>> viernes, 20 de agosto de 2010

“REFLEXIONES SOBRE EL MAL LLAMADO DELITO INFORMÁTICO”



POR: DR. JOSÉ SÁEZ CAPEL

El autor es Doctor en Ciencias Jurídicas y Sociales. Magistrado de la Corte Penal Federal de Buenos Aires (Argentina), Doctor Honoris Causa por la Universidad Metropolitana. Quito (Ecuador). Profesor de las Universidad de Buenos Aires, profesor titular consulto de Derecho penal parte general, de la Universidad de Morón, profesor de la Universidad Andina Simón Olivar. Profesor honorario de las Universidades Inca Garcilaso de la Vega y San Martín de Porres. Lima. Perú. Miembro de número extraordinario (extranjero) de la Academia Boliviana de Ciencias Penales.





El creciente desarrollo de tecnologías que permiten el almacenamiento, procesamiento y transmisión de grandes cantidades de información virtual no sólo ha revolucionado los hábitos de trabajo y comunicación de las personas, sino que ha traído consigo importantes desafíos de adaptación jurídica. En ese contexto surge la pregunta por la capacidad e idoneidad de una legislación que ha tenido como horizonte tradicional conductas que recaen sobre objetos materiales para hacerse cargo de las nuevas realidades sociales. En el ámbito del Derecho Penal, tanto la experiencia comparada como, paulatinamente, la práctica local han mostrado que el avance tecnológico trae consigo también nuevos peligros, nuevas formas de ataque contra bienes jurídicos relevantes, con lo cual surge especialmente la pregunta por la capacidad de reacción de los tipos penales tradicionales frente a formas de criminalidad desarrolladas al alero del desarrollo informático.



La caracterización de este tipo de criminalidad plantea problemas, que ya encuentran un primer reflejo en el abanico de expresiones con las que se alude a dicho fenómeno. Consideramos que la opción por una u otra fórmula no es un tema irrelevante para el planteamiento de la tesis, por ello me habré de detener en este punto. En la literatura en lengua española, como apunta ROMEO CASABO¬NA , se ha venido imponiendo la expresión delito informático, fórmula sencilla y de gran arraigo en el lenguaje



Sin negar las ventajas de tal término y su indudable plasticidad, reconozco, no obstante, que desde un punto de vista técnico no resulta muy afortunado: Por una parte, el sustantivo delito tiene una significación específica para el penalista, que difiere de la que se le otorga en el lenguaje coloquial. AI margen de la posición que se adopte en la teoría jurídica del delito, para que un comportamiento pueda ser considerado técnicamente como delito, es precisa, al menos, su tipificación en la ley penal.



Un rápido repaso a las conductas susceptibles de incriminación vinculadas a la informática (con toda seguridad lesivas de intereses valiosos para la sociedad), pone de manifiesto que no siempre aparecen descritas en las normas penales. Por tanto, aun siendo penalizables a lege ferenda, no pueden calificarse propiamente como delitos, con lo que resultan preferibles expresiones alternativas menos comprometidas, pero más ajustadas al Derecho positivo.



Esta idea está latente en buena parte de la doctrina que se ocupa de esta materia. Eluden la expresión, por ejemplo, GONZALEZ RUS, ROMEO CASABONA O CARCOY JOSHI . Aunque no faltan autores - como CAMACHO LOSA - que utilizan deliberadamente esta fór¬mula, asumiendo de modo expreso su falta de tecnicismo .



Como razón adicional, considero que la expresión referida, ni siquiera da idea de la realidad tan compleja y heterogénea a la que pretende englobar. En efecto, no puede hablarse de un delito informático, sino de una pluralidad de ellos en los que encontramos, como única nota común, su vinculación de alguna manera con los ordenadores, pero ni el bien jurídico protegido agredido es siempre de la misma naturaleza ni la forma de comisión de hecho -delictivo o merecedor de serlo- presenta siempre características semejantes. Por los motivos apuntados, en principio me inclino en la tesis por fórmulas menos rígidas que reflejen el carácter criminológico del fenómeno aludido y permitan abarcar, no sólo a las conductas ya tipificadas, sino también a tas merecedoras de pena y surgidas en conexión con la informática (criminalidad informática, delincuencia vinculada a los sistemas de procesamiento de datos, o similares) .



Pero la gran duda que aquí se me plantea es la siguiente: ¿la conexión o proximidad de medios o procedimientos informáticos representa un dato suficiente para aunar, bajo un mismo epígrafe, conductas que parecen tan lejanas y diversas entre sí cuando se atiende a otros criterios tales como: finalidad perseguida, bien jurídico lesionado, objeto material de la acción, sujetos activo y pasivo, etc.

Sin perjuicio de las conclusiones a las que he llegado en otro lugar conviene aclarar, desde ahora, que si se habla de delincuencia informática con carácter general, han de establecerse los oportunos correctivos en la delimitación de su contenido, buscando lo auténticamente singular que las nuevas tecnologías de la información aportan. Y, como aun así el contenido resulta heterogéneo, deben utilizarse unidades de trabajo más pequeñas, subdivisiones de la categoría general, sobre la base de criterios más específicos .



Además de ello, las divergencias terminológicas en torno al fenómeno de la delincuencia informática no plantearían mayores problemas si no tuvieran su reflejo en la conceptuación de esta categoría. Desde hace tres lustros, la noción de computer crime o delincuencia informática ha sido un importante tema de debate, particularmente en los países en los que se ha presentado mayor atención a los problemas que las nuevas tecnologías presentan al Derecho penal, tanto en Estados Unidos como en Alemania. Los esfuerzos en el ámbito legal y doctrinal por alcanzar un consenso sobre dicha cuestión han sido ineficaces y llegado el momento de tomar postura, las posibilidades que se ofrecen son múltiples.



Haciendo un rápido repaso al panorama doctrinal, encontramos:

Una primera opción extrema que rechaza la existencia de una categoría. autónoma, con entidad propia, a la que pueda así denominarse. Desde otras posiciones, se ha pretendido circunscribir el ámbito de la criminalidad informática y los efectos de la justicia penal, a cualquier acto ilegal para el que se precise un especial conocimiento de la tecnología de la computación, tanto para su realización como para su investigación y enjuiciamiento. Parece detectarse, en esta noción, la influencia de la corriente de opinión que identifica al delincuente informático con la persona joven, de un coeficiente intelectual próximo a la genialidad que domina el complejo mundo de la computación.



Los problemas que plantea este concepto, trascripción casi exacta del propuesto por el Departamento de Justicia de los Estados Unidos en 1979, no se encuentran en su excesiva amplitud, como en algún momento se ha mantenido . Más bien al contrario, buen número de comportamientos quedan excluidos a priori, por carecer los agentes de conocimientos informáticos.



La configuración de la delincuencia informática de BEQUAI, en cambio, es ostensiblemente más amplia . No considera admisible restringir el computer crime a la utilización de los elementos informáticos como instrumento para apropiarse de grandes sumas de dinero, servicios u otro tipo de bienes, porque el rasgo común a los ilícitos informáticos es que el ordenador o los elementos del sistema de procesamiento aparecen, no sólo como medio, sino también como objeto de la conducta. Así, para BEQUAI una adecuada definición de esa categoría debe incluir primero, la utilización del ordenador para negocios, también han de incorporarse los atentados contra la esfera privada del individuo, el espionaje interior e internacional, los ataques a la seguridad nacional y actos de terrorismo, siempre por cierto, mediante medios informáticos. Y, adicionalmente, el computer crime puede, para él, tomar forma de amenaza o fuerza directamente utilizada contra el ordenador mismo o cualquiera de los instrumentos informáticos.



En la misma línea que BEQUAI, con una definición descriptiva amplia, sitúo a SLOAN y, en la República Federal Alemana, a SIEBER, autor en quien se aprecia una clara evolución, sobre todo en las dos últimas conferencias dadas en la Facultad de Derecho de la UBA (2004) y en el Hotel Claridge de Buenos Aires (2005). Preocupado, en principio, por aquellas formas de criminalidad informática consistentes en lesiones dolosas e ilícitas del patrimonio relacionadas con actos procesados automáticamente , después, el profesor del MPI, se ha adherido a la noción sugerida por la OCDE, en un sentido mucho más amplio, desbordando la perspectiva patrimonial: a cualquier com¬portamiento ilegal o no autorizado, en el que aparece involucrado un sistema de procesamiento automatizado o de transmisión de datos. Siguiendo este concepto (cuya principal ventaja, según el autor, es su posible utilización como hipótesis de trabajo para estudios de toda índole), cabrían, dentro de la delincuencia informática, las ofensas contra los derechos personales, los delitos económicos vinculados. a la informática y los delitos contra los intereses supra - individuales .



No es menos restrictiva la noción acogida, por la American Bar Associat¡on en el Congreso Americano sobre Computer Çrime, que incluye casos en los que el ordenador o cualquiera de los elementos informáticos son objeto del delito o instrumento para su comisión.

La fuerza delimitadora de este concepto - que también ha gozado de gran arraigo en Europa - es más bien escasa, pues las computadoras pueden ser instrumento» en prácticamente toda clase de comportamiento criminal y objeto de buen número de ellos. Superando - a mi juicio con acierto- las limitaciones del concepto anterior, debe ponerse el acento en lo verdaderamente peculiar de esta dimensión de criminalidad. Su especialidad sólo la aporta el ordenador, junto con sus funciones propias más importantes: el procesamiento y transmisión automatizada de datos, la confección y/o utilización. de programas, etc. Es decir el software.



La tesis se va a estructurar a partir de los bienes jurídicos que pueden afectarse de un modo especial por medios informáticos, para así demostrar que no se trata de nuevos bienes jurídicos, sino los tradicionales que ya figuran en nuestros código, ello así por cuanto, cuando se falsificaba con una pluma de ganso en el S XIX, con una máquina de escribir a mediados del siglo pasado y hoy con una computado, se trata del mismo tipo penal de la falsedad material y se vulnera en los tres casos el mismo bien jurídico tutelado, fe pública.



Esta opción sistemática no es gratuita, sino que tributaria de una convicción tanto político-criminal como de técnica legislativa respecto de la forma en que deben abordarse los desafíos novedosos para el derecho penal. Las opciones son básicamente dos: La primera consiste en hacer del problema novedoso una pequeña rama del derecho penal, configurada precisamente a partir de la nueva casuística; en otras palabras, hacer de la novedad de formas también una novedad de fondo. La segunda, en cambio, procura integrar el problema en el campo ya regulado, introduciendo sólo las correcciones o ampliaciones necesarias. La primera se centra en el fenómeno criminal, la segunda en el bien jurídico protegido. Ahora bien, esta dicotomía se ha presentado con singular claridad precisamente respecto de los desafíos jurídico-penales de la informática, como lo muestra el panorama legislativo comparado.



Circunscribiéndose exclusivamente a las legislaciones europeo-continentales más influyentes en nuestro medio, se puede observar por un lado el modelo francés , y por otro el modelo que rige en Alemania, Italia y España. Modelo que ha seguido el Proyecto de Código penal de la República de Nicaragua. En Francia se optó por lo que podría llamarse un pequeño “derecho penal informático”, en el cual se sancionan per se determinadas conductas relativas a la actividad informática, con total prescindencia de si tales conductas lesionan o ponen en peligro adicionalmente algún bien jurídico como la propiedad, el patrimonio, la intimidad, la seguridad del tráfico jurídico, etc. Las disposiciones respectivas fueron introducidas el año 1988 mediante la llamada Ley Godfrain (Ley 88-19, de 5 de enero de 1988) y se encuentran actualmente en el art. 323 del nuevo Código Penal de 1992 (ver nota). Sistemáticamente, el art. 323 constituye el tercer capítulo del Título II del Libro III del Código, dedicado a los Crímenes y Delitos contra los bienes, sin embargo existe acuerdo en que nada tiene que hacer en esa ubicación. Con todo, las tipificaciones son lo suficientemente amplias como para abarcar de hecho también buena parte de las conductas informáticas atentatorias contra bienes jurídicos relevantes, de modo que no se aprecian déficit de cobertura.



En los demás países mencionados, en cambio, los desafíos de la informática fueron abordados sectorialmente, introduciendo modificaciones en las distintas parcelas del ordenamiento penal que se veían afectadas por el desarrollo informático, fundamentalmente en el ámbito de la protección penal de la intimidad, de la propiedad y el patrimonio, de la fe pública o seguridad del tráfico jurídico, etc. Así ocurrió en Alemania mediante la Segunda Ley contra la Criminalidad Económica, de 15 de mayo de 1986; en Italia mediante la Ley 547 de 23 de diciembre de 1993 y en España con el Código Penal de 1995. En igual sentido Nicaragua bajo la influencia del profesor Diego Luzón Peña. Estos dos códigos incorporan previsiones específicas relacionadas directamente con comportamientos que tienen a sistemas o a elementos informáticos como objeto de ataque o como instrumento del delito. Con ello se pretende llenar las lagunas de punición que presentaba el Código penal anterior, en el que resultaban atípicos la mayor parte de los hechos de este tipo. El camino seguido ha sido el de complementar tipos legales ya existentes, en los que se han introducido especificaciones sobre la conducta típica (estafa) o el objeto material (daños) . De esta forma, se ha atendido la demanda doctrinal mantenida insistentemente durante los últimos años y se intenta dar respuesta penal adecuada a formas de criminalidad nuevas.

Los comportamientos relacionados con medios o procedimientos informáticos que pueden alcanzar relevancia penal son muy variados. Las formas de comisión posibles son tantas y tan diversas y las figuras delictivas que pueden verse implicadas tan distintas (hurto, robo, estafa, daños, falsificaciones, descubrimiento de secretos de empresa, utilización ilegítima de terminales de telecomunicación, defraudaciones de la propiedad intelectual, etc.) que los intentos de clasificación resultan particularmente complicados. Un mismo procedimiento comisivo puede dar lugar, según los casos, a diversos tipos de fraude o manipulación, pudiendo ser analizado desde la perspectiva de varios y distintos delitos, según la ocasión; del mismo modo que, en otras, el uso de la informática no supone más que un modus operandi nuevo que no plantea particularidad alguna respecto de las formas tradicionales de comisión. Así, por recordar algunos procedimientos y ayudar a situar la cuestión, la técnica del caballo de Troya , el acceso no autorizado a sistema mediante el denominado hacking , el superzaping , el scavengning o ingeniería social

Las puertas falsas o la entrada a cuestas , pueden servir para provocar, según los casos, cálculos y resultados erróneos en la ejecución de programas y aplicaciones, transferencias electrónicas de fondos, destrucción o inutilización de ficheros, modificación de programas, de datos o de documentos electrónicos, apoderamiento de ficheros o programas o el descubrimiento de secretos industriales o de empresa. Por eso que las distintas clasificaciones que se han propuesto resulten, en mayor o menor grado, objetables.



En términos generales, creo que sigue siendo válida la sistemática que sin pretensiones clasificatorias propusiera en su día, y que diferencia entre los hechos en los que el sistema informático o sus elementos son el objeto material del delito y aquellos otros en los que son el instrumento del mismo. En el primer caso, delitos contra el sistema informático o contra elementos de naturaleza informática se incluyen los comportamientos en los que cualquiera de estos componentes (tanto físicos -hardware- como lógicos -software y ficheros y archivos) .resulta el objeto material de ilícitos patrimoniales, bien porque son en sí objeto específico de protección (terminales de comunicación, programas de ordenador, datos, informaciones, documentos electrónicos) bien porque pueden servir de soporte a elementos protegidos de manera general, pero en los que la aparición de implicaciones informáticas puede plantear peculiaridades dignas de atención específica (secretos de empresa, obras literarias o artísticas, datos con eventual valor probatorio recogidos en ficheros informáticos, etc.). En todo caso, diferenciando entre los delitos contra elementos físicos, que no plantean realmente problemas significativos, y los que afectan a elementos lógicos, cuya naturaleza suscita concretas y muy interesantes cuestiones.



En el segundo grupo se incluyen, en cambio, los delitos que se realizan por medio del sistema informático o utilizando elementos de naturaleza informática, que aparecen como el instrumento utilizado para la realización del ilícito patrimonial o socioeconómico. Ello, tanto si el objeto de ataque es un elemento patrimonial cualquiera (dinero, en caso de las transferencias electrónicas de fondos o en la utilización de tarjetas de cajeros automáticos, por ejemplo) como cuando es también un sistema informático (introducción de virus, acceso ilícito a ordenadores y redes, etc.). En muchos supuestos concurrirán ambas perspectivas (daños a un sistema informático accediendo ilícitamente al mismo), lo que, en su caso, podrá dar lugar a eventuales concursos de delitos y hará preferente la contemplación desde la óptica de los delitos contra el sistema informático. Salvo que presenten problemas específicos, ningún comentario se hará cuando los medios informáticos sean simplemente una forma más de cometer delitos, sin que ello añada particularidad alguna al hecho (daños en una cadena de montaje, alterando el programa del ordenador).



En tanto que las Repúblicas de Chile y de Bolivia, han seguido un camino más semejante a la ley francesa.

La diferencia entre ambos modelos no es sólo estética. Al contrario, en ella están en juego importantes cuestiones valorativas. La aproximación fenomenológica desvincula fuertemente la nueva regulación del sistema de valoraciones subyacentes en el ordenamiento penal, dando lugar a numerosos problemas de legitimación y de coherencia normativa. En efecto, amén de ser una aproximación conceptualmente primitiva, incapaz de acotar el contenido de las regulaciones penales (nada obsta al establecimiento de un derecho penal del automóvil, de la telefonía celular, de las vacaciones de tiempo compartido, etc), la regulación fenomenológica no da señales sobre su fundamento: sólo vincula sanciones a determinadas conductas que aparecen como típicas, sin que se reflexione sobre las razones que legitiman tal incriminación. La puerta a la reflexión la abre recién la consideración de los bienes jurídicos protegidos. Sólo desde esa perspectiva pueden detectarse los excesos, como son las hipótesis en que no se vislumbra bien jurídico a proteger, así como, tanto más importante, sólo desde esta perspectiva se puede comprobar la coherencia interna del sistema: ¿por qué la destrucción de archivos computacionales ha de ser necesariamente más grave que la de otro tipo de objetos? ¿por qué el acceso indebido a los datos contenidos en un computador personal debe sancionarse más severamente que la interceptación de correspondencia?, son preguntas que sólo se pueden plantear racionalmente desde la perspectiva del bien jurídico protegido.



En Chile, mediante la Ley 19. 223, de 7 de junio de 1993, se ha seguido inequívocamente el modelo francés, como lo atestigua la historia fidedigna de la ley y hasta una somera comparación de los textos legislativos. En principio, el legislador chileno – consciente o inconscientemente - ha pretendido eludir la crítica fundamental a la regulación fenomenológica con el expediente de reconocer la existencia de un nuevo bien jurídico a proteger, cual sería la “calidad, pureza e idoneidad de la información en cuanto tal”, existencia que precisamente se empleó como argumento contra las indicaciones del Ejecutivo en orden a hacerse cargo del asunto mediante modificaciones a los tipos clásicos del Código Penal. Sin embargo, el expediente resulta poco convincente. No basta con destacar la importancia de la informática y la información en el mundo actual, ni la relevancia de la confianza depositada en los sistemas de procesamiento automatizado de datos para configurar “algo” que merece ser protegido con independencia de los intereses en que tal importancia se funda. La vulneración de los bancos de datos de una AFP o de una entidad bancaria es indudablemente grave, pero no por la importancia intrínseca de la información contenida en ellos, sino porque la vulneración implica lesión o puesta en peligro masiva de bienes jurídicos individuales.



Si bien se mira, el desarrollo informático, junto con abrir nuevas formas de ataque permite también que, tratándose de grandes bancos de datos o redes sustentados también en el desarrollo tecnológico, dicho ataque pueda ser a gran escala; pero éste es un aspecto cuantitativo que ciertamente puede tenerse en cuenta a la hora de establecer penas, pero que no permite hablar con propiedad de un nuevo bien jurídico. Esto es especialmente claro, pues tampoco es posible fundar la existencia de un bien jurídico institucional Información en una legislación extrapenal que precisamente regule integralmente la actividad informática y el uso de la información, como ocurre en otros países (por ejemplo, en España con, entre otras, la Ley Orgánica de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal [LORTAD], que en todo caso podría fundarlo respecto de conductas de carácter bien acotado del bien jurídico protegido. Por último, como es sabido, el principio de intervención mínima o de ultima ratio (al que referí) que debe presidir el derecho penal impone fuertes exigencias de fundamentación al reconocimiento de nuevos bienes jurídicos, exigencias que ciertamente no han sido satisfechas por muchísimas legislaciones y mucho menos la argentina.



En otro orden de cosas, podemos sostener que, más allá de los numerosos proyectos de leyes que han existido en el Parlamento Argentino, que han perdido estado parlamentario . Se ha modificado la vieja Ley Noble de propiedad intelectual 11.723 por la Ley 25.036, el Código Penal por la Ley 25.326 de Protección de datos personales, que incorporó los artículos 11 bis y 157 bis además De un par de tipos penales aislados en la ley 24.766 de Confidencialidad sobre información y productos que están legítimamente bajo el control de una persona y se divulguen indebidamente de manera contraria a los usos comerciales honestos y la Ley 24.769 Penal tributaria y previsional (artículo 12) y la ley 25.506 de Firma digital que incorporó un nuevo artículo 788 bis. al cierre de la Parte General del Libro I del Código penal.



En consecuencia, la sistemática y técnica legislativa seguidas por los proyectos y normas de la Argentina no resultan satisfactorias, razón por la cual en las propuestas que siguen al análisis del estado actual de la respuesta penal a los desafíos de protección de bienes jurídicos impuestos por el desarrollo informático, que abordé en este trabajo.