Comentarios a la Aut贸grafa de Ley de Delitos Inform谩ticos

Referencia: Comentarios a la Autógrafa de Ley de Delitos Informáticos

Lima, 16 de Septiembre 2013

Sr. Ollanta Humala Tasso, Presidente de la República del Perú
Sr. Freddy Otárola, Presidente del Congreso de la Republica del Perú
Sr. Enrique Mendoza, Presidente del Poder Judicial
Sr. Juan Jimenez Mayor, Presidente del Consejo de Ministros
Sr.  Daniel Figallo Rivadeneyra, Ministro de Justicia y Derechos Humanos
Sr. Juan Carlos Eguren Neuenschwander, Presidente de la Comisión de Justicia y Derechos Humanos, Congreso de la República

De mi mayor consideración

Por medio de la presente, tengo a bien enviarle los siguientes comentarios en referencia  la autógrafa de la denominada Ley de Delitos Informáticos, que el Congreso de la República aprobara el día 12 de Septiembre pasado.

Los mismos reflejan una posición critica y sustentada al proyecto, que analizo de manera pormenorizada en la presente misiva, dando asimismo argumentos para observarla en el contexto de la necesidad de un adecuado dialogo en el contexto de una institucionalización de políticas de sociedad de la información en el Perú y de la generación de una entidad que coordine esfuerzos, proyectos, políticas y regulaciones de manera armónica a nivel nacional y en el contexto internacional.

La presente tiene dos partes, la primera es un análisis de la autógrafa y la segunda la argumentación general sobre la regulación de cibercrimen en Perú.

I. Análisis Autografa de Ley de Delitos Informáticos

En cursiva se encuentra el texto de la autógrafa y en texto normal nuestro análisis.

Dictamen recaído en los Proyectos de Ley 034/2001-CR, 307/2011-CR, 1257/2011-CR, 2112/2012-CR, 2482/2012-CR y 2520/2012-PE, con un texto sustitutorio por el que se propone la Ley de Delitos Informáticos.

El dictamen que paso al Pleno, también fue denominado #leybeingolea, e integraba los proyectos 034/2001-CR (del Congresista Eguren), 307/2011-CR (del Congresista Octavio Salazar) y 1136/2011-CR (del Congresista Tomas Zamudio).  Sobre este dictamen remitimos a la Comisión de Justicia y a la Presidencia del Congreso esta carta.

En el Pleno se añadieron los Proyectos 1257/2011-CR (del Congresista Tomas Zamudio), 2112/2012-CR (del Congresista Renzo Reggiardo), 2482/2012-CR (de la Congresista Julia Teves) y 2520/2012-PE (presentado por el Poder Ejecutivo unos días después del audio del Ministro Cateriano, tal como se indica en la presente nota, aunque era conocido que el texto del proyecto sin la modificación al artículo 162, ya estaba preparado y se habías estado trabajando por el Ministerio de Justicia). 

Lo cierto es que estos proyectos se añadieron directamente en el Pleno, sin debate en Comisión, más con el proyecto del Ejecutivo, que el Congresista Omar Chehade, presidente de la Comisión de Constitución pidiera se sumara al dictamen, lo cual genera una primera pregunta sustancial: ¿Cómo en poco mas de 5 horas se puede hacer un análisis e integración de diversos proyectos por medio de un cuarto intermedio sin debate por comisión? La segunda pregunta a hacerse es ¿Esta es la forma como se incorporarán los proyectos del ejecutivo sin pasar por debate de comisiones y "añadirse" en el pleno por medio de una negociación de texto?

Texto Sustitutorio

El Congreso de la Republica

Ha dado la Ley siguiente:

LEY DE DELITOS INFORMATICOS

El delito informático es el que va contra el bien jurídico información y el delito por medio informático es aquel que utiliza las TICs para afectar otro bien jurídico protegido, diferente a la información. En esta medida, el nombre de la norma no es el más pertinente puesto que confunde medio con fin. En este sentido se expresa el Informe  del grupo de trabajo sobre marco regulatorio de sociedad de la información de la estrategia eLAC sobre Sociedad de la Información en América Latina - "Estado situacional y perspectivas del derecho informático en América Latina y el Caribe" (pag 17 y ss)

Sin embargo la denominación de "Ley de Delitos Informáticos" refleja cual era la intencionalidad de la norma, la misma que no se ve reflejada por ejemplo en los artículos que son de informática forense para la persecución de delitos, en tal caso no es una norma sobre delitos sino sobre persecución de delitos por medios informáticos.

El Documento de Trabajo de la Meta 25 eLAC2007: Regulación en la Sociedad de la Información en America Latina y el Caribe. Propuestas normativas sobre privacidad y protección de datos y delitos informáticos y por medio electrónicos, también mantiene la idea de normativas separadas en materia de delitos informáticos y delitos por medios informáticos, así como la creación y fortalecimiento de CERTs y la adhesión al Acuerdo de Budapest, antes de ejercicios normativos que puedan generar islas de regulación en el contexto de procesos regionales de armonización normativa.

Si la idea es crear tipos penales para que jueces y fiscales no tengan excusa de entender que los medios son solo medios y no alteran los delitos, es quizás la menos adecuada la forma propuesta, dado que al darle un peso específico a la tecnología como modificante de un tipo penal, lo que se ha hecho es darle un peso mas alla del de instrumento o medio. No es entendible legislar por tecnología, no solo por su rápida evolución, sino porque ello hace que desarrollos tecnológicos que sirven, por ejemplo para el hacking etico, es decir la seguridad de la información, terminen siendo ilegal por su sola existencia o programación.

CAPITULO I

FINALIDAD Y OBJETO DE LA LEY

Articulo 1. Objeto de la Ley

La presente Ley tiene por objeto prevenir y sancionar las conductas ilícitas que afectan los sistemas y datos informáticos y otros bienes jurídicos de relevancia penal, cometidos mediante la utilización de tecnologías de la información o de la comunicación, con la finalidad de garantizar la lucha eficaz contra la ciberdelincuencia.

La legislación vigente en el Perú contempla los artículos 207A, 207B y 207C como delitos informáticos, incorporados a la legislación penal en el año 2000. Pero desde la creación del código penal hasta la fecha se tienen y se han incorporado diversos artículos sobre delitos por medios informáticos o utilización de medios informáticos (incluidas las TICs) para la comisión de delitos. 

Esta autógrafa  deroga los artículos 207A, 207B, 207C y 207D (incorporado en el Codigo Penal hace tan solo un par de semanas por la ley 30076), replanteandolos, pero ademas incorpora nuevas tipificaciones que tendrán que coexistir con la gama de artículos ya incorporados al código penal sobre delitos por medios de TICs que se mantienen vigentes. Es decir se ha aumentado la profusión de normas en lugar de crear, si esta era la intensión de la regulación un solo cuerpo ordenado en estas materias, armonizado con regulaciones internacionales.

Ahora bien si el objeto era la lucha contra la ciberdelincuencia debió ser una norma sobre informática forense, es decir el texto que aparece como Disposiciones Complementarias el texto de la norma y no los articulados presentados.

CAPITULO II

DELITOS CONTRA DATOS Y SISTEMAS INFORMATICOS

Articulo 2.  Acceso ilícito

El que accede sin autorización a todo o en parte de un sistema informático, siempre que se realice con vulneración de medidas de seguridad establecidas para impedirlo, será reprimido con pena privativa de libertad no menor de uno ni mayor de cuatro años y con treinta a noventa dias-multa.

Será reprimido con la misma pena, el que accede a un sistema informático excediendo lo autorizado.

La legislación vigente de intrusismo informático es el "Artículo 207-A.- El que utiliza o ingresa indebidamente a una base de datos, sistema o red de computadoras o cualquier parte de la misma, para diseñar, ejecutar o alterar un esquema u otro similar, o para interferir, interceptar, acceder o copiar información en tránsito o contenida en una base de datos, será reprimido con pena privativa de libertad no mayor de dos años o con prestación de servicios comunitarios de cincuentidós a ciento cuatro jornadas.

Si el agente actuó con el fin de obtener un beneficio económico, será reprimido con pena privativa de libertad no mayor de tres años o con prestación de servicios comunitarios no menor de ciento cuatro jornadas."

Lo primero que vemos en la comparación normativa es el aumento de la pena, mientras que la vigente es de no mayor de 2, la legislación propuesta va de 1 a 4 años.

Lo segundo es que el articulo vigente es mucho mas amplio en su gama de acción puesto que no solo enfoca el uso sin autorización sino cuando habiendo autorización lo hace de manera extemporánea o indebidamente (a archivos, secciones, subrutinas, subprogramas, subsistemas, no permitidos, o mas alla de los permisos que pudieron haberle otorgado).

Ahora bien el Acuerdo de Budapest plantea: "Articulo 2 - Acceso ilícito. Cada Parte adoptara las medidas legislativas y de otro tipo que resulten necesarias para tipificar como delito en su derecho interno el acceso deliberado e ilegitimo a todo o parte de un sistema informático. Las Partes podrán exigír que el delito se cometa infringiendo medidas de seguridad, con la intención de obtener datos informáticos u otra intención delictiva, o en relación con un sistema informático conectado a otro sistema informático".

El texto del Convenio de Budapest es claro "acceso deliberado e ilegitimo", es decir debe haber una intencionalidad y pudiera aun ser autorizado pero no licito. Y el hecho de la vulneración de las medidas de seguridad deberá ser para obtener datos u otra acción delictiva. Es decir en concreto la propuesta misma presentada, toma como base el Acuerdo de Budapest pero no sigue sus lineamientos.

Es decir la legislación propuesta en lugar de fortalecer la legislación vigente, y por ende el combate de la cibercriminalidad, que debería tener desarrollo de capacidades en los actores jurídicos para que se utilice de manera adecuada la legislación vigente, lo que hace la propuesta es restar marco de operación para la persecución de delitos de intrusismo informático.

Este articulo viene del Proyecto 2520/2012-PE presentado por el Poder Ejecutivo

Articulo 3. Atentado a la integridad de datos informáticos

El que, a través de las tecnologías de la información o de la comunicación, introduce, borra, deteriora, altera, suprime o hace inaccesibles datos informáticos, será reprimido con pena privativa de libertad no menor de tres ni mayor de seis años y con ochenta a ciento veinte dias-multa.

El Acuerdo de Budapest indica: "Articulo 4. Ataques a la integridad de los datos

1. Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para tipificar como delito en su derecho interno todo acto deliberado e ilegítimo que dañe, borre, deteriore, altere o suprima datos informáticos.

2. Las Partes podrán reservarse el derecho a exigir que los actos definidos en el párrafo 1 comporten daños graves"

El articulo propuesto en la autógrafa difiere de la legislación vigente, nuevamente mas amplia y de mayor cobertura que la propuesta, que ademas se aleja del Acuerdo de Budapest cuando cambia la palabra "dañe" en la propuesta de Budapest por "introduce", de igual modo el Acuerdo de Budapest no incluye el tema de "inaccesibilidad" que si lo propone la autógrafa, que si hubiere mantenido la propuesta de Budapest de "dañe" no fuere necesario, sin embargo tampoco es claro cual es la propuesta detrás del "introduce", salvo que quiera referirse al insertar un "virus", pero al dejar fuera el tema de "dañar" debe clarificarse el por que. Si es también claro que la propuesta de Budapest habla de un "acto deliberado" (en la versión en ingles dice: committed intentionally), que no indica la autógrafa.

Es también curiosa la forma de incorporar el texto "a través de las tecnologías de la información o comunicación", cuando ademas no esta previamente regulado en la legislación ni siquiera se incorpora en la parte de glosario esta autógrafa. Siendo así y dependiendo de la interpretación se vuelve restrictiva solo a medios digitales o a medios analógicos de comunicación haciendo imprecisa la normativa y por ende no predictible, haciendo que la misma incumpla un principio básico de la regulación que es la predictivilidad jurídica. 

De otro lado la legislación vigente indica: "Artículo 207-B.- El que utiliza, ingresa o interfiere indebidamente una base de datos, sistema, red o programa de computadoras o cualquier parte de la misma con el fin de alterarlos, dañarlos o destruirlos, será reprimido con pena privativa de libertad no menor de tres ni mayor de cinco años y con setenta a noventa días multa."

Siendo que nuevamente que la legislación vigente, también denominado daño informático va mas alla del articulo propuesto en la autógrafa, que tampoco va adecuada al Convenio de Budapest.

Este articulo viene del Proyecto 2520/2012-PE presentado por el Poder Ejecutivo

Articulo 4. Atentado a la integridad de sistemas informáticos

El que, a través de las tecnologías de la información o de la comunicación, inutiliza, total o parcialmente, un sistema informático, impide el acceso a este, entorpece o imposibilita su funcionamiento o la prestación de sus servicios, será reprimido con pena privativa de libertad no menor de tres ni mayor de seis años y con ochenta a ciento veinte días multa. 

El Acuerdo de Budapest indica: "Artículo 5. Ataques a la integridad del sistema

Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para tipificar como delito en su derecho interno la obstaculización grave, deliberada e ilegítima del funcionamiento de un sistema informático mediante la introducción, transmisión, daño, borrado, deterioro, alteración o supresión de datos informáticos"

Nuevamente la autógrafa se aleja del texto de Budapest, sin que pueda determinarse claramente a motivación del alejamiento del Acuerdo de Budapest

La legislación vigente indica: "Artículo 207-B.- El que utiliza, ingresa o interfiere indebidamente una base de datos, sistema, red o programa de computadoras o cualquier parte de la misma con el fin de alterarlos, dañarlos o destruirlos, será reprimido con pena privativa de libertad no menor de tres ni mayor de cinco años y con setenta a noventa días multa."

Este articulo viene del Proyecto 2520/2012-PE presentado por el Poder Ejecutivo

CAPITULO III

DELITOS INFORMATICOS CONTRA LA INDEMNIDAD Y LIBERTAD SEXUALES

Articulo 5. Proposiciones a niños, niñas y adolescentes con fines sexuales por medios tecnológicos.

El que, a través de las tecnologías de la información o de la comunicación, contacta con un menor de catorce años para solicitar u obtener de el material pornográfico, o para llevar a cabo actividades sexuales con el, será reprimido con una pena privativa de libertad no menor de cuatro ni mayor de ocho años e inhabilitación conforme a los numerales 1,2 y 4 del articulo 36 del Codigo Penal.

Cuando la víctima tiene entre catorce y menos de dieciocho años de edad y medie engaño, la pena será no menor de tres ni mayor de seis años e inhabilitación conforme a los numerales 1,2 y 4 del articulo 36 del Codigo Penal.

El Código Penal indica: "“Artículo 181-A.- Explotación sexual comercial infantil y adolescente en ámbito del turismo. El que promueve, publicita, favorece o facilita la explotación sexual comercial en el ámbito del turismo, a través de cualquier medio escrito, folleto, impreso, visual, audible, electrónico, magnético o a través de Internet, con el objeto de ofrecer relaciones sexuales de carácter comercial de personas de catorce (14) y menos de dieciocho (18) años de edad será reprimido con pena privativa de libertad no menor de cuatro (4) ni mayor de ocho (8) años."

De igual manera se tiene como vigente este articulo: "Artículo 183-A.- Pornografía infantil

El que posee, promueve, fabrica, distribuye, exhibe, ofrece, comercializa o publica, importa o exporta por cualquier medio incluido la internet, objetos, libros, escritos, imágenes visuales o auditivas, o realiza espectáculos en vivo de carácter pornográfico, en los cuales se utilice a personas de catorce y menos de dieciocho años de edad, será sancionado con pena privativa de libertad no menor de cuatro ni mayor de seis años y con ciento veinte a trescientos sesenta y cinco días multa."

El articulo propuesta por la Congresista Teves estaba enfocada en el acoso mediante identidad falsa. Y no es la versión que se ha tomado para la versión de la autógrafa.

De igual modo este es un típico articulo que debió ser pensado mas alla del internet, o de los medios digitales, la conducta debe ser penalizada por la conducta no por la parte digital, lo que termina haciendo es que el acto pero no por medio de las TICs no seria delito. 

Este artículo además no configura un delito informático sino un delito por medio informático, dado que el bien jurídico información no sería el vulnerado. 

Este articulo viene del Proyecto 2520/2012-PE presentado por el Poder Ejecutivo

CAPITULO IV 

DELITOS INFORMATICOS COTRA LA INTIMIDAD Y EL SECRETO DE LAS COMUNICACIONES

Articulo 6. Trafico ilegal de datos

El que, crea, ingresa, o utiliza indebidamente una base de datos sobre una persona natural o jurídica, identificada o identificable, para comercializar, traficar, vender, promover, favorecer o facilitar información relativa a cualquier ámbito de la esfera personal, familiar, patrimonial, laboral, financiera y otro de naturaleza análoga, creando o no perjuicio, será reprimido con pena privativa de libertad no menor de tres ni mayor de cinco años.

Este artículo ya estaba incorporado en la legislación (y se encuentra vigente) por medio del articulo 2 de la Ley 30076 (se incorporó como artículo 207D)

En su momento presentamos comentarios a esta propuesta del Congresista Delgado, teniendo en consideración que esto es una violación a la Privacidad y no debería haberse incorporado como Delito Informático, dado que el delito no es sobre información sino sobre los datos personales, que se debe enmarcar en la legislación de protección de Datos Personales. 

Es ademas un artículo que conlleva un error dado que uno puede crear libremente una base de datos con información de libre acceso, como fuente de acceso público, y no tendría impedimento en poderla comercializarla, siendo que cualquier persona pudiera tener la base de datos, dado que la misma ley de protección de datos permite este uso legal de los mismos. El artículo incorpora la idea que aún sin generar perjuicio hay una pena privativa de la libertad. 

Ahora bien hay bases de datos creadas por entidades públicas que se tendrán que cruzar, por ejemplo para la persecución del delito, con datos que se encuentran en el marco de su excepción de actividad por lo cual no requieren un consentimiento por parte del titular de los datos de obtenerlos. Es decir el artículo que ya esta incorporado en nuestra legislación, se derogaría y volvería a incorporar, y se mantendría el error de incorporarlo como "delito informático" (cuando no lo es, sino es un delito por medio informático, dado que también se puede cometer este delito contra bases de datos en papel, con lo cual se muestra claramente que la no clarificación de terminología por parte del legislador no le permite entender que las bases de datos no son solamente las que son "informáticas" sino que es toda forma de ordenación de datos")

De acuerdo a lo expresado lo que se buscaba con este artículo era una sanción a la venta de bases de datos, ahora bien con la legislación de datos personales es el titular de las bases de datos quien debe mantener las medidas de cuidado para proteger estas bases de datos que no puedan ser accesibles por terceros. 

El Código Penal vigente dice en el "Artículo 157.- El que, indebidamente, organiza, proporciona o emplea cualquier archivo que tenga datos referentes a las convicciones políticas o religiosas y otros aspectos de la vida íntima de una o más personas, será reprimido con pena privativa de libertad no menor de uno ni mayor de cuatro años. Si el agente es funcionario o servidor público y comete el delito en ejercicio del cargo, la pena será no menor de tres ni mayor de seis años e inhabilitación conforme al artículo 36, incisos 1, 2 y 4." Si se quería ampliar el ámbito de los datos a proteger se debió trabajar sobre este articulo que se mantiene vigente aún si se aprobara la presente autógrafa.

Este artículo además no configura un delito informático sino un delito por medio informático, dado que el bien jurídico información no sería el vulnerado, sino los datos personales. 

Este artículo ya se encuentra en el Código Penal vigente

Articulo 7. Interceptación de datos informáticos

El que, a través de las tecnologías de la información o de la comunicación, intercepta datos informáticos en transmisiones no publicas, dirigidas a un sistema informático, originadas en un sistema informático o efectuadas dentro del mismo, incluidas las emisiones electromagnéticas provenientes de un sistema informático que transporte dichos datos informáticos, será reprimido con una pena privativa de libertad no menor de tres ni mayor de seis años.

La pena privativa de la libertad será no menor de cinco ni mayor de ocho años cuando el delito recaiga sobre información clasificada como secreta, reservada o confidencial de conformidad con las normas de la materia.

La pena privativa de libertad será no menor de ocho ni mayor de diez cuando el delito comprometa la defensa, seguridad o soberanía nacionales.

El Acuerdo de Budapest indica: "Articulo 3. Interceptación ilícita. Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para tipificar como delito en su derecho interno la interceptación deliberada e ilegítima por medios técnicos de datos informáticos en transmisiones no públicas dirigidas a un sistema informático, originadas en un sistema informático o efectuadas dentro del mismo, incluidas las emisiones electromagnéticas provenientes de un sistema informático que transporte dichos datos informáticos. Las Partes podrán exigir que el delito se cometa con intención delictiva o en relación con un sistema informático conectado a otro sistema informático".

El articulo no sigue el lineamiento de Budapest que la interceptación debe ser deliberada e ilegitima, y ello genera un problema sobre todo para equipos zombies, o tomados por terceros desde donde se realizan ataques, mismos que pueden ser de personas naturales, personas jurídicas publicas o privadas, siendo que el articulo planteado por la autógrafa los haría responsables por el hecho en si mismo.

Sin embargo lo mas preocupante de este articulo son los párrafos segundos y terceros, dado que la determinación de  los secreto, reservado confidencial se encuentra en la legislación de acceso a la información publica y fue diseñada para transparentizar no para bloquear acceso a información, entre otras utilizadas por la misma población para poder hacer veeduría ciudadana. Ahora bien, no se puede dejar los ilícitos sin sanción, pero sancionar de la manera diseñada terminará siendo un mecanismo de autocensura, dado que no esta clarificado que información es cual y en que momentos. Mas con espacios abiertos. (Ahora bien la información secreta, reservada o confidencial esta bajo la legislación de acceso a la información pública, como la definen para ambientes privados, donde por definición la información es resguardada).

Complementariamente este artículo habla de información que comprometa a la defensa, seguridad o soberanías nacionales, quien definirá que son estos ítems, bajo que normativa se deberá seguir la predictivilidad de esta temática. 

Este articulo viene del Proyecto 2520/2012-PE presentado por el Poder Ejecutivo

CAPITULO V

DELITOS INFORMATICOS CONTRA EL PATRIMONIO

Articulo 8. Fraude informático

El que, a través de las tecnologías de la información o de la comunicación, procura para si o para otro un provecho ilícito en perjuicio de tercero, mediante el diseño, introducción, alteración, borrado, supresión, clonación de datos informáticos o cualquier interferencia o manipulación en el funcionamiento de un sistema informático, será reprimido con una pena privativa de libertad no menor de tres ni mayor de ocho años y con sesenta a ciento veinte dias-multa.

La pena será privativa de libertad no menor de cinco ni mayor de diez años y de ochenta a ciento cuarenta dias-multa cuando se afecte el patrimonio del Estado destinado a fines asistenciales o a programas de apoyo social.

El Acuerdo de Budapest indica: "Articulo 8. Fraude informático. Las Partes adoptaran las medidas legislativas o de otro tipo que resulten necesarias para tipificar como delito en su derecho interno los actos deliberados e ilegítimos que causen perjuicio patrimonial a otra persona mediante: 

a. la introducción, alteración, borrado o supresión de datos informáticos;

b. cualquier interferencia en el funcionamiento de un sistema informático,

con la intención, dolosa o delictiva, de obtener de forma ilegitima un beneficio económico para uno mismo o para otra persona."

Del articulo inicial propuesto por el proyecto del ejecutivo se incorporo la palabra "clonación", con lo cual se asume que se quiere referir a la clonación de los instrumentos que portan datos (por ejemplo una clonación de tarjetas), siendo entonces una conducta diferente la clonación de datos del fraude informático. De igual modo se ha incorporado en la autógrafa la palabra "manipulación", y esto termina siendo suficientemente ambiguo en una regulación que se requiere clara y predictible. 

El agravante por Patrimonio del Estado o programas de apoyo social entiende que pudiera modificarse las bases de datos para obtener un beneficio (incorporar a alguien?), es entonces imposible perseguir el delito con los instrumentos legales vigentes? creemos que no, sino que no hay una adecuada utilización de la legislación vigente.

Ahora bien, quisieron con la inclusión de la palabra "clonacion" hablar de paginas web clonadas, utilizadas para phishing?

Mas alla de haber seguido en términos generales lo dicho por el Acuerdo de Budapest en este artículo, discrepamos en lo que corresponde a la necesidad de incorporar un articulado nuevo especifico ligado a una tecnología, dado que la variación de la tecnología o la inadecuada clarificación de que es "tecnologías de la información o de la comunicación". Era el articulo de fraude utilizable para un fraude informático? consideramos que si, siempre y cuando haya un desarrollo de capacidades en jueces, fiscales, policía, actores jurídicos que puedan utilizar la legislación vigente para combatir la ciberciminalidad. 

Este artículo además no configura un delito informático sino un delito por medio informático, dado que el bien jurídico información no sería el vulnerado, sino la propiedad. Hay que recordar además que el Convenio de Budapest es de Cibercriminalidad.

Este articulo viene del Proyecto 2520/2012-PE presentado por el Poder Ejecutivo. No se toma el articulo propuesto en el Proyecto 2112/2012-PE del Congresista Reggiardo

CAPITULO VI

DELITOS INFORMATICOS CONTRA LA FE PUBLICA

Articulo 9. Suplantación de identidad

El que, mediante las tecnologías de la información o de la comunicación suplanta la identidad de una persona natural o jurídica, siempre que de dicha conducta resulte algún perjuicio, será reprimido con pena privativa de libertad no menor de tres ni mayor de cinco años.

El artículo plantea que una suplantación sin perjuicio no configura delito. El mismo hecho de una suplantación ya configura un perjuicio y el tema de la protección de la identidad ya se tiene en el espacio del derecho civil: "Artículo 28.- Nadie puede usar nombre que no le corresponde. El que es perjudicado por la usurpación de su nombre tiene acción para hacerla cesar y obtener la indemnización que corresponda."

Sin embargo en la vía penal no había un artículo de suplantación de identidad, sea por medios digitales o por medios no digitales, siendo así nuevamente la oportunidad de regular una conducta al solo colocarle un tema tecnológico quita una oportunidad de adecuación normativa del código penal.

Este artículo además no configura un delito informático sino un delito por medio informático, dado que el bien jurídico información no sería el vulnerado, sino la identidad personal.

Este articulo viene del Proyecto 2520/2012-PE presentado por el Poder Ejecutivo, difiere completamente del Proyecto 1136/2011-CR del congresista Tomas Zamudio.

CAPITULO VII

DISPOSICIONES COMUNES

Articulo 10. Abuso de mecanismos y dispositivos informáticos

El que fabrica, diseña, desarrolla, vende, facilita, distribuye, importa u obtiene para su utilización, uno o mas mecanismos, programas informáticos, dispositivos, contraseñas, códigos de acceso o cualquier otro dato informático, específicamente diseñados para la comisión de los delitos previstos en la presente Ley, o el que ofrece o presta servicio que contribuya a ese propósito, será reprimido con pena privativa de libertad no menor de uno ni mayor de cuatro años y con treinta a noventa dias-multa.

El Acuerdo de Budapest indica: "Articulo 6. Abuso de los dispositivos.

1. Cada Parte adoptara las medidas legislativas y de otro tipo que resulten necesarias para tipificar como delito en su derecho interno la comisión deliberada e ilegitima de los siguientes actos:

a. la producción, venta, obtención para su utilización, importación, difusión y otra forma de puesta a disposición de:

i. cualquier dispositivo, incluido un programa informático, concebido o adaptado principalmente para la comisión de cualquiera de los delitos previstos en los artículos 2 a 4 del presente Convenio;

ii. una contraseña, código de acceso o datos informáticos similares que permitan acceder a todo o parte de un sistema informático,

con intención de que sean utilizados para cometer cualquiera de los delitos contemplados en los artículos 2 a 5; y

b. la posesión de alguno de los elementos contemplados en los incisos i) o ii) del apartado a) del presente articulo con intención de que sean utilizados para cometeré cualquiera de los delitos previstos en los artículos 2 a5. Las Partes podrán exigir en su derecho interno la posesión de un numero determinado de dichos elementos para que se considere que existe responsabilidad penal.

2. No se interpretara que el presente articulo impone responsabilidad penal cuando la producción, venta, obtención para la utilización, importación, difusión o cualquiera otra forma de puesta a disposición mencionada en el párrafo 1 del presente articulo no tenga por objeto la comisión de uno de los delitos previstos de conformidad con los artículos 2 a 5 del presente Convenio, como en el caso de las pruebas autorizadas o de la protección de un sistema informático".

El artículo planteado por la autógrafa difiere de los expresado en Budapest y de lo planteado por el mismo poder ejecutivo, incluyendo verbos que no se contemplan en el Acuerdo de Budapest, pero aun así, el articulo no incluye la parte 2 del Acuerdo que genera las excepciones de hacking ético y de análisis de seguridad

Respecto del artículo planteado creemos necesario que se incluya un párrafo que explícitamente elimine la responsabilidad penal en aquellos casos en los que se importe, fabrique, posea, distribuya, venda o utilice equipos o dispositivos con el propósito de destinarlos a vulnerar o eliminar la seguridad de cualquier sistema de información o de una tecnología de información, o el que ofrezca o preste servicios que contribuyan a ese propósito; que no tengan por objeto la comisión de un delito.

Ello en virtud que la importación, fabricación, posesión, distribución, venta o utilización de equipos o dispositivos con capacidad de vulnerar o eliminar la seguridad de cualquier sistema de información, así como la prestación de servicios que contribuyan a ese propósito; NO SIEMPRE y EXCLUSIVAMENTE constituyen delitos por sí mismos. En efecto, en el rubro de la llamada Seguridad de la Información (que además está recogida en la Norma Técnica Peruana NTP-ISO/IEC 17799 - "Código de buenas prácticas para la gestión de la seguridad de la información" de uso e implementación obligatoria por parte de las entidades gubernamentales peruanas de acuerdo a lo dispuesto por el Resolución Ministerial N° 246-2007-PCM), puede resulta totalmente legal, válido y hasta necesario que las personas o empresas que brindan tales servicios requieran  importar, fabricar, poseer, distribuir, vender y/o utilizar equipos o dispositivos, o prestar servicios de consultoría con el propósito vulnerar o eliminar la seguridad de un sistema de información en particular de una empresa privada o entidad estatal, pero no para cometer algún delito; sino para verificar si los sistemas informáticos de la entidad en cuestión son seguros y confiables, así como para identificar los "huecos de seguridad que poseen" mediante la realización de pruebas de Hacking Ético o Vulnerabilidad y, así, poder  implementadas  medidas técnicas  a fin de cubrir tales deficiencias o “huecos de seguridad”.

En efecto, se debe tener en consideración que dentro de la implementación de un sistema de seguridad de la información de un sistema informático cualquiera, en el mercado nacional e internacional,  se  brindan  servicios  conocidos  como  "Penetration  Test,  Ethical  Hacking, Hacking Ético o Prueba de Vulnerabilidad"

Hacking Ético o Prueba de Vulnerabilidad es un conjunto de metodologías y técnicas, para realizar una evaluación integral de las debilidades de los sistemas informáticos; y consiste en un modelo que reproduce intentos de acceso, a cualquier entorno informático, de un intruso potencial desde los diferentes puntos de entrada que existan, tanto internos como remotos. El objetivo general del Hacking Ético o Prueba de Vulnerabilidad es acceder a los equipos informáticos de la organización tratada e intentar obtener los privilegios del administrador del sistema, logrando así realizar cualquier tarea sobre dichos equipos; pero sin que medie para ello un ánimo delictivo, destructivo, fraudulento o mal intencionado; sino con el ánimo de probar las medidas de seguridad del sistema en cuestión, identificarlas y, posteriormente, corregirlas a fin de que los verdades delincuentes no las aprovechen a su favor en la comisión de delitos que se pretenden regular con el presente Proyecto de Ley.

Así, el Hacking Ético o Prueba de Vulnerabilidad incluye, entre muchas otras, las siguientes actividades: Pruebas de usuarios y la "fuerza" de sus passwords, Captura de tráfico, scanning de puertos TCP, UDP e ICMP, Intentos de acceso vía accesos remotos, módems, Internet, etc., Pruebas de vulnerabilidades existentes, Prueba de ataques de Denegación de Servicio.

Entonces, de no modificar el texto del presente artículo, podría estarse sancionando penalmente a diversas personas  por  la simple  importación, fabricación, posesión, distribución, venta o utilización de equipos o dispositivos con el propósito de destinarlos a vulnerar o eliminar la seguridad de cualquier sistema de información, o brindar servicios a tal fin; sin que se haya afectado efectivamente algún bien jurídicamente tutelado, pues es justamente su trabajo es el desarrollar esa clase de actividades y siempre a requerimiento o solicitud de los propios titulares y/o propietarios de los sistemas informáticos en donde se van a realizar dichas pruebas de vulneración de seguridad.

Es asimismo relevante que el articulo en el Acuerdo de Budapest se refiere a los delitos de acceso ilícito, interceptación ilícita,, ataques a la integridad de los datos y ataques a la integridad del sistema, pero como quedo propuesto termina afectando a delitos que no son informáticos per se, y mas alla del alcance del acuerdo internacional.

Este articulo viene del Proyecto 2520/2012-PE presentado por el Poder Ejecutivo

Articulo 11. Agravantes

El juez aumenta la pena privativa de libertad hasta en un tercio por encima del máximo legal fijado para cualquiera de los delitos previstos en la presente Ley, cuando:

1. El agente comité el delito en calidad de integrante de una organización criminal.

2. El agente comete el delito mediante el abuso de una posición especial de acceso a la data o información reservada o al conocimiento de esta información en razón del ejercicio de un cargo o función.

3. El agente comete el delito con el fin de obtener un beneficio económico, salvo en los delitos que prevén dicha circunstancia. 

4. El delito compromete fines asistenciales, la defensa, seguridad y soberanías nacionales.

Ciertamente que los agravantes tendrán que analizarse a la luz de las posibles modificaciones a los artículos de derecho penal sustantivo.

DISPOSICIONES COMPLEMENTARIAS FINALES

PRIMERA. Codificación de la pornografía infantil

La Policía Nacional del Peru, puede mantener en sus archivos, con la autorización y supervisión respectiva del Ministerio Publico, material de pornografía infantil, en medios de almacenamiento de datos informáticos, para fines exclusivos del cumplimiento de su función. Para tal efecto, debe contar con una base de datos debidamente codificada.

La Policía Nacional del Peru y el Ministerio Publico establecen protocolos de coordinación en el plazo de treinta días, a fin de cumplir con la disposición establecida en el párrafo anterior.

Sin duda un aporte necesario en materia de informática forense, dado que el artículo del 183A de pornografía infantil, había incluido la palabra "posee", dado que no se entendió que cuando se hace persecución de delitos que implican el análisis de información en formatos digitales, la metodología exige que se realice una "copia" de la información para poderla trabajar, pero en dicha "copia" lo que se hace es tener la información completa, es decir se le esta "poseyendo". 

Este error del 183A aparentemente no se ha entendido y se repite en la presente autografa, en su artículo 10.

Este artículo viene del Dictamen debatido en el Pleno.

SEGUNDA, Agente encubierto en delitos informáticos

El fiscal, atendiendo a la urgencia del caso particular y con la debida diligencia, podrá autorizar la actuaron de agentes encubiertos a efectos de realizase las investigaciones de los delitos previstos en la presente Ley y de todo delito que se cometa mediante tecnología de la información o de la comunicaron, con prescindencia de si los mismos están vinculados a una organización criminal, de conformidad con el articulo 341 del Código Procesal Penal, aprobado mediante Decreto Legislativo 957.

Si bien el artículo se menciona en el dictamen debatido en el Pleno, la versión presentada por la autógrafa es bastante más consolidada. Un artículo en materia de informática forense necesaria para el trabajo de la persecución del delito, no solo en materia de delitos informáticos sino en la de todos los delitos. 

Es por ello que se ha tenido que separar lo que es una adecuación normativa de lo que implica una normativa mas que necesaria en informática forense, que no solo se trata de delitos informáticos, y limitarse solo a delitos informáticos es quitar una importante oportunidad de desarrollo de esta legislación.

TERCERA. Coordinación interinstitucional de la Policía Nacional con el Ministerio Publico

La Policía Nacional del Peru fortalece al órgano especializado encargado de coordinar las funciones de investigación con el Ministerio Publico. A fin de establecer mecanismos de comunicación con los órganos de gobierno del Ministerio Publico, la Policía Nacional centraliza la información aportando su experiencia en la elaboración de los programas y acciones para la adecuada persecución de los delitos informáticos, y desarrolla programas de protección y seguridad.

El artículo ha sido pulido de la versión que presento el proyecto del Poder Ejecutivo, pero se mantiene solo en los delitos informáticos, cuando también hay delitos por medios informáticos, ya vigentes en otros artículos del código penal (como el hurto agravado art. 186 que dice: "4. Mediante la utilización de sistemas de transferencia electrónica de fondos, de la telemática en general o la violación del empleo de claves secretas."), que quedarían por fuera de esta coordinación interinstitucional. 

Cabe destacar que tampoco se menciona al CERT como centro de alertas tempranas, dependiente de la ONGEI, ni tampoco de los organismos especializados en las fuerzas armadas, mas cuando se busca que los temas de seguridad nacionales o defensa sean críticos. 

Este articulo viene del Proyecto 2520/2012-PE presentado por el Poder Ejecutivo

CUARTA. Cooperación operativa

Con el objeto de garantizar el intercambio de información, equipos de investigación conjuntos, transmisión de documentos, interceptación de comunicaciones, y demás actividades correspondientes para dar efectividad a la presente Ley, la Policía Nacional del Peru, el Ministerio Publico, Poder Judicial y los operadores del sector privado involucrados en la lucha contra los delitos informáticos deben establecer protocolos de cooperación operativa reforzada en el plazo de treinta días desde la vigencia de la presente Ley.

Nuevamente el mismo comentario. El artículo ha sido pulido de la versión que presento el proyecto del Poder Ejecutivo, pero se mantiene solo en los delitos informáticos, cuando también hay delitos por medios informáticos, ya vigentes en otros artículos del código penal (como el de Espionaje art. 331A que dice: "El que por cualquier medio revela, reproduce, exhibe, difunde o hace accesible en todo o en parte, el contenido de información y/o actividades secretas del Sistema de Defensa Nacional, será reprimido con pena privativa de libertad no menor de cinco ni mayor de diez años e inhabilitación de conformidad con el artículo 36, incisos 1, 2, y 4 de este Código."), que quedarían por fuera de esta coordinación interinstitucional. 

Cabe destacar que tampoco se menciona al PeCERT como centro de alertas tempranas, dependiente de la ONGEI, ni tampoco de los organismos especializados en las fuerzas armadas, mas cuando se busca que los temas de seguridad nacionales o defensa sean críticos. 

Más alla de la incorporación de sanciones para los privados no explícita como va a ser esta cooperación operativa, deberá ser un Reglamento de la PNP? del Ministerio Publico? del Poder Judicial?. Que sucede con las entidades publicas que también tienen responsabilidades de acuerdo a esta autógrafa?

Este articulo viene del Proyecto 2520/2012-PE presentado por el Poder Ejecutivo

QUINTA. Capacitación

Las instituciones publicas involucradas en la prevención y represión de los delitos informáticos, deben impartir cursos de capacitación destinados a mejorar la formación profesional de su personal, especialmente de la Policía Nacional del Peru, el Ministerio Publico y el Poder Judicial, en el tratamiento de los delitos previstos en la presente Ley.

Y volvemos al mismo punto, esta ley no es solo de delitos informáticos sino de delitos por medios informáticos y están dejando por fuera delitos ya tipificados en el código penal que no son delitos informáticos sino delitos por medios de TICs, y la falla estructural durante los pasados 13 años (al menos desde que se dio la Ley de Delitos Informáticos que incorporo los delitos 207A, 207B y 207C) ha sido desarrollo de capacidades para entender las implicancias de la tecnología en el aspecto penal.

Casos como el de BTR o el de Crownwell son ejemplo de lo antes dicho.

Este articulo viene del Proyecto 2520/2012-PE presentado por el Poder Ejecutivo

SEXTA. Medidas de seguridad

La Oficina Nacional de Gobierno Electrónico e Informático (ONGEI) promueve permanentemente, en coordinación con las instituciones del sector publico, el fortalecimiento de sus medidas de seguridad para la protección de los datos informáticos sensibles y la integridad de sus sistemas informáticos.

Si pudieran definir que son datos informáticos sensibles, quizás quisieron decir datos personales sensibles, y eso se enmarca dentro de la legislación de Datos Personales que esta en coordinación entre la Autoridad de Datos Personales y la ONGEI.

Ahora bien la ONGEI ha dado en los pasados 10 años 2 normas de obligatorio cumplimiento por parte de las entidades públicas, y que a la fecha no se ha desplegado de manera adecuada (por no decir que los niveles son mínimos). Son dos normas: la ISO 17799 y la ISO 27001, ambos ISOS por ejemplo requieren la posibilidad de Hacking Etico que cal como esta regulado en el presente autógrafa no se pudiera lograr, teniendo entonces que los que cometen ilícitos al estar por fuera de la ley podrán utilizar herramientas de hacking pero los que lícitamente quisieran analizar sus vulnerabilidad por la mera posesión de los instrumentos estarían cometiendo ilícitos.

Este articulo viene del Proyecto 2520/2012-PE presentado por el Poder Ejecutivo

SEPTIMA. Buenas practicas

El Estado peruano realizara acciones conjuntas con otros Estados, a fin de poner en marcha acciones y medidas concretas destinadas a combatir el fenómenos de los atraques masivos contra las infraestructuras informáticas y establecerá los mecanismos de prevención necesarios, incluyendo respuestas coordinadas e intercambio de información y buenas practicas.

Una mala práctica es que Perú desde hace 6 años posee un PeCERT para alerta temprana, pero que no esta operativo, de esta entidad dependería entre otras cosas los portales públicos y que debería coordinar con CERTs de las fuerzas armadas para temas de defensa o de seguridad nacional. Es pues un problema de desarrollo de capacidades y asignación de recursos, pero también de fortalecimiento de la ONGEI como entidad coordinadora en temas de TICs para el Gobierno, sin embargo en los últimos años la acción del PeCERT ha sido casi nula.

Este articulo viene del Proyecto 2520/2012-PE presentado por el Poder Ejecutivo

OCTAVA. Convenios multilaterales

El Estado peruano promoverá la firma ratificación de convenios multilaterales que garanticen la cooperación mutua con otros Estados para la persecución de los delitos informáticos.

Sin duda una apertura para la firma del Acuerdo de Budapest, y también una apertura al denominado Acuerdo Iberoamericano o de América Latina sobre Cibercriminalidad, auspiciado por el Ministerio de Justicia de Perú. 

Lo cierto es que la adecuación a Budapest se ve comprometida tal como esta planteada la norma por los comentarios a artículos de esta autógrafa.

Este articulo viene del Proyecto 2520/2012-PE presentado por el Poder Ejecutivo

NOVENA. Terminologia

Para efectos de la presente Ley, se entenderá, de conformidad con el articulo 1 del Convenio sobre la Ciberdelincuencia, Budapest, 23.XI.2001:

a. Por sistema informático: todo dispositivo aislado o conjunto de dispositivos interconectados o relacionados entre si, cuya función, o la de alguno de sus elementos, sea el tratamiento automatizado de datos en ejecución de un programa.

b. Por datos informáticos: toda representación de hechos, información o conceptos expresados de cualquier forma que se preste a tratamiento informático, incluidos los programas diseñados para que un sistema informativo ejecute una función.

El artículo planteado abre las puertas a la inclusión de terminología sin embargo sugerimos  utilizar definiciones más técnicas o estandarizadas  a  las utilizadas en la autógrafa, como el glosario de términos contenido en el Convenio sobre la Ciberdelincuencia, adoptado en Budapest el 23 de noviembre del 2001 por el Comité de Ministros del Consejo de Europa, de manera integral. Igualmente se puede recurrir al glosario de términos del Sistema de Seguridad Nacional de los Estados Unidos de Norteamérica - Federal Standard 1037C, MIL-STD-188  o  las  emitidas  por  organizaciones  internacionales relacionadas a temas informáticos  como “The  Internet Engineering Task Force (IETF)”; a la luz de la especial naturaleza de los delitos informáticos y la utilización de las TICs para cometer delitos, y su íntima relación con la informática y los sistemas computacionales.

Este articulo viene del Proyecto 2520/2012-PE presentado por el Poder Ejecutivo

DECIMA. Regulación e imposición de multas por la Superintendencia de Banca, Seguros y AFP

La Superintendencia de Banca, Seguros y AFP establece la escala de multas atendiendo a las características, complejidad y circunstancias de los casos aplicables a las empresas bajo su supervisión que incumplan con la obligación prevista en el numeral 5 del articulo 235 del código Procesal Penal, aprobado por Decreto Legislativo 957.

El juez, en el termino de setenta y dos horas, pone en cocimiento del órgano supervisor la omisión incurrida por la empresa, con los recaudos correspondientes sobre las características, complejidad y circunstancias del caso particular, a fin de aplicarse la multa correspondiente. 

Este artículo es nuevo, no se encuentra en el dictamen llevado al pleno o en proyecto del Poder Ejecutivo. No es claro el motivo de su inclusión o su alcance dado que la propuesta mplicaría que el mismo sea aplicable para cualquier requerimiento y no solamente para temas de la presente autógrafa. 

UNDECIMA. Regulación e imposición de multas por el Organismo Supervisor de Inversion Privada en Telecomunicaciones

El Organismo Supervisor de Inversion Privada en Telecomunicaciones establece la escala de multas atendiendo a las características, complejidad y circunstancias de los casos aplicables a las empresas bajo su supervisión que incumplan con la obligación prevista en el numeral 4 del articulo 230 del Codigo Procesal Penal, aprobado por Decreto Legislativo 957.

El juez, en el termino de setenta y dos horas, pone en cocimiento del órgano supervisor la omisión incurrida por la empresa, con los recaudos correspondientes sobre las características, complejidad y circunstancias del caso particular, a fin de aplicarse la multa correspondiente. 

Si bien se trata de un artículo no contemplado en el proyecto del poder ejecutivo se pudiera entender que es la consecuencia del artículo 23 del dictamen presentado al pleno. Sería bueno indagar con OSIPTEL y el MTC si pueden generar regulaciones y sanciones ante denegatoria de información que se encuentre protegida por secreto de las comunicaciones y o la protección de datos personales.

DISPOSICIONES COMPLEMENTARIAS MODIFICATORIAS

PRIMERA: Modificación de la Ley 27697, Ley que otorga facultad al fiscal para la intervención y control de comunicaciones y documentos privados en caso excepcional.

Modificase el articulo 1 de la Ley 27697, Ley que otorga facultad al fiscal para la Intervención y control de comunicaciones y documentos privados en caso excepcional, modificado por Decreto Legislativo 991, en loo siguientes términos:

"Articulo 1. Marco y finalidad

La presente Ley tiene por finalidad desarrollar legislativamente la facultad constitucional otorgada a los jueces para conocer y controlar las comunicaciones de las personas que son materia de investigación preliminar o jurisdiccional.

Solo podrá hacerse uso de la facultad prevista en la presente Ley en los siguientes delitos:

1. Secuestro

2. Trata de personas.

3. Pornografía infantil.

4. Robo agravado.

5. Extorsion.

6. Trafico ilícito de drogas.

7. Trafico ilicito de migrantes.

8. Delitos contra la humanidad.

9. Atentados contra la seguridad nacional o traición a la patria.

10. Peculado.

11. Corrupción de funcionarios.

12. Terrorismo.

13. Delitos tributarios y aduaneros.

14. Lavado de activos. 

15. Delitos informáticos."

Siento que los delitos informáticos son solo aquellos que van contra el bien jurídico información no serían todos los de la autógrafa, salvo que sigan insistiendo en que todos son delitos informáticos, con lo cual añadirían también el 162 de interceptación de telecomunicaciones, siendo incorrecto y contrario a la legislación vigente que lo encuadra como un delito contra el secreto de las comunicación.

Ahora bien, si delitos informáticos son solo los que atañen al bien jurídico información, hay que replantear los que se encuentran fuera de la presente ley y también tienen que ver con uso de TICs en la comisión de los delitos.

Finalmente al eliminarse el 207A, 207B, 207C y 207D, del Código Penal, no quedaría claro a que se le llama Delitos Informáticos si no son mas los que esta autógrafa presenta, cuando claramente esta ley tiene delitos por medios informáticos, delitos informáticos, y artículos sobre informática forense.

SEGUNDA: Modificacion de la Ley 30077, Ley contra el crimen organizado

Modificae el numeral 9 del articulo 3 de la Ley 30077, Ley contra el crimen organizado, en los siguientes términos:

"Articulo 3. Delitos comprendidos

La presente Ley es aplicable a los siguientes delitos:

(…)

9. Delitos informáticos, previstos en la ley penal.

(…)"

Necesario en el contexto de aprobación de dicha norma.

TERCERA. Modificación del Código Procesal Penal

Modificase el numeral 4 del articulo 320, el numeral 5 del articulo 235 y el literal a) del numeral 1 del articulo 473 del Código Procesal Penal, aprobado por Decreto Legislativo 957, en los siguientes términos:

"Articulo 230. Intervención o grabación o registro de comunicaciones telefónicas o de otras formas de comunicación

(…)

4. Los concesionarios de servicios públicos de telecomunicaciones deben facilitar, en el plazo máximo de treinta días hábiles, la geolocalizacion de teléfonos móviles y la diligencia de intervención, grabación o registro de las comunicaciones, así como la información sobre la identidad de los titulares del servicio, los números de registro del cliente, de la linea telefónica y del equipo, del trafico de llamadas y los números de protocolo de internet, que haya sido dispuesta mediante resolución judicial, en tiempo real y en forma ininterrumpida, las veinticuatro horas de los trescientos sesenta y cinco días del año, bajo apercibimiento de ser pasable de las responsabilidades de ley en caso de incumplimiento. Los servidores de las indicadas empresas guardar secreto acerca de las mismas, salvo que se le citare como testigo al procedimiento. El juez fijara el plazo en atención a las características, complejidad y circunstancias del caso en particular. "

Dichos concesionarios otorgan el acceso, la compatibilidad y conexión de su tecnología con el Sistema de Intervención y Control de las Comunicaciones de la Policía Nacional del Peru. Asimismo, cuando por razones de innovación tecnología los concesionarios renueven sus equipos o software, se encontraran obligados a mantener la compatibilidad con el Sistema de Intervención y Control de las Comunicaciones de la Policía Nacional. 

(…)"

Este es un artículo de informática forense, no solo útil en tema de delitos informáticos sino de utilización de TICs en cualquier delito, se ha corregido la versión originaria que era vulneratorio de los derechos de privacidad, para dejarse bajo mandato de juez y bajo características y formas específicas.  Sin embargo hay que notar que varios de los datos añadidos en esta propuesta se encuentran bajo la protección de la legislación de datos personales (como por ejemplo el número IP), con lo cual sugerimos que este artículo sea analizado a la luz de dicha legislación.

Este artículo viene del Dictamen debatido en el Pleno.

"Articulo 235. Levantamiento del secreto bancario

(…)

5. Las empresas o entidades requeridas con la orden judicial deben proporcionar en el plazo máximo de treinta días hábiles la información correspondiente o las actas y documentos, incluso su originalidad, si así se ordena, y todo otro vinculo al proceso que determine por razón de su actividad, bajo apercibimiento de las responsabilidades establecidas en la ley. El juez fía el plazo en atención a las características, complejidad y circunstancias del caso en particular".

Este artículo es nuevo, no se encuentra en el dictamen llevado al pleno o en proyecto del Poder Ejecutivo. No es claro el motivo de su inclusión o su alcance dado que la modificación es directamente al artículo e implicaría que el mismo sea aplicable para cualquier requerimiento y no solamente para temas de la presente autógrafa. 

"Articulo 473. Ambito del proceso y competencia

1. Los delitos que pueden ser objeto de acuerdo, sin perjuicio de los que establezca la Ley, son los siguientes:

a) Asociacion ilícita, terrorismo, lavado de activos, delitos informáticos, contra la humanidad;

(…)"

CUARTA. Modificacion de los artículos 162, 183-A y 323 del Codigo Penal

Modifiquense los delitos 162, 183-A y 323 del Codigo Penal, aprobado por Decreto Legislativo 635, en los siguientes términos:

"Articulo 162. Interferencia telefónica

El que, indebidamente, interfiere o escucha una conversación telefónica o similar, será reprimido con pena privativa de libertad no menor de tres ni mayor de seis años.

Si el agente es funcionario publico, la pena privativa de libertad será no menor de cuatro ni mayor de ocho años e inhabilitación conforme al articulo 36, incisos 1, 2 y 4.

La pena privativa de libertad será no menor de cinco ni mayor de ocho años cuando el delito recaiga sobre información clasificada como secreta, reservada o confidencial de conformidad con las normas de la materia.

La pena privativa de libertad será no menor de ocho ni mayor de diez años, cuando el delito compro,eta la defensa, seguridad o soberanía nacionales."

Sin duda uno de los artículos más polémicos que presenta esta autógrafa. Es un articulo mordaza, planteado después de la circulación del audio del Ministro Cateriano, tal como fue indicado por el gobierno. 

Es importante señalar que ante un proyecto del Congresista Bedoya, que actualmente se encuentra en insistencia por parte del Poder Legislativo, la respuesta del Ejecutivo fue que el no incluir la excepción de "interés publico" generaría una problemática para la libertad de expresión, tal como se indica en la comunicación del gobierno al poder legislativo del 12 de enero del 2012, firmado por el Presidente.

La propuesta presentada por el Ejecutivo en ese momento era: 

"Articulo 162. Interferencia y difusión de comunicaciones privadas.

El que ilícitamente intercepte, interfiera, escucha, graba o difunde una comunicación privada será reprimido con pena privativa de libertad no menor de dos ni mayor de cuatro año.

Si el agente es funcionario público, la pena privativa de libertad será no menor de tres ni mayor de cinco años e inhabilitación conforme al artículo 36, numerales 1,2 y 4.

Esta exento de responsabilidad penal el que difunde comunicaciones que tuviesen un contenido delictivo perseguiste por acción penal pública o que sean de interés público, siempre y cuando no haya tenido intervención directa ni indirecta en la obtención ilícita de dichas comunicaciones".

Lo cierto que entre la propuesta del Ejecutivo de Enero 2012 a la de Julio 2013, hay una sustancial diferencial, tanto en penas, como en las excepciones, pero ademas también en los agravantes y la causales y tipos de información.

Evidentemente en un mundo de Sociedad de la Información, donde la transparencia que permiten los instrumentos digitales, así como las políticas de open government (que el mismo gobierno promueve) y de dialogo abierto con la población para el "accountability social", una propuesta como la realizada termina siendo cuestionable más cuando el mismo gobierno tiene una posición divergente primera.

Es entonces la propuesta de Julio del 2013, solo reactiva al caso Cateriano? o es que la propuesta anterior del mismo Ejecutivo y firmada por el Presidente no tiene validez? o el Cambio de Premier es lo que afecta de una posición más pro libertades a una de mayor restricción?

Evidentemente el artículo esta insertado incorrectamente en una ley de "delitos informáticos" dado que el bien protegido aquí es el secreto de las comunicaciones y no la información en si misma, siendo entonces que se esta aprovechando la oportunidad de incluir este artículo.

El no colocar que se trate de “información de interés público”, en la propuesta de Julio del 2013, limitará el accionar de la transparencia necesaria, sobre todo en lo que se refiere a personas del quehacer político, siendo que conversaciones aparentemente triviales pueden terminar afectando los derechos de muchos, y el hecho de no poder hacer un adecuado accountability afectará los procesos democráticos.

Es evidente que el ejecutivo, y ahora el legislador, esta buscando generar un control sobre el libertinaje de la información que muchas veces no se hace como instrumento de accountability sino con otra intencionalidad, pero en el contexto de una norma que no es de la temática.

Este articulo viene del Proyecto 2520/2012-PE presentado por el Poder Ejecutivo, en contrapie de una propuesta del Ejecutivo al Observar la autógrafa del Proyecto de Ley 0027/2011-CR (que se encuentra en insistencia en este momento)

"Articulo 183-A. Pornografía infantil

El que posee, promueve, fabrica, distribuye, exhibe, ofrece, comercializa o publica, importa o exporta por cualquier medio; objetos, libros, escritos, imágenes, vídeos o audios, o realiza espectáculos en vivo de carácter pornográfico, en los cuales se utilice a personas de catorce y menos de dieciocho años de edad, será sancionado con pena privativa de libertad no menor de seis ni mayor de diez años y con ciento veinte a trescientos sesenta y cinco días multa.

La pena privativa de libertad será no menor de diez ni mayor de doce años y de cincuenta a trescientos sesenta y cinco días multa cuando:

1. El menor tenga menos de catorce años de edad.

2. El material pornográfico se difunda a través de las tecnologías de la información o de la comunicación.

Si la víctima se encuentra en alguna de las condiciones previstas en el ultimo párrafo del articulo 173 o si el agente actúa en calidad de integrante de una organización dedicada a la pornografía infantil la pena privativa de libertad será no menor de doce ni mayor de quince años.

De ser el caso, el agente será inhabilitado conforme a los numerales 1,2 y 4 del articulo 36." 

Si bien este no es un delito informático sino un delito por medio informático, colocando a las TICs como agravantes, y aumentando las penas y clarifican la terminología que antes indicaba "imágenes visuales o auditivas" y ahora indica "imágenes, vídeos o audios"

Es un artículo que fortalece la política de lucha contra estos delitos y que buscan protegeré a nuestra infancia.

Este articulo viene del Proyecto 2520/2012-PE presentado por el Poder Ejecutivo

"Articulo 323. Discriminación

El que, por si o mediante terceros, discrimina a una o mas personas o grupo de personas, o incita o promueve en forma publica actos discriminatorios, por motivo racial, religioso, sexual, de factor genético, filiación, edad, discapacidad, idioma, identidad étnica y cultural, indumentaria, opinión política o de cualquier indo, o condición económica, con el objeto de anular o menoscabar el reconocimiento, goce o ejercicio de los derechos de la persona, será reprimido con pena privativa de libertad no menor de dos años, ni mayor de tres o con prestación de servicios a la comunidad de sesenta a ciento veinte jornadas.

Si el agente es funcionario o servidor publico la pena será no menor de dos, ni mayor de cuatro años e inhabilitación conforme al numeral 2 del articulo 36.

La misma pena privativa de libertad señalada en el párrafo anterior se impondrá si la discriminación se ha materializado mediante actos de violencia física o mental, o si se realiza a través de las tecnologías de la información o de la comunicación."

Incorporar los términos "tecnologías de la información o de la comunicación" es darle una categoría a la tecnología diferenciada, siendo entonces que es darle un peso diferenciado, cuando el hecho mismo no tiene relación con el medio, sino con el hecho.

Si la tecnología es la agravante, deberá también definirse a que se esta estableciendo como tecnologías de la información y de la comunicación. Si no se explícita terminara siendo aplicable a cualquier uso de tecnología desde la televisión hasta los diarios. 

Este articulo viene del Proyecto 2520/2012-PE presentado por el Poder Ejecutivo

DISPOSICION COMPLEMENTARIA DEROGATORIA

UNICA. Derogatoria

Deroganse el numeral 3 del segundo párrafo del articulo 186, y los artículos 207-A, 207-B 207-C y 207-D del Codigo Penal. 

El artículo a derogarse es el numeral 4 del segundo párrafo del artículo 186: " 4. Mediante la utilización de sistemas de transferencia electrónica de fondos, de la telemática en general o la violación del empleo de claves secretas.", dado que eliminar el numeral 3: "   3. Sobre bienes de valor científico o que integren el patrimonio cultural de la Nación." no tendría el mas mínimo sentido.

Ahora bien, lo que se esta eliminando no es un "delito informático" sino un delito por medio informático, siendo entonces que debería analizarse a profundidad el Código penal que presenta una treintena de delitos que incluyen términos informáticos o aplicables para la utilización de TICs para la cibercriminalidad (en el mismo artículo 186, el numeral 7: " Utilizando el espectro radioeléctrico para la transmisión de señales de telecomunicación ilegales", que es aplicable al WiFi.

II. Comentario Final

Tenemos la suerte de haber ido desarrollando normativa que da la posibilidades de crecer en la Sociedad de la Información, para utilizar sus ventajas para el desarrollo del Perú, normativas sobre firma digital, manifestación de la voluntad por medios electrónicos, seguridad de la información, protección de datos personales, lucha contra el spam, contra la pornografía infantil, sobre acceso a la información publica, sobre portales de transparencia, y la recientemente aprobada por el Pleno del Congreso, la ley de promoción de la banda ancha, entre muchas que dan el marco para una Sociedad de la Información.

Sin embargo, y a pesar que diversos espacios de dialogo internacionales (como la Asamblea de Naciones Unidas, WSIS y eLAC) que han venido promoviendo diversos instrumentos como la adopción del Acuerdo de Budapest de Cybercrimen para dar herramientas para combatir el mal uso de las Tecnologías de la Información y la Comunicación (TICs) en el contexto de la Sociedad de la Información, no hemos logrado avanzar de manera real y efectiva en esta área.

Somos uno de los países que más tempranamente adoptaron una regulación en tema de delitos informáticos (delitos que afectan al bien jurídico información) con la incorporación de los artículos 207A, 207B y 207C, enfocados en el intrusismo informático y en el cracking. Luego desarrollamos una legislación para fortalecer el combate contra la pornografía infantil, les dimos potestades a los fiscales para poder intervenir en comunicaciones (incluyendo comunicaciones digitales) pero no les dimos para temas de delitos por medio de TICs, y se han planteado diversos proyectos para adecuar los tipos penales existentes, pero no se han completado.

Es pues necesario un instrumento internacional, como el Convenio de Cybercrimen, que nos permita insertarnos en los esfuerzos internacionales y no quedar como una isla no regulada. El Convenio aparte de haber sido firmado por los países europeos, USA, Japón, Australia, Nueva Zelandia entre otros, presenta de la región Latinoamericana a Argentina, Chile, Costa Rica, Republica Dominicana y México que han firmado o ya están en proceso de ratificación del acuerdo. Mientras que otros países ya se encuentran en proceso de firmar el acuerdo.

Da instrumentos para adecuación normativa, para cooperación internacional y abre las puertas para el desarrollo de normativa sobre informática forense, necesaria para darle instrumento a la Policía y la Fiscalía para la persecución del delito.

Siendo de relevancia para el desarrollo de la Sociedad de la Información y con ello crear un marco normativo favorable al desarrollo de la industria TIC pero sobre todo para el desarrollo social, la pregunta a hacerse es: ¿Y el Perú cuando firmará y ratificará el Acuerdo de Cybercrimen, o es que deseamos ser una isla donde impunemente se utilice la cyberdelincuencia para delinquir?

Por todo lo antes expresado la autógrafa no puede continuar como se encuentra, debe volver a Comisión en el mejor de los casos, o pasar al archivo y volverse a planter una propuesta de la adhesión del Perú al Convenio de Cybercrimen, en un marco de respeto irrestricto a las libertades y derechos constitucionalmente protegidos, y en dicho marco plantear una legislación en materia de delitos informáticos, analizar que hacer con los delitos por medios informáticos y brindar herramientas de informática forense a la Policia.

Atentamente,

Erick Iriarte Ahon
Socio Principal
Iriarte & Asociados

Cargos de los documentos entregados: