(A casi 20 años de la firma de la Convención de Cibercriminalidad de Budapest)
Por Martín Pecoy Taque
Resumen: En julio de 2021 fue presentado en el Parlamento uruguayo un nuevo proyecto de ley que pretende regular los llamados delitos informáticos o ciberdelitos, mediante el cual se plantea la creación de 9 delitos (a lo que se agrega la consideración del terrorismo digital como delito de naturaleza terrorista), y aunque en la Exposición de Motivos dice basarse en la Convención de Budapest de noviembre de 2001 y que pretende "establecer los distintos tipos penales internacionalmente consagrados", resulta notorio que echan en falta varios tipos penales de dicha Convención, amén de que no se justifica criminológicamente la necesidad de tipificar en Uruguay las figuras típicas que se proponen. Se trata del quinto proyecto de ley de delitos informáticos en Uruguay, y significa una gran oportunidad de analizar la temática que hace 20 años fue acometida por el instrumento que resulta ser el paradigma internacional al respecto, la Convención de Cibercriminalidad de Budapest.
Sumario: 1. Introducción. 2. El proyecto. 3. Valoración de cada delito que propone el texto del proyecto. 4 Conclusiones.
1. Introducción.
Uruguay adolece de una regulación sistemática de los delitos informáticos, y si bien este proyecto de ley ingresado el parlamento en julio de 2021 no presenta una redacción intachable, sí puede significar un gran primer paso que sería la consideración del asunto por nuestro Legislador.
En efecto, el proyecto plantea la creación de 9 delitos, a saber: 1) Acceso ilícito a datos informáticos, 2) Daños informáticos, 3) Abuso de dispositivos, 4) Estafa informática, 5) Grooming, 6) Acoso telemático, 7) Vulneración de datos, 8) Suplantación de identidad, y 9) Terrorismo digital.
Pero cabe preguntarse ¿el proyecto de ley uruguayo de ciberdelitos 2021 es una regulación oportuna o los tipos penales existentes ya son suficientes al efecto?
Para responder a esa pregunta pienso que es necesario previamente hacer un poco de historia.
La Unión Europea firmó en noviembre de 2001 (sí, hace casi 20 años) la Convención de Cibercriminalidad de Budapest (en adelante “Budapest”), el instrumento de referencia internacional en materia de delitos informáticos, que no sólo ha sido ratificado por países de ese continente, y eso demuestra su universalidad.
Resalta asimismo, la vocación de universalidad que tiene el documento, y también de la necesidad de generalizar esta norma que demuestra Europa, porque antes del año 2017 buscó invitar a Argentina para influir en la región, dado que encuentra una férrea oposición de Brasil (país que junto con Rusia pretende generar un acuerdo similar pero en ámbito de la ONU), pero concretamente, en diciembre de 2016 la Unión Europea materializó la intención de manera expresa, porque el Consejo de Europa instó a los países latinoamericanos a que adapten su legislación sobre ciberdelincuencia y a que se adhieran a su Convenio de Budapest.
En cualquier caso, en el Mercosur solamente Argentina y Paraguay ratificaron Budapest, pero Uruguay y Brasil no lo hicieron.
¿Por qué realizo este preámbulo? Porque pese a ese camino errático, es menester resaltar que Uruguay sí tipificó conductas que a nivel comparado se consideran delitos informáticos (por ejemplo el delito de Falsificación de documento electrónico -Artículo 4 Ley 18.600 de 21.09.2009 aunque la primera tipificación data del año 1996-, y el delito de Grooming -art. 277 bis Código Penal en adelante “CP” incorporado por el Artículo 94 de la Ley 19.580 de 22.12.2017-).
De manera que Uruguay se ha preocupado por la problemática de la ciberdelincuencia, aunque le falta una política criminal estructurada al respecto, que esperemos se logre a partir del proyecto de ley presentado en julio 2021.
2. El proyecto.
Pero ya entrando al contenido de lo propuesto, vale decir que, pese a que el texto del proyecto se plantea como objetivo el establecer los distintos tipos penales internacionalmente consagrados, es notorio que no se consideran algunas conductas que la normativa y doctrina internacional califican como delitos informáticos o ciberdelitos. En efecto, por ejemplo el espionaje informático empresarial o la denegación de servicio de nombres de dominio no son mencionados en el texto propuesto.
Sin embargo, resulta muy positivo que en este proyecto se proponga crear delitos por la casi totalidad de las conductas que Uruguay se ha comprometido a tipificar en documentos internacionales que ha suscrito, por ejemplo en la Recomendación de la Conferencia de Ministros de Justicia de los Países Iberoamericanos (COMJIB) relativa a la Tipificación y Sanción de la Ciberdelincuencia.
Además, nuestro país tiene un debe al respecto, desde que el Reporte de Ciberseguridad de la OEA del año 2020 establece que Uruguay no ha presentado legislación sustantiva ni procesal contra el ciberdelito.
Este es el quinto proyecto de ley de delitos informáticos en Uruguay (fueron presentados proyectos en los años 1997, 2010, 2014 y 2016), y si lo comparamos con la Convención de Budapest emerge este cuadro comparativo:
3. Valoración de cada delito que propone el texto del proyecto.
En materia de los tipos penales contenidos en el proyecto que resultan superabundantes podemos resaltar los siguientes:
1. DELITO DE GROOMING: El Grooming ya está tipificado en Uruguay en la Ley 19.580 de 22.12.2017 Artículo 94 -que incorporó el artículo 277 bis al CP- cuyo texto se transcribe a continuación: "Artículo 277-BIS. El que, mediante la utilización de tecnologías, de internet, de cualquier sistema informático o cualquier medio de comunicación o tecnología de trasmisión de datos, contactare a una persona menor de edad o ejerza influencia sobre el mismo, con el propósito de cometer cualquier delito contra su integridad sexual, actos con connotaciones sexuales, obtener material pornográfico u obligarlo a hacer o no hacer algo en contra de su voluntad será castigado con de seis meses de prisión a cuatro años de penitenciaría." Por lo tanto, se generarían posibles conflictos de derogación tácita de la figura del año 2017.
2. DELITO DE ACOSO TELEMÁTICO: La divulgación de imágenes íntimas que es una de las conductas castigadas en este proyecto ya está tipificada en Uruguay en la Ley 19.580 de 22.12.2017 Artículo 92 cuyo texto figura a continuación: "Artículo 92 (Divulgación de imágenes o grabaciones con contenido íntimo).- El que difunda, revele exhiba o ceda a terceros imágenes o grabaciones de una persona con contenido íntimo o sexual, sin su autorización, será castigado con una pena de seis meses de prisión a dos años de penitenciaría. En ningún caso se considerará válida la autorización otorgada por una persona menor de dieciocho años de edad. Este delito se configura aun cuando el que difunda las imágenes o grabaciones haya participado en ellas. Los administradores de sitios de internet, portales, buscadores o similares que, notificados de la falta de autorización, no den de baja las imágenes de manera inmediata, serán sancionados con la misma pena prevista en este artículo." Por lo tanto, se generarían también en este caso posibles conflictos de derogación tácita de la figura del año 2017.
Por otra parte, los delitos que sí parecen ser de necesario debate parlamentario con miras a su creación son los siguientes:
I. DELITO DE ACCESO ILÍCITO A DATOS INFORMÁTICOS: El texto está alineado a lo sugerido por Budapest (que propone denominarlo Acceso ilícito), pero en materia de pena no resulta justificado por qué es más grave el acceso ilícito informático que la interceptación de noticia telegráfica que ya preveía el artículo 297 CP, porque se plantea una pena de reclusión para el caso del acceso informático cuando la figura del 297 CP preveía únicamente una pena pecuniaria. Convendría dar el debate, porque en Derecho Comparado se observa disparidad de criterios por ejemplo de dos países culturalmente semejantes pero con tipificaciones diversas en el caso del acceso ilícito, a saber: Portugal (artículo 6 de la Ley nº 109/2009) únicamente requiere en su tipo penal de acceso ilícito que el sujeto activo de la conducta reprobada acceda al sistema informático ajeno; mientras que Brasil (artículo 154 A del CP) exige en su precepto además del acceso la presencia de una finalidad concreta de dañar datos o acceder a información confidencial.
II. DELITO DE DAÑOS INFORMÁTICOS: El texto está alineado a lo sugerido por Budapest (que propone denominarlo Atentados contra la integridad de los datos) pero en materia de pena no resulta justificado por qué se sugiere el castigo con pena de reclusión.
III. DELITO DE ABUSO DE DISPOSITIVOS: El texto está alineado a lo sugerido por Budapest (que propone denominarlo Abuso de equipos e instrumentos técnicos) pero en materia de pena no resulta justificado por qué se sugiere el castigo con pena de reclusión.
IV. DELITO DE SUPLANTACIÓN DE IDENTIDAD: No está tipificado en Uruguay ni fue previsto en Budapest, por lo que esta novedad legislativa en bienvenida con beneplácito, sin perjuicio de las eventuales correcciones que en materia de dogmática pudieren corresponder en cuanto a la redacción del precepto (lo cual excede el objeto del presente).
V. DELITO DE TERRORISMO DIGITAL: Si bien Budapest no presenta esta sugerencia de tipificación, la redacción coincide parcialmente con la redacción que a nivel comparado resulta de destaque, me refiero a la norma de Estados Unidos denominada PARIOT (por sus siglas Providing Appropriate Tools Required to Intercept and Obstruct Terrorism) ACT del año 2001. En efecto esa norma limita la definición de ciberterrorismo a los actos de espionaje y sabotaje al igual que esta propuesta del proyecto de ley uruguayo 2021.
Finalmente, existen delitos que merecen algunas críticas concretas, sea por lo insuficiente o por los errores técnicos que pueden suponer derogaciones tácitas de disposiciones ya vigentes:
A. DELITO DE ESTAFA INFORMÁTICA: No soluciona el problema de la inducción en error a un sistema informático, porque solamente postula castigar las inducciones en error de alguna persona (si bien se habla de manipulaciones informáticas o artificios afines, no es claro que se castigue la inducción en error del sistema informático).
B. DELITO DE VULNERACIÓN DE DATOS: Se presenta en este caso alguna posibilidad de derogación tácita del artículo 300 CP cuya redacción transcribimos: "Art. 300 (Conocimiento fraudulento de documentos secretos) El que, por medios fraudulentos, se enterare del contenido de documentos públicos o privados, que por su propia naturaleza debieran permanecer secretos, y que no constituyeran correspondencia, será castigado siempre que del hecho resultaren perjuicios, con 20 U.R. (veinte unidades reajustables) a 400 U.R. (cuatrocientas unidades reajustables) de multa." Otro tanto ocurre con el artículo 11 de la Ley 18.331: "Aquellas personas físicas o jurídicas que obtuvieren legítimamente información proveniente de una base de datos que les brinde tratamiento, están obligadas a utilizarla en forma reservada y exclusivamente para las operaciones habituales de su giro o actividad, estando prohibida toda difusión de la misma a terceros. Las personas que, por su situación laboral u otra forma de relación con el responsable de una base de datos, tuvieren acceso o intervengan en cualquier fase del tratamiento de datos personales, están obligadas a guardar estricto secreto profesional sobre los mismos (artículo 302 del Código Penal), cuando hayan sido recogidos de fuentes no accesibles al público. Lo previsto no será de aplicación en los casos de orden de la Justicia competente, de acuerdo con las normas vigentes en esta materia o si mediare consentimiento del titular." En consecuencia, es una lástima que no se haya tomado el recaudo de precaver esa dificultad de aplicación estableciendo previsiones al respecto en el texto propuesto.
4. Conclusiones.
Más allá de las disquisiciones técnicas antedichas, tengo la esperanza de que Uruguay apruebe la Convención de Budapest, pero también de que en el Parlamento se sometan a un riguroso análisis las figuras típicas allí propuestas, así como las propuestas en este proyecto de ley ingresado en julio de 2021, para criminalizar conductas que corresponda castigar acorde a la política criminal que esta legislatura decida darse, porque estamos ante una cuestión dinámica, desde que incluso el propio Convenio de Budapest ha requerido ajustes, y también la más pionera legislación como lo fue la española debió adaptarse en 2010 para estar a la altura de los tiempos, aprobando el convenio de Budapest pese a que contaba con delitos informáticos tipificados en su Código Penal ya desde el año 1995.
Sea de ello lo que fuere, para que Uruguay no elabore meramente un derecho penal simbólico, y teniendo en cuenta que la ausencia de nueva normativa específica no necesariamente implica un vacío legal, pienso que es necesario realizar estudios criminológicos previos que se aporten como insumo al Parlamento, como forma de conocer de qué conductas es víctima habitualmente nuestra población, y con base en ello legislar concienzudamente.
En definitiva, confío en que este proyecto que está a estudio del Parlamento podrá ser adecuadamente perfeccionado y dará sus frutos en su debido momento, facilitando al operador jurídico las herramientas necesarias para perseguir adecuadamente el cibercrimen.
Comments