El tribunal pleno de la Corte Suprema analizó el proyecto de ley que establece normas sobre delitos informáticos, modifica y deroga cuerpos legales para adecuar la legislación nacional al Convenio de Budapest, que sanciona la ciberdelincuencia, informe que fue remitido al Senado el martes 12 de febrero, con la opinión del máximo Tribunal respecto de la modificación propuesta a los artículos 219 y 222 del Código Procesal Penal, que regulan el acceso a comunicaciones privadas o transmisiones públicas en poder de empresas de comunicaciones y las interceptaciones de comunicaciones privadas, respectivamente.
El informe sostiene que el rango regulatorio de los vigentes artículos 219 y 222 del CPP es claro, pues se trata en dos artículos diversos dos situaciones distintas: el artículo 219 CPP regula las condiciones de acceso del Ministerio Público a la información relativa a comunicaciones privadas o transmisiones públicas que se encuentran actualmente en poder de las ‘empresas de comunicaciones'; el artículo 222 del CPP estipula las condiciones que debe satisfacer el Ministerio Público para interceptar comunicaciones privadas.
El oficio agrega que con la reforma propuesta, esta distribución de contenidos se altera: el artículo 222 pasa a regular también ciertos ‘datos relativos a las comunicaciones', mientras que el artículo 219 substitutivo excluye expresamente a las comunicaciones a que hace referencia el artículo 222 del Código, que pasan a regirse ‘por lo señalado en dicha disposición'. No queda claro, entonces, cuáles comunicaciones pasan a regirse por cada uno de los artículos, esto es si se rigen por el 219 CPP todas aquellas que no han sido expresamente contempladas en el 222 CPP.
A continuación, el oficio señala que esta diferencia se produce porque si bien en la redacción vigente del artículo 222 CPP hay mención de ciertos datos relativos a las comunicaciones – específicamente los ‘rangos autorizados de direcciones IP y un registro… de los números IP de las conexiones que realicen sus abonados'-, este listado es mencionado en la disposición con el exclusivo objetivo de permitir las interceptaciones una vez que éstas han sido autorizadas por el juez.
Añade que al contrario, en la redacción propuesta, las empresas deben mantener ‘un listado y registro actualizado de sus rangos autorizados de direcciones IP y de los números IP de las conexiones que realicen sus clientes o usuarios, con sus correspondientes datos relativos al tráfico, así como los domicilios o residencias de sus clientes o usuarios' no sólo a efectos de las interceptaciones declaradas, sino siempre ‘a disposición del Ministerio Público a efectos de una investigación penal en curso'. Este cambio, que puede parecer sutil, pudiera causar conflictos interpretativos, dejando en la indefinición si acaso requiere el Ministerio Público de autorización judicial para recabar aquellos datos como la residencia de un determinado usuario o sus datos relativos al tráfico, o bastará que exista una ‘investigación penal en curso'.
Luego, el informe afirma que en este sentido, además de dejar estipulado que se debe requerir autorización judicial para recabar cualquier dato que pudiera afectar la privacidad o los derechos de las personas, sería preferible estipular diferenciadamente (en artículos o disposiciones distintas) los ámbitos regulatorios que la propuesta mezcla. Así, requerirían regulaciones separadas los ámbitos de: (a) la información relativa a las comunicaciones privadas en poder de las empresas de telecomunicación; (b) el de la información relativa a las comunicaciones públicas en poder de las empresas de telecomunicación, prensa y radio difusión; y, (c) el de la interceptación de mensajes y comunicaciones privadas o sujetas a reserva. Estas tres materias refieren a realidades distintas y parece sano abordarlas separadamente.
Allanamientos y arrestos
Respecto de la facultad de allanamiento y el requerimiento al representante legal de las empresas de comunicaciones bajo apercibimiento de arresto, la Corte Suprema sostiene que la modificación consultada permite allanar las oficinas de las empresas de telecomunicaciones en el caso de negativa o retardo en la información, previa autorización judicial y, en caso de fallar estas medidas, permite decretar el arresto del gerente o representante legal de la empresa, como un medio compulsivo para facilitar la labor del Ministerio Público.
Enseguida sostiene que en estas condiciones, y considerando la necesidad de autorización judicial y completa excepcionalidad de las medidas, la propuesta resulta razonable. Sin perjuicio de ello, dentro de las hipótesis que permite el artículo para autorizar al allanamiento y registro de soportes informáticos, podría resultar plausible prever su posibilidad, incluso antes del retardo o incumplimiento, cuando existan antecedentes o circunstancias que hagan presumir que la respectiva información pudiera desaparecer, o que la empresa respectiva va a entorpecer o dificultar la labor investigativa del Ministerio Público.
Asimismo, la Corte Suprema advierte sobre posibles lagunas legales, como en el caso de los proveedores de servicios de mensajería o comunicaciones que no son empresas de telecomunicaciones ni proveedores de internet.
Advierte que la modificación legal sólo estipula la posibilidad de intervenir o recabar, previa autorización judicial, en las comunicaciones y datos suministrados o en posesión de las empresas de telecomunicaciones y los proveedores de internet. Sin embargo, nada se dice de la situación de otras empresas que, sin prestar servicios de telecomunicaciones y sin ser proveedores de internet, pueden prestar servicios de comunicación y tener acceso a información de contenido y meta-data que podría resultar de utilidad en investigaciones penales de gravedad. El ejemplo más claro de empresas de esta clase, advierte el máximo Tribunal, son todas las de mensajería instantánea y redes sociales; las empresas que interactúan con datos específicos de sus usuarios, como las de transporte en relación a los datos de localización geográfica; las empresas de compra a distancia basadas en geolocalización y; las empresas que recolectan información de objetos inteligentes.
En el mismo sentido, agrega que podría resultar razonable aprovechar el impulso de reforma con el fin de prever la posibilidad de acceder a la información administrada o en posesión de estas empresas, siempre y cuando se cumpla con las condiciones de injerencia en el derecho de privacidad que estipula el sistema interamericano de derechos humanos que, como se dijo, supone el cumplimiento de los requisitos de legalidad, legitimidad del fin, idoneidad, necesidad y proporcionalidad de la medida.
En el informe, la Corte Suprema aborda, además, materias no consultadas y que se relacionan con: la atenuante de colaboración eficaz; la nueva regulación sobre retención de datos relativos al tráfico; el comiso de especies incautadas por conductas sancionadas por la propuesta; el nuevo sistema de delitos castigados; el delito de acceso ilícito de datos e interceptación ilícita; el delito de daño de datos; el delito de perturbación informática; la incorporación del nuevo delito de falsificación informática y la incorporación del nuevo delito de fraude informático.