EL PROYECTO DE LEY URUGUAYO DEL AÑO 2021 QUE PRETENDE LA TIPIFICACIÓN DE LOS CIBERDELITOS EN URUGUAY
Martín Pecoy Taque[1]
Resumen: El día 3 de agosto de 2021 fue presentado en el Parlamento uruguayo un nuevo proyecto de ley (el quinto en la historia uruguaya) que pretende regular los llamados ciberdelitos, pues plantea la creación de nueve delitos, y aunque en la Exposición de Motivos dice basarse en la Convención de Budapest de noviembre de 2001 y que pretende "establecer los distintos tipos penales internacionalmente consagrados", resulta notorio que echan en falta algunos tipos penales sugeridos en dicha Convención y otros existentes en el Derecho Comparado, amén de que no se presenta en la propuesta una justificación criminológica de la necesidad de crear en Uruguay las figuras típicas insinuadas. Representa una gran oportunidad de analizar la temática de la ciberdelincuencia, que hace 20 años fue acometida por el instrumento que resulta ser el paradigma internacional al respecto, la Convención de Cibercriminalidad de Budapest.
Sumario: 1. Generalidades del proyecto en relación con el marco normativo comparado. 2. Lo propuesto por Budapest versus lo propuesto en el proyecto de ley uruguayo 2021. 3. Análisis de cada delito que propone el texto del proyecto. 4 Conclusiones.
1. Generalidades del proyecto en relación con el marco normativo comparado.
Pese a que el texto del proyecto de ley ingresado al parlamento uruguayo el día 3 de agosto de 2021[2] se propone establecer los distintos tipos penales internacionalmente consagrados, es notorio que no se consideran algunas conductas que la normativa y doctrina internacional consideran delitos informáticos o ciberdelitos.
En efecto, el proyecto plantea la creación de los siguientes delitos, a saber: 1) Acceso ilícito a datos informáticos, 2) Daños informáticos, 3) Abuso de dispositivos, 4) Estafa informática, 5) Grooming, 6) Acoso telemático, 7) Vulneración de datos, 8) Suplantación de identidad, y 9) Terrorismo digital.
Sin embargo, por ejemplo el espionaje informático empresarial o la denegación de servicio de nombres de dominio no son consideradas en el texto propuesto.
Esas son algunas de las conductas que se pueden incluir dentro de la clasificación de los ciberdelitos a nivel comparado.
Las clasificaciones podemos encontrarlas en instrumentos internacionales (como el suscrito por la Unión Europea en noviembre de 2001, la Convención de Cibercriminalidad de Budapest[3] que es el instrumento de referencia en la materia[4]), ya que Budapest presenta una clasificación de criminalidad informática ordenada conforme al bien jurídico protegido:
• CONDUCTAS QUE AFECTAN DATOS y SISTEMAS INFORMÁTICOS:
• Acceso ilícito e Interceptación ilícita (Hacking) Daño de datos o sistema (Sabotaje).
• CONDUCTAS QUE AFECTAN LA AUTENTICIDAD:
• Falsificación de documento electrónico;
• Estafa informática.
• CONDUCTAS RELATIVAS A PORNOGRAFIA INFANTIL:
• Producción, ofrecimiento, difusión, búsqueda y posesión de pornografía infantil.
• CONDUCTAS RELATIVAS A PROPIEDAD INTELECTUAL:
• Reproducción ilícita de obras;
• Reproducción ilícita de fonogramas y videogramas.
Y también podemos encontrar clasificaciones en la doctrina comparada (una clasificación conforme a la finalidad de la conducta):
• INFORMÁTICA COMO OBJETO DE DELITO:
• Sabotaje, Piratería, Hacking, DDNS.
• INFORMÁTICA COMO MEDIO DE DELITO:
• Falsificación de documento electrónico;
• Cajeros automáticos y tarjetas de crédito;
• Robo de identidad;
• Fraudes electrónicos;
• Pornografía infantil.
• INFORMÁTICA COMO OCASIÓN DE DELITO:
• Venta de software violando propiedad incorporal, Warez.
• INFORMACIÓN COMO VALOR ECONÓMICO DE EMPRESA:
• Espionaje informático empresarial;
• Sabotaje informático empresarial.
En todo ese marco, resulta notorio que el asunto ya ha recorrido varias etapas a nivel mundial, dado que se dice que han existido “Oleadas” de legislación en delitos informáticos (o más precisamente reformas normativas referidas a la delincuencia informática), a saber:
1. En la década de 1970 la normativa corresponde a la protección de la privacidad;
2. En la 1ª mitad de la Década de 1980 la normativa es referida a delitos económicos;
3. En la 2ª mitad de la Década de 1980 se acometió la protección de la propiedad intelectual;
4. En la década de 1990 se sucedieron reformas procesales en cuanto a la prueba digital;
5. A partir del año 2001 la oleada refiere a la lucha contra el terrorismo en el plano digital.
En ese contexto resalta negativamente que Uruguay no hay regulado de manera sistemática el asunto, aunque sí tipificó conductas que a nivel comparado se consideran delitos informáticos (por ejemplo el delito de Falsificación de documento electrónico -Artículo 4 Ley 18.600 de 21.09.2009, si bien la primera tipificación data del año 1996-, y el delito de Grooming -art. 277 bis Código Penal en adelante “CP” incorporado por el Artículo 94 de la Ley 19.580 de 22.12.2017-).
Adolece pues Uruguay de una política criminal estructurada al respecto, que tenemos la esperanza se consiga mediante el proyecto de ley presentado en agosto de 2021, el cual analizaré a continuación.
2. Lo propuesto por Budapest versus lo propuesto en el proyecto de ley uruguayo 2021.
Pese a ello, resulta muy positivo que en este proyecto se proponga crear delitos en casi la totalidad de las conductas que Uruguay se ha comprometido a tipificar en documentos internacionales que ha suscrito, por ejemplo en la Recomendación de la Conferencia de Ministros de Justicia de los Países Iberoamericanos (COMJIB) relativa a la Tipificación y Sanción de la Ciberdelincuencia[5], o en la Convenio Iberoamericano de Cooperación sobre Investigación, Aseguramiento y Obtención de Prueba en materia de Ciberdelincuencia[6].
Como decíamos supra, Uruguay no ha establecido una legislación clara ni sistemática en esta materia, por lo que este proyecto y el debate que esperemos genere en el Parlamento es muy bienvenido, porque es notorio que nuestro país tiene un debe al respecto desde que el Reporte de Ciberseguridad de la OEA del año 2020[7] establece que Uruguay no ha presentado legislación sustantiva ni procesal contra el ciberdelito.
Ahora bien, el proyecto razonablemente apunta a Budapest como una de sus referencias, puesto que como decíamos en otra obra “La Convención de Cibercriminalidad de Budapest de 2001 es la más perfeccionada norma internacional en la materia”.[8]
Tal como se enunciaba en el resumen de este trabajo, se trata del quinto proyecto de ley de delitos informáticos en Uruguay (fueron presentados proyectos en los años 1997[9], 2010[10], 2014[11] y 2016[12]), y si lo comparamos con la Convención de Budapest emerge este cuadro comparativo en el que transcribimos a texto completo las disposiciones respectivas:
BUDAPEST |
PROYECTO |
ACCESO ILÍCITO. Artículo 2. “acceso doloso y sin autorización a todo o parte de un sistema informático” |
ACCESO ILÍCITO A DATOS INFORMÁTICOS. “Artículo 5. Agréguese al Libro II, Tìtulo XI - Capítulo III del Código Penal, el siguiente artículo: ARTÍCULO 297 - Inc. 2. (Acceso ilícito a datos informáticos).- El que mediante medios informáticos o telemáticos, con la intención de informarse sobre su contenido o vulnerar la intimidad de otro, acceda, se apodere o interceptare mensajes de correo electrónico, documentos, archivos o cualquier otro dato disponible en soporte digital, utilice artificios técnicos para la transmisión, grabación, o reproducción de sonido o de imagen o cualquier otra señal de comunicación, será castigado con seis meses de prisión a cuatro años de penitenciaría” |
INTERCEPTACIÓN ILÍCITA. Artículo 3. “la interceptación, dolosa y sin autorización, cometida a través de medios técnicos, de datos informáticos – en transmisiones no públicas– en el destino, origen o en el interior de un sistema informático, incluidas las emisiones electromagnéticas provenientes de un sistema informático que transporta tales datos informáticos.” |
N/A – El proyecto no contiene esa tipificación. |
ATENTADOS CONTRA LA INTEGRIDAD DE LOS DATOS. Artículo 4. “dañar, borrar, deteriorar, alterar o suprimir dolosamente y sin autorización los datos informáticos” |
DAÑOS INFORMÁTICOS. Artículo 4. “Agréguese al Libro II, Título XIII - Capítulo V del Código Penal, los siguientes artículos: ARTÍCULO 358 TER. (Daños informáticos).- El que por cualquier medio tecnológico, de forma deliberada e ilegítima borrase, dañare, destruya, deteriore, obstaculice, altere, suprima, indisponga o haga inaccesible datos, programas, sistemas o aplicaciones informáticos y/o telemáticos, o documentos electrónicos ajenos, sin autorización expresa de sus titulares o responsables será castigado con seis meses de prisión a cuatro años de penitenciaría.” |
ATENTADOS CONTRA LA INTEGRIDAD DEL SISTEMA. Artículo 5. “obstaculización grave, cometida de forma dolosa y sin autorización, del funcionamiento de un sistema informático, mediante la introducción, transmisión, daño, borrado, deterioro, alteración o supresión de datos informáticos.” |
N/A – El proyecto no contiene esa tipificación. |
ABUSO DE EQUIPOS E INSTRUMENTOS TÉCNICOS. Artículo 6. “sin autorización: a. la producción, venta, obtención para su utilización, importación, difusión u otras formas de puesta a disposición: |
ABUSO DE DISPOSITIVOS. Artículo 9. “Agrégase al Libro II, Título XIII - Capítulo V del Código Penal, el siguiente artículo: ARTÍCULO 358 TER. (Abuso de los dispositivos).- El que, de forma deliberada e ilegítima produzca, adquiera, importe, comercialice o facilite a terceros, programas, sistemas informáticos o telemáticos de cualquier índole, credenciales o contraseñas de acceso a datos informáticos o sistemas de información, destinados inequívocamente a la comisión de un delito, será castigado con seis meses de prisión a cuatro años de penitenciaría.” |
FALSEDAD INFORMÁTICA. Artículo 7. “introducción, alteración, borrado o supresión dolosa y sin autorización de datos informáticos, generando datos no auténticos, con la intención de que sean percibidos o utilizados a efectos legales como auténticos, con independencia de que sean directamente legibles e inteligibles” |
N/A - Ya legislado en Uruguay en la Ley 18.600. |
ESTAFA INFORMÁTICA. Artículo 8. “producción de un perjuicio patrimonial a otro, de forma dolosa y sin autorización, a través de: |
ESTAFA INFORMÁTICA. Artículo 3. “Agréguese al Libro II, Titulo XIII - Capítulo III del Código Penal, los siguientes artículos: ARTÍCULO 347 - Inc. 2. (Estafa informática).- El que, en abuso de sistemas informáticos, tenencia de programas, u otros mecanismos informáticos idóneos, indujere en error a alguna persona para procurarse a sí mismo o a un tercero un provecho injusto cometiendo alguna de las siguientes conductas, será castigado con seis meses de prisión a cuatro años de penitenciaría: A) Tenencia de programas, aplicativos, sistemas informáticos o cualquier otro mecanismo físico o virtual, tendiente a obtener datos relativos a cuentas bancarias, tarjetas de crédito o cualquier medio de pago para realizar actos de disposición en perjuicio propio o ajeno. B) Efectuare manipulaciones informáticas o artificios afines que impliquen realización de operaciones financieras, transferencias o pagos no consentidos, de cualquier activo patrimonial en perjuicio de otro. C) Uso de cualquier tipo de tarjeta, cheques, códigos o cualquier medio de pago idóneo, o los datos vinculados a los mismos, para realizar transacciones, pagos u operaciones no consentidas, en perjuicio de su titular o terceros.” |
PORNOGRAFÍA INFANTIL. |
N/A - Ya legislado en Uruguay en la Ley 17.815. |
DELITOS CONTRA LA PROPIEDAD INTELECTUAL. |
N/A - Ya legislado en Uruguay en la Ley 9.739. |
N/A – Budapest no sugiere esa tipificación. |
GROOMING. Artículo 2. “Agréguese al Libro II, Título X - Capítulo IV del Código Penal, el siguiente artículo: ARTÍCULO 273 - Inc. 4. (Grooming o acercamiento físico o virtual).- El que contacte con un menor de dieciséis años, ya sea de forma directa o mediante un tercero, a través de internet, teléfono o cualquier otro medio telemático, independientemente del soporte tecnológico, proponiendo concertar un encuentro de naturaleza sexual, pornográfico o exhibicionista será castigado con seis meses de prisión a cuatro años de penitenciaría. El que, en las condiciones descritas en el inciso anterior, contacte a un menor de dieciséis años realizando actos tendientes a la facilitación por parte del menor de material pornográfico, o bien le muestre imágenes pornográficas en las que se represente o aparezca un menor de edad, será castigado con seis meses de prisión a cuatro años de penitenciaría.” |
N/A – Budapest no sugiere esa tipificación. |
ACOSO TELEMÁTICO. Artículo 1. “Agréguese al Libro II, Título XI - Capítulo I del Código Penal, el siguiente artículo: ARTÍCULO 288 - Inc. 2. (Stalking o acoso telemático).- El que mediante la utilización de medios telemáticos, obligue o pretenda obligar a otra persona a hacer o dejar de hacer alguna cosa contra su voluntad, o la acose desarrollando de forma insistente y reiterada alguna de las siguientes conductas, será castigado con tres meses de prisión a tres años de penitenciaría: A) Vigile, persiga o busque cercanía física, estableciendo o intentando establecer contacto con una persona ya sea de forma directa o por intermedio de terceras personas. B) Divulgue, muestre o difunda imágenes, videos, o cualquier tipo de grabación o contenido íntimo a través de redes sociales, servicios de mensajería instantánea o cualquier plataforma digital donde se compartan contenidoss.” |
N/A – Budapest no sugiere esa tipificación. |
VULNERACIÓN DE DATOS. Artículo 6. “Agréguese al Libro II, Título XI - Capítulo III del Código Penal, el siguiente artículo: ARTÍCULO 297 - Inc. 3. (Vulneración de datos).- El que, por cualquier medio acceda, se apodere, utilice, o modifique datos reservados de terceros registrados en ficheros o soportes informáticos, o cualquier otro tipo de archivo o registro público o privado, sin autorización de su titular, será castigado con seis meses de prisión a cuatro años de penitenciaría. El que, con conocimiento de su origen ilícito, habiendo formado parte o no de su descubrimiento, difunda, revele o ceda a terceras personas los datos, hechos o imágenes descubiertas referidas en el inciso anterior, será castigado con un año de prisión a seis años de penitenciaría.” |
N/A – Budapest no sugiere esa tipificación. |
SUPLANTACIÓN DE IDENTIDAD. Artículo 7. “Agréguese al Libro II, Título XIII - Capítulo III del Código Penal, los siguientes artículos: ARTÍCULO 347 - Inc. 3. (Suplantación de identidad).- El que usurpe, adopte, creare o se apropie de la identidad de otra persona física o jurídica, valiéndose de cualquier medio, herramienta tecnológica o sistema informático; obteniendo datos, accediendo a redes sociales, casillas de correo electrónico, cuentas bancarias, plataformas digitales asociadas a medios de pago, o cualquier credencial digital o factor de autenticación, con o sin la intención de dañar a su legítimo titular, será castigado con un año de prisión a seis años de penitenciaria.” |
N/A – Budapest no sugiere esa tipificación. |
Terrorismo digital. Artículo 8 (Terrorismo digital). Será delito de naturaleza terrorista, en aplicación del artículo 14 de la Ley N° 17.835, de 29 de setiembre de 2004, en la redacción dada por la Ley N° 19.749, de 15 de mayo de 2019: "El que acceda de manera habitual e inequívoca a uno o varios servicios de comunicación electrónica en línea o accesibles mediante Internet, posea o adquiera documentos, cuyos contenidos estén dirigidos o resulten idóneos para incitar a la incorporación a una organización o grupo terrorista o a colaborar con cualquiera de ellos o sus fines. Asimismo, el que obstaculizare, interrumpa el funcionamiento de un sistema informático ajeno por cualquier modo y sin autorización de sus titulares o responsables, borrando, deteriorando, suprimiendo, sustituyendo, cifrando, introduciendo nuevos datos que tornen inútiles o inaccesibles los datos informáticos del sistema atacado, cuando el daño se cometa en perjuicio de documentos electrónicos o sistemas informáticos de carácter público, o destinados al funcionamiento de servicios críticos o esenciales y/o afecte a infraestructuras que pongan en peligro la seguridad del Estado o el cumplimiento de sus funciones, será castigado con un año de prisión a seis años de penitenciaría" |
Como puede verse, el proyecto se enfoca en la tipificación y en proponer medidas de concientización, pero no encara la esencial cooperación judicial internacional, que en estas cuestiones transnacionales es más que crucial.
Echan en falta también consideraciones relativas a medidas procesales, que aunque son las más cuestionadas de la Convención de Budapest son merecedoras de consideración.
Asimismo, llama la atención que el proyecto no se pronuncia acerca de la ratificación de la Convención de Budapest, dado que ese instrumento provee herramientas fundamentales en la persecución del ciberdelito, tales como la red 24-7 que postula la necesidad de disponibilidad permanente de las pruebas electrónicas de una infracción penal.[13]
3. Análisis de cada delito que propone el texto del proyecto.
Si analizamos cada delito propuesto la situación es la siguiente:
1. DELITO DE STALKING O ACOSO TELEMÁTICO: La divulgación de imágenes íntimas que es una de las conductas castigadas en este proyecto ya está tipificada en Uruguay en la Ley 19.580 de 22.12.2017 Artículo 92 cuyo texto figura a continuación: "Artículo 92 (Divulgación de imágenes o grabaciones con contenido íntimo).- El que difunda, revele exhiba o ceda a terceros imágenes o grabaciones de una persona con contenido íntimo o sexual, sin su autorización, será castigado con una pena de seis meses de prisión a dos años de penitenciaría. En ningún caso se considerará válida la autorización otorgada por una persona menor de dieciocho años de edad. Este delito se configura aun cuando el que difunda las imágenes o grabaciones haya participado en ellas. Los administradores de sitios de internet, portales, buscadores o similares que, notificados de la falta de autorización, no den de baja las imágenes de manera inmediata, serán sancionados con la misma pena prevista en este artículo." Por lo tanto, se generarían también en este caso posibles conflictos de derogación tácita de la figura del año 2017.
2. DELITO DE GROOMING: El Grooming ya está tipificado en Uruguay en la Ley 19.580 de 22.12.2017 Artículo 94 -que incorporó el artículo 277 bis al CP- cuyo texto se transcribe a continuación: "Artículo 277-BIS. El que, mediante la utilización de tecnologías, de internet, de cualquier sistema informático o cualquier medio de comunicación o tecnología de trasmisión de datos, contactare a una persona menor de edad o ejerza influencia sobre el mismo, con el propósito de cometer cualquier delito contra su integridad sexual, actos con connotaciones sexuales, obtener material pornográfico u obligarlo a hacer o no hacer algo en contra de su voluntad será castigado con de seis meses de prisión a cuatro años de penitenciaría." Por lo tanto, se generarían posibles conflictos de derogación tácita de la figura del año 2017.
3. DELITO DE ESTAFA INFORMÁTICA: No soluciona el problema de la inducción en error a un sistema informático, porque solamente postula castigar las inducciones en error de alguna persona (si bien se habla de manipulaciones informáticas o artificios afines, no es claro que se castigue la inducción en error del sistema informático). Convendría analizar al respecto el ejemplo de la pionera normativa española de 1995, la Ley 10/1995 que en el artículo 248 Código Penal[14] previó la estafa informática.
4. DELITO DE DAÑOS INFORMÁTICOS: El texto está alineado a lo sugerido por Budapest (que propone denominarlo Atentados contra la integridad de los datos) pero en materia de pena no resulta justificado por qué se sugiere el castigo con pena de reclusión. Convendría analizar el ejemplo de la pionera normativa chilena de 1993, la Ley 19.223.[15]
5. DELITO DE ACCESO ILÍCITO A DATOS INFORMÁTICOS: El texto está alineado a lo sugerido por Budapest (que propone denominarlo Acceso ilícito), pero en materia de pena no resulta justificado por qué es más grave el acceso ilícito informático que la interceptación de noticia telegráfica que ya preveía el artículo 297 CP, porque se plantea una pena de reclusión para el caso del acceso informático cuando la figura del 297 CP preveía únicamente una pena pecuniaria. Convendría dar el debate, porque en Derecho Comparado se observa disparidad de criterios por ejemplo de dos países culturalmente semejantes pero con tipificaciones diversas en el caso del acceso ilícito, a saber: Portugal (artículo 6 de la Ley nº 109/2009) únicamente requiere en su tipo penal de acceso ilícito que el sujeto activo de la conducta reprobada acceda al sistema informático ajeno; mientras que Brasil (artículo 154 A del CP) exige en su precepto además del acceso la presencia de una finalidad concreta de dañar datos o acceder a información confidencial.
6. DELITO DE VULNERACIÓN DE DATOS: Se presenta en este caso alguna posibilidad de derogación tácita del artículo 300 CP cuya redacción transcribimos: "Art. 300 (Conocimiento fraudulento de documentos secretos) El que, por medios fraudulentos, se enterare del contenido de documentos públicos o privados, que por su propia naturaleza debieran permanecer secretos, y que no constituyeran correspondencia, será castigado siempre que del hecho resultaren perjuicios, con 20 U.R. (veinte unidades reajustables) a 400 U.R. (cuatrocientas unidades reajustables) de multa." Otro tanto ocurre con el artículo 11 de la Ley 18.331: "Aquellas personas físicas o jurídicas que obtuvieren legítimamente información proveniente de una base de datos que les brinde tratamiento, están obligadas a utilizarla en forma reservada y exclusivamente para las operaciones habituales de su giro o actividad, estando prohibida toda difusión de la misma a terceros. Las personas que, por su situación laboral u otra forma de relación con el responsable de una base de datos, tuvieren acceso o intervengan en cualquier fase del tratamiento de datos personales, están obligadas a guardar estricto secreto profesional sobre los mismos (artículo 302 del Código Penal), cuando hayan sido recogidos de fuentes no accesibles al público. Lo previsto no será de aplicación en los casos de orden de la Justicia competente, de acuerdo con las normas vigentes en esta materia o si mediare consentimiento del titular." En consecuencia, es una lástima que no se haya tomado el recaudo de precaver esa dificultad de aplicación estableciendo previsiones al respecto en el texto propuesto.
7. DELITO DE SUPLANTACIÓN DE IDENTIDAD: No está tipificado en Uruguay ni fue previsto en Budapest, por lo que esta novedad legislativa en bienvenida con beneplácito, sin perjuicio de las eventuales correcciones que en materia de dogmática pudieren corresponder en cuanto a la redacción del precepto (lo cual excede el objeto del presente). La referencia puede ser la norma norteamericana, desde que la reforma 2008 de la Computer Fraud and Abuse Act mediante la Identity Theft Enforcement and Restitution Act[16], reguló los robos de identidad como delito.
8. DELITO DE TERRORISMO DIGITAL: Si bien Budapest no presenta esta sugerencia de tipificación, la redacción coincide parcialmente con la redacción que a nivel comparado resulta de destaque, me refiero a la norma de Estados Unidos denominada PARIOT (por sus siglas Providing Appropriate Tools Required to Intercept and Obstruct Terrorism) ACT del año 2001[17]. En efecto esa norma limita la definición de ciberterrorismo a los actos de espionaje y sabotaje al igual que esta propuesta del proyecto de ley uruguayo 2021. La Patriot Act define los delitos informáticos como acto de terrorismo, aunque no se incluye todo tipo de delito referido en la Computer Fraud and Abuse Act, lo cual demuestra un esfuerzo por limitar la definición de ciberterrorismo a los actos de espionaje y sabotaje.
9. DELITO DE ABUSO DE DISPOSITIVOS: El texto está alineado a lo sugerido por Budapest (que propone denominarlo Abuso de equipos e instrumentos técnicos) pero en materia de pena no resulta justificado por qué se sugiere el castigo con pena de reclusión.
4. Conclusiones.
Ante este panorama de potencial legislación, tengo la esperanza de que Uruguay apruebe la Convención de Budapest, pero también de que someta a un riguroso análisis las figuras típicas allí propuestas, para criminalizar conductas que corresponda castigar acorde a la política criminal que decida darse nuestra nación, porque estamos ante una cuestión dinámica, desde que el propio Convenio de Budapest ha requerido ajustes, y también la más pionera legislación como lo fue la española debió adaptarse en 2010 para estar a la altura de los tiempos aprobando el convenio de Budapest, pese a que contaba con delitos informáticos tipificados en su Código Penal ya desde el año 1995.
La Criminología deberá ser la gran aliada del Derecho Penal al enfrentar la posibilidad de legislar al respecto, pues, para conocer cuál es la realidad estadística de estos delitos previo a legislar, ya que resulta evidente que necesitamos información precisa sobre la cibervictimización, lo cual resultará clave a la hora de tipificar, para que no elaboremos meramente un derecho penal simbólico, pero teniendo en cuenta que la ausencia de nueva normativa específica no necesariamente implica un vacío legal.
Precisamente, tal como afirmara antes de ahora, “No existen muchos estudios criminológicos serios en este sentido, sino datos de agencias que intentan justificar las tendencias del momento, pero cuidándose de no afectar los intereses de las poderosas empresas, las cuales, a su vez, temen denunciar los delitos porque se perjudicaría su buen nombre al conocerse que fueron víctimas”.[18]
Lamentablemente, las falencias del proyecto no se limitan a la tipificación, como vimos, sino que también es llamativo que no haya pronunciamiento ni propuesta alguna relativa a que es menester aprobar medidas de cooperación internacional ante esta delincuencia transnacional[19], y resulta extraño que ni siquiera exista mención a alguna de las necesidades de disponibilidad permanente de probanzas (como ser la red 24/7 que postula la Convención de Budapest -cuya ratificación tampoco es planteada en el proyecto-).
En definitiva, y a pesar de lo antedicho, confío en que este proyecto que está a estudio del Parlamento dará sus frutos en su debido momento, facilitando al operador jurídico las herramientas necesarias para perseguir adecuadamente el cibercrimen.
Más información sobre Información Legal Online
[1] Master en Derecho LLM, Profesor de Derecho Penal, Profesor de Postgrado en Derecho Penal Económico, Profesor de Delitos Informáticos en la Universidad de Montevideo (mpecoy@correo.um.edu.uy).
[2] Ver texto completo del proyecto en el link provisto por la página web del Parlamento (descarga realizada el día 8 de agosto de 2021): https://parlamento.gub.uy/documentosyleyes/documentos/repartido/representantes/49/492/0/pdf?width=800&height=600&hl=en_US1&iframe=true&rel=nofollow
[3] Su texto completo está disponible en la web https://www.oas.org/juridico/english/cyb_pry_convenio.pdf (descarga efectuada el día 8 de enero de 2020).
[4] Al respecto, ROVIRA DEL CANTO, ENRIQUE (en su obra “Ciberdelincuencia intrusiva: hacking y grooming” 2010, publicada en el sitio web http://www.iaitg.eu/mediapool/67/671026/data/Ciberdelincuencia_intrusiva_hacking_y_grooming_Enrique_Rovira.pdf, descarga efectuada el día 8 de enero de 2020) afirma lo siguiente: “El reiterado Convenio establece una clasificación de los ilícitos informáticos por grupos más novedosa, no siguiendo los patrones clásicos en torno a los bienes jurídicos tradicionales exclusivamente, si bien en algunos aspectos es proclive al confusionismo y al solapamiento de supuestos distintos de ilícitos informáticos bajo una misma figura, debido principalmente a que se trata de una “Convención de mínimos” para poder obtener un amplio consenso entre los diversos Estados que participaron en su confección, algunos incluso ajenos al propio Consejo de Europa como EE.UU, Canadá, la República de Sudáfrica o Japón y a quienes se les había abierto para su intervención y ratificación de la Convención final.”
[5] Ver link al texto en https://ficp.es/wp-content/uploads/Recomendacion-Ciber-VERSI%C3%93N-A-LA-FIRMA.pdf (descarga efectuada el día 13 de agosto de 2021).
[6] Ver link al texto en https://ficp.es/wp-content/uploads/CONVENIO-CIBERDELITO-VERSION-A-LA-FIRMA.pdf (descarga efectuada el día 13 de agosto de 2021).
[7] Ver link al texto en https://publications.iadb.org/publications/spanish/document/Reporte-Ciberseguridad-2020-riesgos-avances-y-el-camino-a-seguir-en-America-Latina-y-el-Caribe.pdf (descarga efectuada el día 13 de agosto de 2021), en el que textualmente se indica respecto de Uruguay que “Con respecto al marco legal y regulatorio, hay algunos proyectos de ley sobre delito cibernético enfocados en proporcionar tanto la ley sustantiva como la procesal para enjuiciar el delito cibernético una vez que se pruebe.”.
[8] PECOY TAQUE, MARTIN, “La Convención de Budapest como paradigma en materia de Ciberdelincuencia”, publicado en el libro “Estudios sobre los desafíos jurídicos ante la digitalización” Tomo II, 2020, página 262.
[9] Ver proyecto en el link http://www.parlamento.gub.uy/websip/lisficha/fichaap.asp?Asunto=8617 (descarga efectuada el día 13 de agosto de 2021).
[10] Ver proyecto en el link http://www.parlamento.gub.uy/websip/lisficha/fichaap.asp?Asunto=103462 (descarga efectuada el día 13 de agosto de 2021).
[11] Ver proyecto en el link http://www.parlamento.gub.uy/websip/lisficha/fichaap.asp?Asunto=121142 (descarga efectuada el día 13 de agosto de 2021).
[12] Ver proyecto en el link https://legislativo.parlamento.gub.uy/temporales/D2016050433-007806743.pdf (descarga efectuada el día 13 de agosto de 2021).
[13] En este punto me refiero al artículo 35 de la Convención de Budapest que a continuación transcribo: “Artículo 35 - Red 24/7. 1. Las Partes designarán un punto de contacto localizable las 24 horas del día, y los siete días de la semana, con el fin de asegurar la asistencia inmediata en la investigación de infracciones penales llevadas a cabo a través de sistemas y datos informáticos o en la recogida de pruebas electrónicas de una infracción penal. Esta asistencia comprenderá, si lo permite el derecho y la práctica interna, facilitar la aplicación directa de las siguientes medidas:
a. aportación de consejos técnicos;
b. conservación de datos según lo dispuesto en los artículos 29 y 30; y
c. recogida de pruebas, aportación de información de carácter jurídico y localización de sospechosos.
2. a. Un mismo punto de contacto podrá ser coincidente para dos Estados, siguiendo para ello un procedimiento acelerado.
b. Si el punto de contacto designado por un Estado no depende de su autoridad o autoridades responsables de la colaboración internacional o de la extradición, deberá velarse para que ambas autoridades actúen coordinadamente mediante la adopción de un procedimiento acelerado.
3. Las Partes dispondrán de personal formado y dotado a fin de facilitar el funcionamiento de la red.”
[14] Ver https://www.boe.es/buscar/act.php?id=BOE-A-1995-25444 (descarga efectuada el día 11 de agosto de 2021), porque se castiga la estafa informática de la siguiente manera: “También se consideran reos de estafa los que, con ánimo de lucro, y valiéndose de alguna manipulación informática o artificio semejante consigan la transferencia no consentida de cualquier activo patrimonial en perjuicio de tercero.”.
[15] Ver https://www.bcn.cl/leychile/navegar?idNorma=30590 (descarga efectuada el día 13 de agosto de 2021), porque se castiga el daño informático de la siguiente manera: “El que maliciosamente destruya o inutilice un sistema de tratamiento de información o sus partes o componentes, o impida, obstaculice o modifique su funcionamiento, sufrirá la pena de presidio menor en su grado medio a máximo. Si como consecuencia de estas conductas se afectaren los datos contenidos en el sistema, se aplicará la pena señalada en el inciso anterior, en su grado máximo (…) El que maliciosamente altere, dañe o destruya los datos contenidos en un sistema de tratamiento de información, será castigado con presidio menor en su grado medio”.
[16] Ver http://www.gpo.gov/fdsys/pkg/STATUTE-122/pdf/STATUTE-122-Pg3560.pdf (descarga efectuada el día 13 de agosto de 2021).
[17] Ver https://legislativo.parlamento.gub.uy/temporales/D2016050433-007806743.pdf (descarga efectuada el día 13 de agosto de 2021).
[18] PECOY TAQUE, MARTIN, “Delito en el comercio electrónico”, publicado en la Revista Prisma Jurídico, San Pablo, Brasil, 2011, página 220, disponible en el sitio web https://periodicos.uninove.br/index.php?journal=prisma&page=article&op=view&path%5B%5D=2865
[19] Según DÍAZ GÓMEZ, A. (Op. cit. “El delito informático…”, REDUR 8, diciembre 2010, pág. 183) “La dimensión supranacional juega, por tanto, una importancia crucial en el tratamiento de los delitos informáticos. Es imperativa la ejecución de políticas conjuntas, generales, que integren a todos los Estados y sectores de la sociedad. Desde nuestro punto de vista, establecer una correcta política de cooperación pasa por la elaboración de políticas al más alto nivel, abarcando multitud de Estados. Lo ideal no son los Tratados bilaterales, sino convenios multilaterales que involucren al mayor número de países posible. De este modo sería posible armonizar las políticas regionales en materia de cibercrímenes, logrando una regulación coherente, que no se contradiga y cuya utilización fuera posible a gran escala. La propuesta, somos conscientes, es muy ambiciosa. La necesidad de un mayor entendimiento entre países y el complejo entramado legislativo existente a día de hoy, hacen muy difícil la consecución de estos objetivos. (…) Lo cierto es que tanto en materia de Derecho Informático como de cooperación internacional en general, la legislación europea se presenta como adalid indiscutible de las nuevas formas de colaboración entre Estados.”.