Comentarios respecto del Proyecto de Ley de Delitos Informáticos remitidos a la Comisión de Justicia y Derechos Humanos

Respecto al PRE-DICTAMEN

 

1. Sugerimos introducir dentro del numeral  3.1 (Antecedentes normativos Internacionales) el siguiente:

2004: Entra en vigencia el Convenio sobre la Ciberdelincuencia, adoptado en Budapest el 23 de noviembre del 2001 por el Comité de Ministros del Consejo de Europa en su sesión N° 109, el cual, a la fecha, es el único acuerdo internacional que cubre todas las áreas relevantes de la legislación sobre ciberdelincuencia, a saber aspectos relacionados al derecho penal, derecho procesal penal y temas de cooperación internacional en la investigación, persecución y juzgamiento de esta clase de delitos.

 

Consideramos que la inclusión del indicado convenio es sumamente importante, pues es el primer esfuerzo internacional materializado normativamente respecto de la criminalización de los denominados “delitos informáticos”; pero además es importante porque contiene una serie de disposiciones relativas a aspecto procesales, así como a temas relacionados a la cooperación internacional relacionados a tales delitos, habida cuenta de las características particulares de los mismos. 

 

2. Dentro del numeral 3.3.1 sobre Clasificación según la actividad informática, sugerimos cambiar la terminología utilizada en el literal D. «Pesca» u «olfateo» de claves secretas, por la siguiente terminología:  «Phishing»  o  «Pesca»  de  claves  secretas;  al  ser  el  término PHISHING  el  término  más generalizado a nivel mundial para referirse a esta clase de acciones.

 

Igualmente dicho término no solo es utilizado por profesionales o técnicos del ámbito computacional o informático, sino que también es utilizado a nivel legal  por diversos expertos en la materia, así como en diversos artículos referidos al tema, además de ser también utilizado  por  la  prensa  nacional  al momento de dar cuenta de este clase de actividades; todo lo cual hace que el público peruano, así los operados de justicia nacional, estén más familiarizados con dicha terminología.

 

3. Sugerimos eliminar el título del literal K. (Infracción del Copyright de bases de datos:) pues tales comportamientos ya están dentro del literal J. (Infracción de los derechos de autor), en la medida que las bases de datos son parte de los derecho de autor.

 

4. Sugerimos eliminar la frase "las empresas constructoras" del segundo párrafo del numeral 3.6, pues el mismo hace referencia exclusiva a entidades financieras y bancarias.

 

Respecto del TEXTO SUSTITUTORIO.

 

1. Respecto del Objeto de la Ley 

Sugerimos muy respetuosamente considerar el Objeto del Proyecto de  Ley  materia  de análisis, pues la doctrina establece que los “delitos informáticos” afectan al bien jurídico "información" (en  cualquiera  de  sus  formas:  desde  mensajes  de  datos  hasta  sistemas informáticos complejos),  y no al bien jurídico "confianza en la informática", en la medida que tal confianza  es resultado  justamente de que la  información  no  haya  sido  alterada, modificada, copiada, o manipulada de cualquiera manera; manteniendo su confidencialidad, integridad y/o disponibilidad para sus legítimos usuarios.

 

2. Respecto del Glosario de Términos.

Sugerimos muy respetuosamente utilizar definiciones más técnicas o estandarizadas  a  las utilizadas en Proyecto de Ley, como el glosario de términos contenido en el Convenio sobre la Ciberdelincuencia, adoptado en Budapest el 23 de noviembre del 2001 por el Comité de Ministros del Consejo de Europa. Igualmente se puede recurrir al glosario de términos del Sistema de Seguridad Nacional de los Estados Unidos de Norteamérica - Federal Standard 1037C, MIL-STD-188  o  las  emitidas  por  organizaciones  internacionales relacionadas a temas informáticos  como “The  Internet Engineering Task Force (IETF)”; a la luz de la especial naturaleza de los delitos informáticos y su íntima relación con la informática y los sistemas computacionales.

 

3. Respecto de la tipología de los delitos informáticos contenidos en el Proyecto de Ley, sugerimos adecuar la redacción de los mismos a los términos de los tipos penales descritos en el Convenio sobre la Ciberdelincuencia; en especial los referidos a los delitos de Intrusismo informático, Interceptación ilícita, Ataques a la integridad de los Datos y Sistemas, Falsificación informática y Espionaje informático; a fin de mejorar la redacción y lenguaje de los tipos penales.

 

4. Respecto del artículo 6º sobre Prestación de equipos y servicios con fines de intrusismo y/o sabotaje; creemos necesario que se incluya un párrafo que explícitamente elimine la responsabilidad penal en aquellos casos en los que se importe, fabrique, posea, distribuya, venda o utilice equipos o dispositivos con el propósito de destinarlos a vulnerar o eliminar la seguridad de cualquier sistema de información o de una tecnología de información, o el que ofrezca o preste servicios que contribuyan a ese propósito; que no tengan por objeto la 

comisión de un delito.

 

Ello en virtud que la importación, fabricación, posesión, distribución, venta o utilización de equipos o dispositivos con capacidad de vulnerar o eliminar la seguridad de cualquier sistema de información, así como la prestación de servicios que contribuyan a ese propósito; NO SIEMPRE y EXCLUSIVAMENTE constituyen delitos por sí mismos. En efecto, en el rubro de la llamada Seguridad de la Información (que además está recogida en la Norma Técnica Peruana NTP-ISO/IEC 17799 - "Código de buenas prácticas para la gestión de la seguridad de la información" de uso e implementación obligatoria por parte de las entidades gubernamentales peruanas de acuerdo a lo dispuesto por el Resolución Ministerial N° 246-2007-PCM), puede resulta totalmente legal, válido y hasta necesario que las personas o empresas que brindan tales servicios requieran  importar, fabricar, poseer, distribuir, vender y/o utilizar equipos o dispositivos, o prestar servicios de consultoría con el propósito vulnerar o eliminar la seguridad de un sistema de información en particular de una empresa privada o entidad estatal, pero no para cometer algún delito; sino para verificar si los sistemas informáticos de la entidad en cuestión son seguros y confiables, así como para identificar los "huecos de seguridad que poseen" mediante la realización de pruebas de Hacking Ético o Vulnerabilidad y, así, poder  implementadas  medidas técnicas  a fin de cubrir tales deficiencias o “huecos de seguridad”.

 

En efecto, se debe tener en consideración que dentro de la implementación de un sistema de seguridad de la información de un sistema informático cualquiera, en el mercado nacional e internacional,  se  brindan  servicios  conocidos  como  "Penetration  Test,  Ethical  Hacking, Hacking Ético o Prueba de Vulnerabilidad"

 

Hacking Ético o Prueba de Vulnerabilidad es un conjunto de metodologías y técnicas, para realizar una evaluación integral de las debilidades de los sistemas informáticos; y consiste en un modelo que reproduce intentos de acceso, a cualquier entorno informático, de un intruso potencial desde los diferentes puntos de entrada que existan, tanto internos como remotos. El objetivo general del Hacking Ético o Prueba de Vulnerabilidad es acceder a los equipos informáticos de la organización tratada e intentar obtener los privilegios del administrador del sistema, logrando así realizar cualquier tarea sobre dichos equipos; pero sin que medie para ello un ánimo delictivo, destructivo, fraudulento o mal intencionado; sino con el ánimo de probar las medidas de seguridad del sistema en cuestión, identificarlas y, posteriormente, corregirlas a fin de que los verdades delincuentes no las aprovechen a su favor en la comisión de delitos que se pretenden regular con el presente Proyecto de Ley.

 

Así, el Hacking Ético o Prueba de Vulnerabilidad incluye, entre muchas otras, las siguientes actividades: Pruebas de usuarios y la "fuerza" de sus passwords, Captura de tráfico, scanning de puertos TCP, UDP e ICMP, Intentos de acceso vía accesos remotos, módems, Internet, etc., Pruebas de vulnerabilidades existentes, Prueba de ataques de Denegación de Servicio.

 

Entonces, de no modificar el texto del presente artículo, podría estarse sancionando penalmente a diversas personas  por  la simple  importación, fabricación, posesión, distribución, venta o utilización de equipos o dispositivos con el propósito de destinarlos a vulnerar o eliminar la seguridad de cualquier sistema de información, o brindar servicios a tal fin; sin que se haya afectado efectivamente algún bien jurídicamente tutelado, pues es justamente su trabajo es el desarrollar esa clase de actividades y siempre a requerimiento o solicitud de los propios titulares y/o propietarios de los sistemas informáticos en donde se van a realizar dichas pruebas de vulneración de seguridad.

 

Igual lógica y análisis solicitamos sea aplicado, mutatis mutandis, al texto del Artículo 19º (Posesión de equipo informático para falsificación de medios electrónicos de pago) del Proyecto de Ley.

 

5. Respecto del artículo 8 sobre Violación de la intimidad de la data personal, sugerimos revisar la redacción y alcance del mismo, habida cuenta que el tema de protección de datos personales ya está regulado en la Ley 29733, publicada el 3 de julio del 2011 en la sección de normas legales del diario Oficial El Peruano, la cual dispone en su Título VII una serie de infracciones y sanciones administrativas.

 

6. Respecto del artículo  9° (Violación del secreto de las comunicaciones),   sugerimos analizarlo a la luz del los tipos penales desarrollados en el CAPITULO IV - VIOLACION DEL SECRETO DE LAS COMUNICACIONES del Código Penal vigente, en especial el artículo 161°; a fin de no crear un nuevo tipo penal, sino mejorar la redacción y contenido del tipo penal existente.

 

7. Respecto del artículo 11º (Tenencia y tráfico de material de pornografía infantil), sugerimos analizarlo a la luz del tipo penal desarrollado en el Artículo 183-A.- Pornografía infantil del Código Penal vigente; a fin de no crear un nuevo tipo penal, sino mejorar la redacción y contenido del tipo penal existente.

 

8. Respecto del artículo 13º (Hurto informático), sugerimos analizarlo a la luz del tipo penal desarrollado en  el Artículo 186, numeral 3) sobre agravante de hurto agravado, a fin de mejorar la redacción del tipo penal existente.

 

9. Respecto del artículo 14º (Fraude informático), sugerimos analizarlo a la luz del tipo penal desarrollado en el Capítulo  V - ESTAFA Y OTRAS DEFRAUDACIONES, es especial del Artículo 197: casos de defraudación, a fin de mejorar la redacción del tipo penal existente.

 

10. Respecto del artículo 22º (Reproducción de obra sin autorización), sugerimos analizarlo a la luz del tipo penal desarrollado TITULO VII -  DELITOS CONTRA LOS DERECHOS INTELECTUALES, en especial los artículos contenidos en el CAPITULO I - DELITOS CONTRA LOS DERECHOS DE AUTOR Y CONEXOS, a fin de mejorar la redacción del tipo penal existente.

 

11. Respecto del Artículo 24º (Omisión de deber de denuncia) somos de la opinión de eliminar completamente dicho artículo del texto del Proyecto de Ley, habida cuenta que una cláusula de este tipo puede generar mucho debate respecto a su alcance y la forma de aplicación y en cómo efectivamente, un proveedor de servicios de acceso a Internet (ISP), puede  conocer  que  se  va  a  realizar  o  se  está  realizando  un  delito  informático  a  fin  de realizar la denuncia del caso.

 

Al respecto en foros internacional existe el debate encendido, no pacífico y aún no definido, respecto de la obligación de los ISP de denunciar este tipo de delitos, ante una eventual responsabilidad penal, cuando técnicamente la única forma de tener conocimiento de ellos es, en muchas de las veces, el tener que acceder a las comunicaciones personales de sus usuarios, o a la información confidencial o personal de los mismos o a los datos del tráfico de sus usuarios; lo cual evidentemente choca de forma frontal y directa con el derecho de los mismos usuarios sobre su intimidad y/o secreto de sus comunicaciones, derecho constitucionalmente protegido.

 

En ese sentido, el tener una obligación de este tipo para los ISPs podría determinar que: i) los ISP violen derecho de sus usuarios a fin de no tener responsabilidad penal por la omisión de tales hechos, o ii) el tipo penal sea totalmente ineficaz, pues el ISP a fin de no ser denunciado por sus usuarios por prácticas en contra de sus derecho de secreto de las comunicaciones o intimidad, evitan realizar este tipo de denuncias y/o averiguaciones, si no es que medie, de forma previa y expresa, una orden judicial a tal fin, tal y como la legislación penal vigente exige en el caso de interceptación de las comunicaciones. 

 

Por la consideraciones anteriores nos permitimos sugerir que este tipo penal sea eliminado del texto del Proyecto de Ley o, en su defecto,  sea  motivo  de  un  análisis  mucho  más profundo y calmado respecto de su redacción y alcance, teniendo en cuenta necesariamente la opinión de los actores relacionaos, es decir los propios ISP´s, así como usuarios de los mismos y otros expertos en el tema.

 

12. Respecto del CAPITULO IX  - DISPOSICIONES PROCESALES, sugerimos analizar la redacción, lenguaje y alcance de tales artículos a la luz de los normas procesales contenidas en el Convenio sobre la Ciberdelincuencia, adoptado en Budapest el 23 de noviembre del 2001 por el Comité de Ministros del Consejo de Europa, antes citado.

 

13. Sugerimos tener en cuenta para el análisis del Presente Proyecto de Ley la normativa contenida en el Convenio sobre la Ciberdelincuencia, en especial lo relativo a Tentativa y Complicidad  (artículo  11  del  Convenio)  y  el  Capítulo  III sobre Cooperación Internacional, habida cuenta de la naturaleza transfronteriza de muchos de los llamados “delitos informáticos”

 

14. Finalmente sugerimos que se incorpore al texto del Proyecto de Ley,  el  que nuestro país suscriba Convenio sobre la Ciberdelincuencia.