Análisis de la Ley de Delitos Informáticos - Ley 30096

Análisis de la Ley 30096Ley de Delitos Informáticos

Aprobada por unanimidad por el Pleno del Congreso de la República del Perú en la sesión del 12 de septiembre de 2013

y publicada en El Peruano el 22 de octubre de 2013

Octubre de 2013

Referencia para seguir la presentación

Objeto de la ley (Artículo 1)Esquematización o reproducción del

artículo correspondiente de la autógrafa aprobada por el Congreso.

Comentario

Análisis y opinión relacionados con el texto del(los) artículo(s) esquematizado(s) o reproducido(s) en la(s) diapositiva(s)

inmediatamente anterior(es).

Compatibilidad con la Convención de Budapest

Análisis y opinión relacionados con la compatibilidad del artículo esquematizado

o reproducido en la diapositiva inmediatamente anterior con la

Convención de Budapest.

Finalidad y Objeto de la Ley

Prevenir y sancionar las conductas ilícitas que afectan los sistemas y datos informáticos y otros bienes

jurídicos de relevancia penal

Cometidos mediante la utilización de tecnologías de la información o

de la comunicación

Con la finalidad de garantizar la lucha eficaz contra la

ciberdelincuencia.

OBJETO

Objeto de la ley (Artículo 1)

Comentario

Nos ampararnos en la amplitud conceptual de Julio Téllez Valdés, evitando pugnas doctrinarias estériles, propias de laintolerancia. Así pues, en general, los delitos informáticos son “actitudes ilícitas que tienen a las computadoras comoinstrumento o fin”. En el pensamiento de Eduardo Rosende, habrá conflicto informático cuando mediante cualquieractividad que involucre el procesamiento automático de datos, se afecten de forma grave derechos de terceras personas.Vistas así las cosas, no resulta extraño que una ley de delitos informáticos tipifique conductas específicas,particularmente graves, que están dirigidas contra el bien jurídico “información” o contra otros bienes jurídicos, si es quepara su afectación ha estado involucrado el procesamiento automático de datos.

Más que una ley sustentada en la necesidad de ejercer la función punitiva del Estado enfocada en la protección de unbien jurídico específico, ya sea éste novedoso o no, esta ley tiene como principal objetivo la estandarización de la leypenal peruana con el orden penal internacional determinado, principalmente, por la Convención contra laCibercriminalidad del Consejo Europeo (CETS 185), conocida también como Convención de Budapest. De hecho, laoctava disposición complementaria final evidencia esta intención normativa. El camino planteado es el correcto, si es queen realidad se pretende una adhesión en los términos que la propia Convención determina, ya que ésta tendrá que pasarsatisfactoriamente por exigentes filtros financiados y establecidos por el propio Consejo Europeo.

No hay que dejar de tener en perspectiva que el texto de la Convención de Budapest plantea estándares normativos, porlo que corresponde que los países adherentes verifiquen, mediante una revisión introspectiva, si sus respectivaslegislaciones penales nacionales cumplen con este estándar o si se necesitan retoques para afinar la estandarización. Alrespecto, cabe señalar que la Convención, al representar un estándar mínimo que posibilita su universalización, se inclinaexclusivamente por la sanción de las conductas dolosas, vale decir de aquellas cometidas con conocimiento y voluntad derealizar el acto punible y de obtener el resultado dañoso. En el caso peruano, los tipos penales no tienen que especificarreiterativamente en todos los casos que las conductas punibles tipificadas están revestidas del dolo como elementosubjetivo del tipo, ya que el artículo 12 del Código Penal determina con meridiana claridad que el agente de infracciónculposa solamente es punible en los casos expresamente establecidos en la ley. Por ello, la técnica legislativa penalrecomienda no abundar en aclaraciones que solo generarían redundancia innecesaria, ya que no se compromete enabsoluto el estricto apego ala estandarización internacional.

Delitos contra Datos y Sistemas Informáticos

Acceso Ilícito (Artículo 2)

El que accede sin autorización

A todo o en parte de un sistema informático

Con vulneración de medidas de seguridad

establecidas para impedirlo

El que accede a un sistema informático

excediendo lo autorizado.

Comentario

Compatible con la Convención de Budapest

(Artículo 2)

Proviene del proyecto2520, promovido por elPoder Ejecutivo (iniciativalegislativa del Presidentede la República).

Sanciona la violación de laconfidencialidad de la informaciónprotegida por medidas de seguridaddiseñadas especialmente paraevitar accesos no autorizados.Igualmente, se sanciona elquebrantamiento de los límites deacceso definidos por el titular de losderechos de autorización.Pena:Privativa de libertad 1 – 4 años.30 – 90 días multa.

Ejemplos: El ingreso furtivo ala cuenta ajena de correoelectrónico protegidamediante una contraseñasecreta de seguridad; laaccesión no autorizada alsistema informático de unaentidad, aprovechando lasdebilidades inadvertidas de laprogramación o backdoors.


La compatibilidad es total, ya que se cumple con describir la acción delictivaen los mismos términos estandarizados de la Convención. Hay que recordarque las referencias a la deliberación y a la falta de legitimidad de la accióncontenidas en el texto del artículo de la Convención guardan identidad conel dolo, como elemento subjetivo del tipo presente implícitamente en todaslas tipificaciones contenidas en la ley penal peruana, en aplicación delArtículo 12 del Código Penal, salvo que el mismo tipo penal expresamenteestablezca la sanción para la conducta culposa o negligente.

Atentado a la integridad de datos informáticos (Artículo 3)

A través de las

TIC

Introduce

Borra

Deteriora

Altera

Suprime

Hace inaccesibles

Datos Informáticos

Compatible parcialmente con la

Convención de Budapest (Artículo 4)

Proviene del proyecto2520, promovido porel Poder Ejecutivo(iniciativa legislativadel Presidente de laRepública).

Sanciona el atentadocontra la integridad y ladisponibilidad del datoinformático.Pena:Privativa de libertad 3 – 6años.80 – 120 días multa.

Ejemplos: El borradoindebido de losantecedentes penales deuna persona determinada,contenidos en el RegistroOficial; la alteración delmonto de la deuda de uncliente de una empresa deservicios públicos.

Comentario


La compatibilidad existe, ya que se recogen los verbos rectores “borrar”, “deteriorar”,“alterar” y “suprimir” datos informáticos presentes en el texto de la Convención. Laadición de las acciones de “introducir” y “hacer inaccesibles” los datos informáticos, nose contraponen con los verbos rectores anteriores, ni distorsionan el estándarinternacional. Resulta equivocado sostener que se penaliza el borrado de archivos dela propia computadora personal, ya que el inciso 10 del Art. 20 del Código Penal señalaque está exento de responsabilidad penal quien actúa con el consentimiento válido deltitular de un bien jurídico de libre disposición. Aún así, si tal acto se produjese pornegligencia o impericia, tampoco habría sanción penal ya que la ley penal peruana (Art.12 del Código Penal) establece claramente que no es punible la conducta carente dedolo, salvo que el tipo penal señale expresamente lo contrario.

Atentado a la integridad de sistemas informáticos (Artículo 4)

A través de las

TIC

Inutiliza total o

parcialmente

Impide el acceso

Entorpece o imposibilita su

funcionamiento

Entorpece o imposibilita la prestación de sus servicios

Un sistema informático

Compatible con la Convención de

Budapest (Artículo 5)


Sanciona el atentado contrala accesibilidad debida o lacorrecta funcionalidad de unsistema informático.Pena:Privativa de libertad 3 – 6años.80 – 120 días multa.

Ejemplos: El denominadoataque de denegación deservicio; la toma indebidade un sistema informáticopara destinarlo afunciones distintas a lasdefinidas o asignadas porsus titulares oadministradores.

Comentario


Si bien es cierto que la redacción del artículo 4 de la ley no es igual a la del artículo 5 dela Convención, consideramos que la compatibilidad es total, en tanto que el conceptode la “obstaculización grave” de un sistema informático, guarda equivalencia con el de la“inutilización total o parcial” del sistema informático, el del “impedimento del acceso”,el del “entorpecimiento” o el de la “imposibilidad” de que éste funcione o preste susservicios. Consideramos un acierto haber elegido a cualquier forma que emplee las“tecnologías de la información o de la comunicación”, en vista que las formas que hoyen día existen para realizar estos ataques exceden largamente las posibilidades incluidasen el artículo 5 de la Convención. Hay que recordar que las referencias a la deliberacióny a la falta de legitimidad de la acción contenidas en el texto del artículo de laConvención guardan identidad con el dolo, como elemento subjetivo del tipo presenteimplícitamente en todas las tipificaciones contenidas en la ley penal peruana, enaplicación del Artículo 12 del Código Penal, salvo que el mismo tipo penal expresamenteestablezca la sanción para la conducta culposa o negligente.

Delitos Informáticos contra la Indemnidad y Libertades Sexuales

El que a través de las TIC

Contacta con un menor de 14 años

Para solicitar u obtener de él material

pornográfico, o para llevar a cabo

actividades sexuales con él

Proposiciones a niños, niñas y adolescentes con fines sexuales por

medios tecnológicos (Artículo 5)

Especial: Cuando la víctima tiene

entre 14 y 18 años y media engaño

No está incorporado en la Convención de

Budapest

Proviene del proyecto2520, promovido por elPoder Ejecutivo(iniciativa legislativa delPresidente de laRepública).

Sanciona el acoso sexual contra unmenor de edad con fines pornográficoso con el propósito de llevar a caboactividades sexuales que involucren elquebrantamiento de la libertad sexualdel menor (violación sexual o actoscontra el pudor).Pena:Privativa de libertad 4 – 8 añosInhabilitación.Especial:Privativa de libertad 3 – 6 añosInhabilitación

Ejemplos: El denominado“grooming” o el acercamientode adultos hacia los menores através de las redes sociales,con adopción de falsasidentidades, para ganar laconfianza de la víctima y asíobtener material pornográficoinfantil que después se utilizapara extorsiones con finessexuales o de otra índole.

Comentario

Delitos Informáticos contra la Intimidad y el Secreto de las Comunicaciones

Tráfico ilegal de datos (Artículo 6)

Creando o no perjuicio

Información relativa a cualquier ámbito de la esfera Personal Familiar Patrimonial Laboral Financiera Otro de naturaleza

análoga

ParaComercializar Traficar Vender Promover Favorecer o

facilitar

Una base de datos sobrePersona natural identificada o identificable Persona jurídica identificada o identificable

El que Crea Ingresa Utiliza indebidamente


Budapest

Surge por la necesidadde evitar la pérdida devigencia del derogadoartículo 207-D del CódigoPenal, que recién habíasido creado por la Ley30076.

Sanciona el tratamiento comercialno consentido de datospersonales, sobre todo cuando setrata de datos personalessensibles de acuerdo a la ley de lamateria, independientemente delperjuicio que pudiera sufrir eltitular de los datos personales acausa de esta conducta.Pena:Privativa de libertad 3 – 5 años

Ejemplos: La comercializaciónde bases de datos en conocidaszonas del centro de Lima, quecontienen nombres,documentos de identidad,edades, estados civiles,domicilios, teléfonos, centrosde labores, cargos,remuneraciones, calificacionesde riesgo crediticio y otrosdatos relevantes.

Comentario

Interceptación de datos informáticos (Artículo 7)

El que a través de las TIC

Intercepta datos informáticos en

transmisiones no públicas

Dirigidas a un sistema

informático; originadas en un

sistema informático o efectuadas dentro

del mismo

Las emisiones electromagnéticas provenientes de un sistema informático

que transporte dichos datos informáticos

Incluidas


(Artículo 3)

Proviene delproyecto 2520,promovido por elPoder Ejecutivo(iniciativa legislativadel Presidente de laRepública).

Sanciona la interceptación dedatos informáticos y lasemisiones electromagnéticasque transportan estos datosen las transmisionesprivadas.Pena:Privativa de libertad 3 – 6años.

Ejemplos: La capturade emails privadosen tránsito; lainterceptación deseñales wifi para laconexión privada ainternet.

Comentario


Este artículo es totalmente compatible con el artículo 3 de la Convención: la similitud literalde su redacción releva de mayores comentarios. Hay que recordar que las referencias a ladeliberación y a la falta de legitimidad de la acción contenidas en el texto del artículo de laConvención guardan identidad con el dolo, como elemento subjetivo del tipo presenteimplícitamente en todas las tipificaciones contenidas en la ley penal peruana, en aplicacióndel Artículo 12 del Código Penal, salvo que el mismo tipo penal expresamente establezca lasanción para la conducta culposa o negligente. Por otro lado, el artículo no constituyeamenaza alguna contra la libertad de expresión, dado que no se tipifica como delito a ladifusión del material obtenido con infracción de esta norma penal. Por esta razón resulta unerror de apreciación muy grave equiparar este artículo con la denominada “ley mordaza”aprobada por el Congreso y observada en su oportunidad por el Presidente de la República,ya que dicha ley , a diferencia de esta Ley 30096, sí penalizaba la difusión pública delmaterial obtenido mediante interceptaciones ilícitas. La interceptación de comunicacionesprivadas, sea cual sea la naturaleza de estas comunicaciones, es una conducta punible entodas partes del mundo.

Interceptación de datos informáticos (Artículo 7)

Agravantes

Delito recae sobre información que,

según ley es

Secreta

Reservada

Confidencial

Delito compromete

Defensa nacional

Seguridad nacional

Soberanía nacional

Los agravantes no están incorporados en la

Convención de Budapest (Artículo 3)


Agravantes:Que delito base recaiga sobreinformación secreta, reservada oconfidencial, conforme a ley;cuando se comprometa ladefensa, seguridad o soberaníanacionales.Pena:Privativa de libertad 3 – 6 añosPrivativa de libertad 8 – 10 años.

Ejemplos: Captura de archivosen tránsito que contenganinformación relacionada a unainvestigación reservada por ley;Interceptación decomunicaciones que contenganinformación sensible yutilizable por potenciasextranjeras en conflicto bélicocon el Perú.

Comentario

Delitos Informáticos contra el Patrimonio

Fraude informático (Artículo 8)

En perjuicio de tercero

O medianteInterferencia en el funcionamiento de un

sistema informáticoManipulación en el funcionamiento de un

sistema informático

MedianteDiseño de DI Introducción

de DIAlteración de

DI Borrado de DI Supresión de DI

Clonación de DI

El que a través de las TICProcura para sí un provecho ilícito Procura para otro un provecho ilícito

Compatible con la Convención de

Budapest (Artículo 8)


Sanciona la afectación de datosinformáticos en su interaccióncon un sistema informático o laalteración del normalfuncionamiento del sistemainformático, para la obtenciónde un provecho ilícito enperjuicio de tercero.Pena:Privativa de libertad 3 – 8 años60 – 120 días multa.

Ejemplos: La clonaciónde tarjetas bancarias; ladisposición de fondosde una línea de créditoa través de una tarjetafalsa.

Comentario


El artículo 8 de la ley es totalmente compatible con el artículo 8 de la Convención, ya que enambos casos se pretende la sanción del empleo indebido de datos informáticos en relación conun sistema informático o de la manipulación del funcionamiento del sistema mismo, paraobtener un provecho ilícito en perjuicio de un tercero. Hay que recordar que las referencias a ladeliberación y a la falta de legitimidad de la acción contenidas en el texto del artículo de laConvención guardan identidad con el dolo, como elemento subjetivo del tipo presenteimplícitamente en todas las tipificaciones contenidas en la ley penal peruana, en aplicación delArtículo 12 del Código Penal, salvo que el mismo tipo penal expresamente establezca la sanciónpara la conducta culposa o negligente. Para mayores referencias acerca de la necesidad deincorporar al fraude informático dentro de la ley peruana, sírvanse revisar el trabajo del fiscalportugués Pedro Verdelho por encargo de la Convención de Budapest(http://www.coe.int/t/dghl/cooperation/economiccrime/cybercrime/Documents/Reports-Presentations/2079_d_LATAM_substantivelaw_Nov2010.pdf) y nuestro trabajo preparado alrespecto (http://www.slideshare.net/aljathro/la-estafa-y-el-fraudeinformatico-son-lo-mismo-en-per).

AgravantesCuando se afecte el patrimonio del

Estado destinado a

Fines asistenciales

Programas de apoyo social

Fraude informático (Artículo 8)

Los agravantes no están incorporados en la Convención de Budapest (Artículo 8)


Sanciona el fraudeinformático que afecta alpatrimonio del Estadodestinado a finesasistenciales o aprogramas de apoyosocial.Pena:Privativa de libertad 5 – 10años.

Ejemplos: Si el fraudeinformático afecta alprograma JUNTOS; siafecta a los recursosasignados parasocorrer a unapoblación víctima deun desastre natural.

Comentario

Delitos Informáticos contra la Fe Pública

Suplantación de identidad (Artículo 9)

El que mediante las TIC

Suplanta la identidad de una persona natural

o jurídica

Siempre que de dicha conducta

resulte algún perjuicio

Tiene relación con el Artículo 7 de la Convención de

Budapest


Sanciona la falsificación dela identidad de unapersona natural o jurídica,siempre que de elloresulte algún perjuicio.Pena:Privativa de libertad 3 – 5años.

Ejemplos: La creación deperfiles falsos en las redessociales o de cuentas decorreo, atribuidas apersonas reales, paraengañar a terceros operjudicar al suplantado.

Comentario

Disposiciones Comunes

Abuso de mecanismos y dispositivos informáticos (Artículo 10)

O el que ofrece o presta servicio que contribuya a ese propósito

Específicamente diseñados para la comisión de los delitos previstos en la presente ley

Uno o másMecanismos Programas

informáticos Dispositivos Contraseñas Códigos de acceso

El queFabrica Diseña Desarrolla Vende Facilita Distribuye Importa Obtiene


(Artículo 6)


Sanciona diversas accionescomerciales dolosas (Art. 12Código Penal) vinculadas alempleo de mecanismos,software, contraseñas o datosinformáticos específicamentediseñados para cometer delitosinformáticos.Pena:Privativa de libertad 1 – 4 años30 – 90 días multa.

Ejemplos: El tráfico de datosde usuario y contraseñaobtenidos ilícitamente, paracometer fraudesinformáticos; lacomercialización de equiposdiseñados para capturardatos en los cajerosautomáticos (teclados falsos,boquetes con skimmerscamuflados, etc.).

Comentario


El artículo 10 de la ley guarda compatibilidad con el artículo 6 de laConvención. Sin embargo, consideramos que la extensión de lafinalidad de la acción delictiva a toda la gama de delitos previstos enla ley, podría generar problemas en la interpretación judicial, ya queel fin del abuso de dispositivos se entiende extensivo a ilícitos comola interferencia telefónica, la pornografía infantil o la discriminación.Sería más conveniente que el abuso se sancione cuando tenga porfinalidad el acceso ilícito, la interceptación ilícita, los atentadoscontra la integridad de los datos informáticos y de los sistemasinformáticos y el fraude informático. Se hace necesario que en estecaso, la jurisprudencia determine los límites de la aplicación de estetipo penal.No caben dudas de que el hacking ético está a salvo de cualquierpersecución penal ya que las referencias a la deliberación y a la faltade legitimidad de la acción contenidas en el texto del artículo de laConvención guardan identidad con el dolo, como elemento subjetivodel tipo presente implícitamente en todas las tipificacionescontenidas en la ley penal peruana, en aplicación del Artículo 12 delCódigo Penal, salvo que el mismo tipo penal expresamenteestablezca la sanción para la conducta culposa o negligente. No hayforma de que una conducta no dolosa sea sancionada por el delitode abuso de mecanismos y dispositivos informáticos. Asimismo, elnumeral 10 del Art. 20 del Código Penal exime de responsabilidadpenal a quien actúa bajo el consentimiento del titular del derechoque es objeto de protección penal, tal y como sucede con losusuarios que suscriben contratos de hacking ético para examinar yponer a prueba la seguridad de sus propios sistemas informáticos.

Aumenta hasta 1/3 por encima del máximo legal

El agente comete delito en calidad de integrante de

organización criminal

El agente comete el delito mediante el abuso de

Una posición especial de acceso a la data o información reservada

El conocimiento de esta información en razón del ejercicio

de un cargo o funciónEl agente comete el delito con el fin de obtener un beneficio

económico (salvo en delitos que prevén dicha circunstancia)

El delito compromete

Fines asistenciales

La defensa nacional

La seguridad nacional

La soberanía nacional

Agravantes (Artículo 11)

Agravantes no están incorporados en la

Convención de Budapest


Las circunstanciasmencionadas ameritan elaumento de un tercio porencima del máximo legalfijado para cualquierdelito previsto en la ley.

Ejemplos: La actuación deorganizaciones criminalesen la comisión de delitosinformáticos; el accesoilícito con fines deobtener beneficioseconómicos.

Comentario

Disposiciones Complementarias Finales

Codificación de la pornografía infantil (Primera DCF)

La PNP puede mantener en sus archivos material

de pornografía infantil

En medios de almacenamiento

de datos informáticos

Con autorización y supervisión del

Ministerio Público

Para fines exclusivos del

cumplimiento de su función


Budapest

Proviene delproyecto 370,promovido por elcongresista OctavioSalazar del GrupoParlamentario deFuerza Popular.

Las reglas para la posesión de archivosde pornografía infantil en poder de laPNP, bajo la autorización y supervisióndel Ministerio Público deben evitarlesionar los derechos de los niños.Hay que recordar que, aunque estosarchivos se utilicen para facilitar lasinvestigaciones, los niños utilizadospara dicho material son víctimas dedelitos y podría haber conflicto con elinterés superior del niño, en tanto queeste uso podría incrementar aún másel daño sufrido.

Comentario

Agente encubierto en delitos informáticos (Segunda DCF)

El Fiscal

Atendiendo a la urgencia del caso particular y con la debida diligencia

Podrá autorizar la actuación de agentes

encubiertos

A efectos de realizar las investigaciones de los delitos previstos en la

ley.

A efectos de realizar las investigaciones de todo

delito que se cometa mediante las TIC

Con prescindencia de si estos delitos están vinculados a una

organización criminal


Budapest

Proviene del proyecto370, promovido por elcongresista OctavioSalazar del GrupoParlamentario deFuerza Popular.

La necesidad de infiltraragentes encubiertos en elproceso de la comisión dedelitos informáticos a cargode las organizacionescriminales, debe serplenamente justificada ymotivada por la Fiscalía, yaque existe el riesgo decausar daños a terceros.

Comentario

Coordinación interinstitucional de la PNP con el Ministerio Público (Tercera

DCF)

La PNP fortalece Al órgano especializado

Encargado de coordinar las funciones de

investigación con el Ministerio Público

Coordinación interinstitucional de la PNP con el Ministerio Público (Tercera

DCF)

A fin de establecer mecanismos de comunicación con los órganos de gobierno del Ministerio Público

La Policía Nacional del Perú

Centraliza la información aportando su experiencia en la elaboración de los

programas y acciones para la adecuada persecución de los delitos informáticos

Desarrolla programas de protección y seguridad

Comentario

Esta disposición, que proviene del Proyecto 2520 (iniciativa del Poder Ejecutivo),reconoce a la Policía Nacional la labor desarrollada en la lucha contra los delitosinformáticos, a través de la División de Investigación de Delitos de Alta Tecnología(DIVINDAT), única experiencia desarrollada en el Perú de dependencia especializadaen ciberdelincuencia a cargo de alguna de las instituciones legalmente encargadas dela investigación y del juzgamiento de delitos: El Ministerio Público y el Poder Judicialaún no han concretado esfuerzos similares. Por esta razón es que, si bien es ciertoque a partir de la vigencia del Código Procesal Penal corresponde al MinisterioPúblico liderar la investigación de delitos, no se puede pasar por alto que es la PolicíaNacional la que, a través de la DIVINDAT, aporta el mayor conocimiento,infraestructura, equipamiento y experiencia no solamente para la investigación deciberdelitos, sino también para la custodia de la información vinculada a estasinvestigaciones. Este rol determina, naturalmente, la necesidad de fortalecer a laDIVINDAT, a través de la asignación de los recursos necesarios que le permitanoperar en coordinación no solamente con el Ministerio Público y con laresponsabilidad de presentar casos judiciales sustentados en pruebas sólidas, sinotambién con instituciones policiales y fiscales de otras partes del mundo, comoresultado de la estandarización internacional que persigue nuestro país.

Cooperación efectiva (Cuarta DCF)

Con el objeto de garantizar

Intercambio de información

Equipos de investigación

conjuntos

Transmisión de documentos

Interceptación de comunicaciones

Demás actividades correspondientes

para dar efectividad a la ley

Deben establecer protocolos de cooperación operativa reforzada

La PNP, el Ministerio Público, el Poder Judicial y los operadores del sector privado involucrados en la lucha contra los delitos informáticos

Comentario

La novedad que presenta esta Cuarta Disposición Complementaria Final es laincorporación de la categoría de “operadores del sector privado involucrados enla lucha contra los delitos informáticos”. Aunque la norma no determina quiénesson dichos operadores, la naturaleza del objeto del establecimiento de la“cooperación efectiva” entre aquellos y la PNP, el Ministerio Público y el PoderJudicial (transmisión de documentos, interceptación de comunicaciones, etc.),permite vislumbrar que, principalmente la referencia está hecha hacia lasempresas proveedoras de servicios de comunicaciones y telecomunicaciones.No obstante ello, esta disposición queda abierta para que sea desarrollada porotros instrumentos normativos, a fin de que, muy posiblemente, se concrete laincorporación de otros operadores del sector privado que desarrollenactividades que guarden cercanía o vínculo con el objeto de la cooperaciónefectiva antes mencionada. El origen de esta disposición se encuentra en elProyecto 2520, presentado por el Ejecutivo.

Capacitación (Quinta DCF)

Las instituciones públicas involucradas

en la prevención y represión de los

delitos informáticos

Especialmente la PNP, el Ministerio Público y el Poder

Judicial

Deben impartir cursos de capacitación

destinados a mejorar la formación profesional

de su personal

En el tratamiento de los delitos

previstos en la ley

Comentario

Estos procesos de capacitación deben conllevar a la creación, adecuadoequipamiento y sostenimiento debidamente presupuestado de unidadesespecializadas en materia de ciberdelitos al interior del Poder Judicial (juzgadosy salas especializadas) y del Ministerio Público (fiscalías especializadas), asícomo el potenciamiento de la unidad especializada de la Policía Nacional(DIVINDAT), en atención a las condiciones particulares que la adecuadainvestigación y juzgamiento de ciberdelitos necesitan, sobre todo en materiade conocimientos técnicos, no solamente jurídicos sino también informáticos.Asimismo, la validación de los procedimientos de investigación, acopio dematerial probatorio y juzgamiento exige no solo el empleo de herramientastecnológicas de procedencia y posesión legal, sino también la certificación delpersonal interviniente en cada una de las funciones que desarrollen a lo largode todas estas actuaciones, a fin de que la actividad de los operadores dejusticia penal no pueda ser tachada de inválida o de insuficiente por parte de ladefensa legal de los ciberdelincuentes. Esta disposición proviene del Proyecto2520, presentado a iniciativa del Poder Ejecutivo.

Medidas de seguridad (Sexta DCF)

La ONGEI, en coordinación con las instituciones

del sector público

Promueve permanentemente

El fortalecimiento de sus medidas de

seguridad

Para la protección de los datos informáticos sensibles y la

integridad de sus sistemas

informáticos

Comentario

Es importante que el Estado tome conciencia, de manera transversal ygeneralizada, acerca de la necesidad de adoptar una cultura deciberseguridad, que pase por la aplicación de medidas y criterios vinculadosa la seguridad informática y a la seguridad de la información. En esteaspecto, la ONGEI tiene un rol determinante en su condición de ente rectordel Sistema Nacional de Informática, para mejorar los servicios que el Estadobrinda a los particulares, a través del adecuado uso de las tecnologías de lainformación y de las comunicaciones en cada dependencia pública.

Buenas prácticas (Séptima DCF)

Y establecerá los mecanismos de prevención necesarios incluyendo

Respuestas coordinadas Intercambio de información Buenas prácticas

Destinadas a combatir el fenómeno de los ataques masivos contra las infraestructuras informáticas

A fin de poner en marcha

Acciones Medidas concretas

El Estado peruano realizará acciones conjuntas con otros Estados

Comentario

Esta disposición (que también proviene del Proyecto 2520presentado por el Poder Ejecutivo), tiene como objetivo hacerfrente a uno de los fenómenos más nocivos que hoy en díaafronta la ciberseguridad: Los ciberataques con fines políticos ocomo instrumentos de guerra cibernética. La norma pretendeestablecer coordinaciones con otros Estados para potenciar lainteligencia preventiva, la unión de esfuerzos para afrontar lasamenazas comunes y reforzar buenas prácticas de ciberseguridadnacional ante ataques que pueden aprovechar debilidades ofalencias para crear incomodidad (ataques de denegación deservicio en los sistemas informáticos de las entidades públicas yprivadas más importantes), así como zozobra o desconcierto(ataques destinados a sabotear servicios públicos indispensableso esenciales).

Convenios multilaterales (Octava DCF)

El Estado peruano

promoverá

La firma y ratificación de

convenios multilaterales

Que garanticen la cooperación mutua con otros Estados

Para la persecución de los delitos informáticos

Comentario

La Convención de Budapest de 2001 (Convention on Cybercrime – CETS 185) esun esfuerzo del Consejo de Europa con el objeto de promover un estándarinternacional universal para la tipificación de delitos informáticos y paraestablecer procedimientos uniformes entre los Estados partes, que faciliten lainvestigación de esta clase de delitos, la obtención de medios probatoriossuficientes y el favorecimiento de la actividad jurisdiccional, tanto en el planonacional interno, como en la relación de cooperación internacional de Estado aEstado. Por mandato de la ley que es objeto del presente análisis, el Perúexpresa su voluntad de adherirse a la Convención de Budapest, y asume elcompromiso formal de participar activamente en otros esfuerzos similares,como aquel que promueve el COMJIB (Conferencia de Ministros de Justicia deIberoamérica), que partiendo del estándar básico de la Convención deBudapest, busca perfeccionar el estándar con la experiencia de los últimos doceaños. Esta disposición tiene origen en el Proyecto 2520 presentado a iniciativadel Poder Ejecutivo.

Terminología (Novena DCF)

En ejecución de un programa

El tratamiento automatizado de datos

Cuya función, o la de alguno de sus elementos sea

Sistema informático es

Todo dispositivo aislado Conjunto de dispositivos interconectados o relacionados entre sí

Terminología (Novena DCF)

Incluidos los programas diseñados para que un sistema informático ejecute una función

Expresados de cualquier forma que se preste a tratamiento informático

Son Datos Informáticos

Toda representación de hechos Información Conceptos

Comentario

Las dos definiciones contenidas en la Novena Disposición Complementaria Finalson exactamente iguales a las contenidas en los literales a y b del artículo 1 de laConvención de Budapest. Esta identidad de definiciones obedece a la intencióndel legislador de concretar la estandarización de la legislación penal peruana conlos términos de la Convención de Budapest, en tanto que no solamente existe lanecesidad de homologar la tipificación de los delitos informáticos, sino tambiénlos conceptos que sirven de base para la interpretación del sentido exacto de lanorma. Esta es la base de la cooperación internacional prevista en el texto de laConvención. Es fundamental, pues, que todos aquellos países que aspiran aconcretar su adhesión a este consenso internacional, adopten estas definicionescomo parte de su ordenamiento penal nacional.

Regulación e imposición de multas por la Superintendencia de Banca, Seguros

y AFP (Décima DCF)

La SBS Establece escala

de multas atendiendo en

cada caso a

Características

Complejidad

A las empresas

bajo su supervisión

Que incumplan con la obligación de entregar información relacionada con el levantamiento judicial del secreto

bancario

Circunstancias

El juez pone en conocimiento de la SBS la omisión incurrida por la

empresa, en el término de 72 horas

Comentario

Esta modificación completa el círculo de la facultad sancionadora quetiene el Estado, con la sanción administrativa por el incumplimiento de lasentidades del sistema financiero de la obligación de entregar lainformación correspondiente a la orden judicial de levantamiento delsecreto bancario, en tanto que, si bien es cierto que el sistema judicialimpone las medidas correctivas y las sanciones correspondientes contra elincumplimiento de los mandatos judiciales, administrativamente no existeinfracción ni sanción si éstas no están previstas expresamente en la ley, talcomo lo prescribe la Ley 27444. Este artículo sirve de complemento a lamodificación introducida al artículo 235 del Código Procesal Penal por laTercera Disposición Complementaria Modificatoria.

Regulación e imposición de multas por el Organismo Supervisor de Inversión Privada

en Telecomunicaciones (Undécima DCF)

Osiptel

Establece escala de

multas atendiendo en

cada caso a

Características

Complejidad A las empresas telefónicas y de

telecomunicaciones

Que incumplan con la obligación de posibilitar la diligencia judicial de intervención, grabación o registro

de las comunicaciones y telecomunicaciones

Circunstancias

El juez pone en conocimiento de Osiptel la omisión incurrida por la

empresa, en el término de 72 horas

Comentario

Esta modificación completa el círculo de la facultad sancionadora quetiene el Estado, con la sanción administrativa por el incumplimiento de lasempresas prestadoras de servicios de comunicaciones ytelecomunicaciones de la obligación de posibilitar la diligencia judicial deintervención, grabación o registro de las comunicaciones ytelecomunicaciones, en tanto que, si bien es cierto que el sistema judicialimpone las medidas correctivas y las sanciones correspondientes contra elincumplimiento de los mandatos judiciales, administrativamente no existeinfracción ni sanción si éstas no están previstas expresamente en la ley, talcomo lo prescribe la Ley 27444. Este artículo sirve de complemento a lamodificación introducida al artículo 230 del Código Procesal Penal por laTercera Disposición Complementaria Modificatoria.

Disposiciones Complementarias Modificatorias

Modificación de la Ley 27697 (Primera DCM)

Solo podrá hacerse uso de la facultad prevista

en la presente ley en los siguientes

delitos

SecuestroTrata de personas

Pornografía infantil

Robo agravado

Extorsión

TID

Tráfico ilícito de

migrantesDelitos contra la

humanidad

Atentados contra la seguridad nacional y

traición a la patria

Peculado

Corrupción de

funcionarios

Terrorismo

Delitos tributarios y aduaneros

Lavado de activos

Delitos informáticos

Artículo 1.- La presenteley tiene por finalidaddesarrollar legislativa-mente la facultadconstitucional otorgada alos jueces para conocer ycontrolar lascomunicaciones de laspersonas que sonmateria de investigaciónpreliminar ojurisdiccional

Comentario

Es importante la inclusión de los delitos informáticos dentro del catálogode delitos susceptibles del ejercicio de la facultad judicial de conocimientoy control de las comunicaciones de las personas que son materia deinvestigación preliminar o jurisdiccional. A partir de esta incorporación, lajusticia pasa a tener una herramienta necesaria e indispensable queayudará a la obtención de material probatorio orientado tanto alesclarecimiento de hechos delictivos vinculados a la comisión de delitosinformáticos, como para la correcta atribución de responsabilidadespenales. Esta innovación legislativa tiene respaldo dentro del estándarinternacional, específicamente en el artículo 21 de la Convención deBudapest.

Modificación de la Ley 30077 – Ley contra el Crimen Organizado (Segunda DCM)

Artículo 3.-Delitos

comprendidos:

La presente ley es aplicable a los siguientes

delitos: (…)

9. Delitos informáticos,

previstos en la ley penal

Comentario

La incorporación de los delitos informáticos dentro del ámbito legal de la luchacontra el crimen organizado representa un avance importante en laconsolidación de la posición decididamente anticibercriminal que adopta elPerú, sobre todo si se toma en cuenta la naturaleza transfronteriza que tienenno solamente las organizaciones cibercriminales, sino también sus accionesdelictivas más comunes.

A partir de esta incorporación, los fiscales tienen a disposición nuevasherramientas legales que les permiten hacer uso de ciertas facultades quefacilitan la investigación de delitos informáticos cometidos por organizacionescibercriminales. No hay que olvidar que, en contraposición, las organizacionescibercriminales hacen uso de todos los recursos que tienen a la mano, seanéstos legales o no, para evitar o entorpecer el rastreo, detección ydesenmarañamiento de sus ilícitas acciones.

Modificación del Código Procesal Penal (Tercera DCM)

Artículo 230. Intervención o grabación o registro de comunicaciones telefónicas o de otras formasde comunicación.(…)4. Los concesionarios de servicios públicos de telecomunicaciones deben facilitar, en el plazomáximo de treinta días hábiles, la geolocalización de teléfonos móviles y la diligencia deintervención, grabación o registro de las comunicaciones, así como la información sobre laidentidad de los titulares del servicio, los números de registro del cliente, de la línea telefónica ydel equipo, del tráfico de llamadas y los números de protocolo de internet, que haya sido dispuestamediante resolución judicial, en tiempo real y en forma ininterrumpida, las veinticuatro horas delos trescientos sesenta y cinco días del año, bajo apercibimiento de ser pasible de lasresponsabilidades de ley en caso de incumplimiento. Los servidores de las indicadas empresasguardar secreto acerca de las mismas, salvo que se le citare como testigo al procedimiento. El juezfija el plazo en atención a las características, complejidad y circunstancias del caso en particular.

Dichos concesionarios otorgarán el acceso, la compatibilidad y conexión de su tecnología con elSistema de Intervención y Control de las Comunicaciones de la Policía Nacional del Perú.Asimismo, cuando por razones de innovación tecnológica los concesionarios renueven sus equiposo software, se encontrarán obligados a mantener la compatibilidad con el Sistema de Intervencióny Control de las Comunicaciones de la Policía Nacional.

Comentario

Esta modificación guarda compatibilidad con los artículos 17, 20 y 21 de la Convención deBudapest. En efecto, el estándar internacional exige que los proveedores de servicios conservenlos datos relativos al tráfico y aseguren la revelación rápida de éstos a la autoridad competente (laDirectiva 2006/24/CE exige que la conservación de datos de tráfico no sea menor a seis meses nimayor a dos años). Asimismo, exige a las autoridades nacionales, directamente o a través de losproveedores de servicios, que obtengan o graben, en tiempo real, los datos relativos al tráfico, asícomo los datos relativos al contenido de las comunicaciones transmitidas en su territorio pormedio de un sistema informático, cuando estos datos estén asociados a comunicacionesespecíficas.

Sin embargo, el plazo máximo de treinta días hábiles que esta modificación otorga a las empresasproveedoras para “facilitar” datos relacionados al tráfico y al contenido de las comunicaciones,resulta excesivo y no se condice con el estándar internacional cuando exige la “revelación rápida”de los datos de tráfico a la autoridad. Si bien es cierto que este plazo puede ser adecuado por losjueces “en atención a las características, complejidad y circunstancias del caso en particular”, hayque tener en cuenta que el máximo de treinta días resulta desproporcionado sobre todo si se tieneen cuenta que las empresas proveedoras están obligadas a conservar permanentemente los datosrelativos al tráfico. Como ejemplo, podemos señalar que en España, la Ley 25/2007 establece unplazo, por defecto, de 72 horas.


Artículo 235. Levantamiento del secreto bancario(…)5. Las empresas o entidades requeridas con la orden judicial deben proporcionar en el plazomáximo de treinta días hábiles la información correspondiente o las actas y documentos,incluso su original, si así se ordena, y todo otro vínculo al proceso que determine por razón desu actividad, bajo apercibimiento de las responsabilidades establecidas en la ley. El juez fija elplazo en atención a las características, complejidad y circunstancias del caso en particular.

Comentario

La regulación de los plazos para la entrega de la informaciónrelacionada con el levantamiento del secreto bancario no guardarelación directa alguna con la temática propia de los delitosinformáticos. Por lo tanto, consideramos que ésta no es laoportunidad más propicia de regular los plazos para la entrega deinformación vinculada al levantamiento judicial del secretobancario, más aún si no se tiene la opinión especializada de laSuperintendencia de Banca, Seguros y Administradoras de AFP.


Artículo 473. Ámbito del proceso y competencia

Los delitos que pueden ser objeto de acuerdo, sin perjuicio de los que establezca laLey, son los siguientes:

Asociación ilícita, terrorismo, lavado de activos, delitos informáticos, contra la humanidad;(…)

Comentario

Dado que los delitos informáticos han sido incorporados dentro del ámbito deaplicación de las normas especiales para el combate contra el crimen organizado, esvital establecer mecanismos eficaces para el desmantelamiento de lasorganizaciones criminales. Uno de estos mecanismos es el de la colaboración eficazde informantes que hayan tenido un rol activo como autores, coautores o partícipesde un acto delictivo, cuya planificación y ejecución haya estado bajo control de laorganización criminal, a cambio de los beneficios que se acuerden con el MinisterioPúblico, siempre que se cuente con la respectiva aprobación judicial.

Modificación del Código Penal (Cuarta DCM)

Artículo 162. Interferencia telefónicaEl que, indebidamente, interfiere o escucha una conversación telefónica o similar,será reprimido con pena privativa de libertad no menor de tres ni mayor de seisaños.Si el agente es funcionario público, la pena privativa de libertad será no menor decuatro ni mayor de ocho años e inhabilitación conforme al artículo 36, incisos 1, 2 y4.La pena privativa de libertad será no menor de cinco ni mayor de ocho años cuandoel delito recaiga sobre información clasificada como secreta, reservada oconfidencial de conformidad con las normas de la materia.La pena privativa de libertad será no menor de ocho ni mayor de diez años, cuandoel delito comprometa la defensa, seguridad o soberanía nacionales.

Comentario

La duda que subsiste radica en que si este tipo penal se ocupa de las mismas conductasantijurídicas que son materia del artículo 7. Si se entiende como “similares” a laconversación telefónica, a aquellas conversaciones que emplean señales o archivos deaudio que reproducen la voz humana, nos estaremos refiriendo también, pues, a loschats de voz, a las conversaciones a través del servicio de Skype, al intercambio dearchivos de audio, etc. ¿No sería esto también interceptación de datos informáticos, sinos atenemos a la definición establecida en la novena disposición complementaria yfinal? En todo caso, en ambos supuestos las penas son exactamente las mismas, conidénticas circunstancias agravantes. Quizás se pudo acumular las circunstancias quellevan a penalizar la interceptación de datos informáticos dentro del tipo penal de lainterceptación telefónica. No obstante, la opción que tomaron los legisladores que diolugar a la creación del tipo penal contenido en el artículo 7 conllevaba, forzosamente, ala homologación de la tipificación de la interceptación telefónica, ya que, si bien escierto que más allá de la “similitud” ya referida, este delito no tiene que ser materia detratamiento en una legislación especializada en delitos informáticos, también lo es quesi no se modificaba el artículo 162 del Código Penal, se habría dejado abierta unaventana legal que favorecería injustificadamente al reo, en tanto que ante la existenciade una duda relacionada con la aplicación de normas similares, tendría que preferirsela aplicación de aquella penalmente menos gravosa.


Artículo 183-A. Pornografía infantilEl que posee, promueve, fabrica, distribuye, exhibe, ofrece, comercializa o publica,importa o exporta por cualquier medio; objetos, libros, escritos, imágenes, vídeoso audios, o realiza espectáculos en vivo de carácter pornográfico, en los cuales seutilice a personas de catorce y menos de dieciocho años de edad, será sancionadocon pena privativa de libertad no menor de seis ni mayor de diez años y con cientoveinte a trescientos sesenta y cinco días multa.La pena privativa de libertad será no menor de diez ni mayor de doce años y decincuenta a trescientos sesenta y cinco días multa cuando:El menor tenga menos de catorce años de edad.El material pornográfico se difunda a través de las tecnologías de la información ode la comunicación .Si la víctima se encuentra en alguna de las condiciones previstas en el últimopárrafo del artículo 173 o si el agente en calidad de integrante de una organizacióndedicada a la pornografía infantil la pena privativa de libertad será no menor dedoce ni mayor de quince años.De ser el caso, el agente será inhabilitado conforme a los numerales 1, 2 y 4 delartículo 36.

Comentario

Se considera como un agravante el empleo de las tecnologías de la informacióny de las comunicaciones. Hay que tener en cuenta que el delito de pornografíainfantil, en su concepción básica ya se encuentra sancionado con penasconsiderablemente elevadas (hasta diez años de pena privativa de la libertad).Ante esto, no se afirma nada novedoso cuando se señala que el delito depornografía infantil hoy en día se comete casi exclusivamente a través de lastecnologías de la información y de las comunicaciones, por lo que bien puedeestar considerándose un agravante que en la realidad constituye la generalidadbásica de los casos y no una circunstancia que incremente particularmente eldaño. Los legisladores siempre están ante la posibilidad de optar; en este caso,se han inclinado por incorporar un agravante a mérito del uso de lastecnologías de la información y de las comunicaciones, en vez de la elevaciónde la pena del tipo base (ya bastante elevada, por cierto), si es que se consideraque las penas no son lo suficientemente consecuentes con la gravedad deldaño producido.


Artículo 323. DiscriminaciónEl que, por sí o mediante terceros, discrimina a una o más personas o grupo depersonas, o incita o promueve en forma pública actos discriminatorios, por motivoracial, religioso, sexual, de factor genético, filiación, edad, discapacidad, idioma,identidad étnica y cultural, indumentaria, opinión pública o de cualquier índole, ocondición económica, con el objeto de anular o menoscabar el reconocimiento,goce o ejercicio de los derechos de la persona, será reprimido con pena privativa delibertad no menor de dos años, ni mayor de tres o con prestación de servicios a lacomunidad de sesenta a cientos veinte jornadas.Si el agente es funcionario o servidor público la pena será no menor de dos, nimayor de cuatro años e inhabilitación conforme al numeral 2 del artículo 36.La misma pena privativa de libertad señalada en el párrafo anterior se impondrá sila discriminación se ha materializado mediante actos de violencia física o mental, osi se realiza a través de las tecnologías de la información o de la comunicación.

Comentario

No queda claro si lo que se ha pretendido es tipificar las conductas establecidas en el Protocoloadicional a la Convención de Budapest, o si simplemente se está constituyendo un agravantepor el uso de las Tecnologías de la Información y de las Comunicaciones. Dado que el Protocoloexige la inclusión específica de las conductas discriminatorias por medio de sistemasinformáticos en los tipos penales de los países que son parte de la Convención de Budapest,entendemos que su incorporación como un agravante del tipo penal base resulta siendo unadecisión autónoma del legislador peruano, que si bien es cierto que no se aparta del espíritu dela Convención de Budapest, creemos que el caso sí amerita una debida fundamentación parajustificar la creación de un agravante que incide directamente en la magnitud de la pena, por elmero hecho de utilizar una tecnología disponible.Consideramos que para el exclusivo fin de adecuar la norma penal peruana al estándarinternacional, no había necesidad de hacer una mención expresa en el tipo penal del delito dediscriminación, ni tampoco incorporar un agravante. En todo caso, y en la medida que sehubiera considerado estrictamente necesario, bastaba hacer una precisión en el tipo penal basepara aludir a la comisión del delito a través de cualquier medio de expresión oral, escrita,gestual o de cualquier otra índole, quedando así incorporado forzosamente el uso de lastecnologías de la información y de las comunicaciones para la comisión de este delito.Queda claro que es un grave error de análisis considerar que solo a partir de esta modificaciónse sanciona penalmente la comisión de la conducta tipificada en el Art. 323 a través del uso delas Tecnologías de la Información y de las Comunicaciones. La punibilidad de este acto preexistea la Ley 30096.

Disposición Complementaria Derogatoria

Derogatoria (Única DCD)

Quedan derogados

Numeral 3 del segundo párrafo del Artículo 186

del Código Penal

Artículo 207-A del Código Penal

Artículo 207-B del Código Penal

Artículo 207-C del Código Penal

Artículo 207-D del Código Penal

Comentario

Estas disposiciones derogatorias eliminan el Capítulo X del Título V del Libro Segundo del CódigoPenal, mediante el cual legislativamente se había optado por conceptualizar a los delitosinformáticos como agresiones al patrimonio, entendido éste como el bien jurídico protegido con laacción punitiva del Estado frente a las conductas tipificadas. Evidentemente, esta legislación seencontraba en un plano ideológico divergente de la estandarización universal, razón por la cual, eraindispensable que una reforma del modelo punitivo peruano frente a los delitos informáticos, quetiene por objetivo acercarse a este estándar, corrija esta conceptualización que entorpecía laadhesión del Perú a la Convención de Budapest.

Por cierto, como ya se comentó anteriormente, el artículo 207-D del Código Penal, recientementeincorporado a nuestra legislación por la Ley 30076, no pierde vigencia (pese a su derogatoria), yaque se ha recogido íntegra y literalmente en el Artículo 6 de la ley que es objeto del presenteanálisis.

Hay que llamar la atención acerca del error que se ha cometido con la derogatoria del numeral 3del segundo párrafo del artículo 186 del Código Penal, toda vez que no hay razón ni motivo paraeliminar de la relación de agravantes del hurto agravado, a la comisión del delito sobre bienes devalor científico o que integren el patrimonio cultural de la Nación. El numeral que debió derogarsees el 4, referido al hurto mediante la utilización de sistemas de transferencia electrónica de fondos,de la telemática en general o la violación del empleo de claves secretas, toda vez que estasconductas no solamente son jurídicamente imposibles, sino que ya están sancionadas bajo el tipopenal del fraude informático (artículo 8).

Muchas gracias por tu atención

Síguenos en Twitter:@AlvaroThais

Análisis de la Ley de Delitos Informáticos - Ley 30096

Education

Transcript of Análisis de la Ley de Delitos Informáticos - Ley 30096