecto recoge muchas de las definiciones y penalidades contenidas en el denominado “Convenio de Budapest sobre Ciberdelincuencia” suscrito por los países de la Unión Europea el 2001, el cual busca unificar legislaciones, facilitar la persecución de delitos y aumentar la cooperación entre naciones.

En Chile, la propuesta consagra siete tipos penales, dependiendo de la forma de comisión y de la calidad del individuo que afecta un determinado sistema informático. Las penalidades van desde el presidio menor en su grado mínimo hasta su grado máximo (61 días a cinco años de presidio).

Los delitos son los siguientes: Perturbación Informática, que requiere de dolo directo en la obstaculización del funcionamiento de un sistema informático, por medio de la alteración o supresión de datos; Acceso Ilícito, sanciona el acceso cuando se efectúe con la intencionalidad de apoderarse, usar o conocer información contenida en un sistema; Interceptación Ilícita, referida a obtención de información a través de la interferencia de transmisiones entre sistemas que no presenten la característica de ser públicos, agravando la penalidad en el caso en que la captación se efectúe a través de emisiones electromagnéticas de los dispositivos; Daño Informático, castiga la alteración, borrado o destrucción de datos cuando se provoca un serio daño a su titular; Falsificación Informática, figura que hace aplicables las penas establecidas para el delito de Falsificación de Instrumento Privado, para los casos en que las alteraciones antes descritas sean desplegadas con el propósito de tomar como verdaderos -para efectos legales- datos que no lo son; Fraude Informático, en aquellos casos en los que se utilice la información contenida en un sistema informático o se aproveche de una alteración anterior, causando un perjuicio y con el objetivo de obtener un beneficio económico para sí o para un tercero, variando en este supuesto la penalidad en razón de la extensión del valor involucrado y, finalmente, el delito de Abuso de Dispositivos, que sanciona la obtención, entrega o difusión de contraseñas y códigos de seguridad, en el contexto de los delitos de Perturbación, Acceso, Interceptación y Daño -de la misma ley- o también en el caso de la figura de uso fraudulento de tarjeta de crédito o débito.

Conjuntamente, consagra algunas condiciones particulares que eventualmente podrían atenuar o agravar la penalidad, como por ejemplo la cooperación eficaz con la investigación a fin de mitigar la responsabilidad. Asimismo, la sanción puede verse agravada ante la constatación del uso de tecnologías de encriptación de la información -para obstaculizar la acción de la justicia- y cuando el delito se comete en un contexto de abuso de una posición privilegiada o garante del sistema.

Otra de las virtudes del proyecto consiste en la consagración de definiciones expresas por parte del legislador de conceptos técnicos que en la ley anterior no habían sido establecidos, provocando construcciones jurisprudenciales posteriores, a fin de salvar vacíos evidentes. Dichos términos son los de “Datos Informáticos” y “Sistemas Informáticos”, logrando así hacer extensibles dichos conceptos a un sinnúmero de dispositivos estableciendo como único requisito común, la capacidad de efectuar un tratamiento de datos en forma automatizada.

Asimismo, y entre las novedades de mayor incidencia, se consagra la obligación para las empresas concesionarias de servicios públicos de telecomunicaciones -así como para proveedores de acceso a Internet- de proteger, preservar y conservar -ante el solo requerimiento del Ministerio Público y sin mediar autorización judicial previa- datos informáticos por un período de hasta 90 días (prorrogables eventualmente hasta 180) hasta la obtención formal de la autorización judicial, guardando absoluta reserva de la operación. Consecuencialmente establece la obligación de designar a un funcionario que cumpla con los requerimientos formulados por el Ministerio Público, otorgándole las atribuciones y facilidades técnicas para un cumplimiento expedito de esta tarea.

En este mismo ámbito, se establece la posibilidad para el Ministerio Público, ante el retardo o negativa de entrega de los antecedentes solicitados, de requerir al Juez de Garantía la autorización para el ingreso a la empresa en el domicilio en que se encuentren los sistemas informáticos para respaldarlos. En el caso en que, no obstante haber efectuado el ingreso antes descrito, no fuese posible la obtención de los datos requeridos, se contempla la posibilidad de solicitarlos nuevamente, ahora bajo apercibimiento de arresto del gerente general o representante legal. También contempla la obligación para dichas empresas y proveedores de internet, incorporada en el Código Procesal Penal por medio de la inclusión de nuevos párrafos al artículo 222, de mantener a disposición del Ministerio Público un listado y registro actualizado de datos relativos al tráfico de sus clientes, las IP de las conexiones que realicen, como también los domicilios que estos proporcionen.

Finalmente es importante destacar que los tipos penales incluidos en el proyecto serían incorporados a las conductas comprendidas en los delitos de la Ley de Responsabilidad Penal de las Personas Jurídicas (N° 20.393), a la par de otros tan relevantes como lo son el Lavado de Activos o el Cohecho, entre otros.

La discusión y eventual promulgación de estas normas sin duda constituyen un importante avance de cara a los desafíos que la informática plantea en la actualidad y en el futuro inmediato. , tanto para los usuarios de los sistemas informáticos, como para empresas relacionadas con la prestación de servicios de internet y telecomunicaciones, estableciendo para estos últimos una serie de obligaciones de reserva y mantención de datos orientados a la efectiva persecución penal de delitos y el aseguramiento de medios de prueba que requieren de un inmediato respaldo. Por otro lado, sin duda, a propósito de la discusión en el Congreso se levantarán cuestionamientos en relación a la afectación de la privacidad de los usuarios en la administración de datos personales, y hasta qué punto se está de acuerdo en conceder nuevas y mayores atribuciones al Ministerio Público que afectarán garantías individuales garantizadas constitucionalmente.