El pasado 20 de junio se publicó en nuestro país la nueva Ley de Delitos Informáticos (Ley N° 20.459), un hito que no puede pasar desapercibido, y que permite a nuestro país cumplir adecuadamente con el Convenio sobre la Ciberdelincuencia del Consejo de Europa, conocido como el “Convenio de Budapest”, que Chile ratificó el año 2017.

Si bien Chile ya en el año 1993 fue pionero en contar con una legislación sobre los delitos informáticos (Ley N° 19.223), cuando Internet aparecía en ese entonces como un fenómeno incipiente de escaso acceso a la ciudadanía, la revolución informática, y de la mano, la evolución de los fenómenos delictivos poco a poco fueron dejando en evidencia la obsolescencia de nuestra legislación.

En efecto, si bien a grandes rasgos logramos sancionar el sabotaje informático (el daño o inutilización de un sistema o de un dato informático) y el espionaje informático (la interceptación o el acceso ilícito a los mismos), el desarrollo tecnológico permitió a su vez la comisión de nuevos delitos que era difícil encuadrarlos en aquella ley de 1993.

Veamos algunos ejemplos:

En los últimos años nos encontramos con el fenómeno del phishing, un típico fraude informático cuyo objetivo es adquirir información sensible como nombres de usuario, claves o datos de cuentas o tarjetas de crédito, a través de una comunicación electrónica, fingiendo ser una entidad de confianza, como por ejemplo un banco o una entidad gubernamental. Si bien se intentaba encuadrar bajo la figura de la estafa, en el caso del phishing faltaba un elemento esencial, consistente en que la propia víctima hiciera una disposición patrimonial, cuestión que no necesariamente sucedía en estos casos, pues la víctima sólo entregaba sus datos sin hacer ninguna transacción necesariamente. Por ello con la nueva legislación se establece especialmente el fraude informático.

En el caso de los accesos indebidos, claramente sancionábamos a quien sin autorización ingresaba a un sistema informático. Sin embargo, difícilmente se encuadraban en dicho delitos quienes estando autorizados, accedían en circunstancias fuera del marco de esas autorizaciones. Pensemos por ejemplo en un ex empleado de una empresa, que luego del término de su relación laboral continua accediendo indebidamente a sistemas internos de la empresa. O, en casos de muy normal ocurrencia, ex parejas que conociendo las claves de acceso de sus “ex”, acceden a sus cuentas de sus redes sociales pudiendo definir su contenido y publicaciones. Esta nueva ley sanciona esos accesos indebidos, sin tener que distinguir con qué finalidad se realizaron dichos accesos.

En esta materia uno de los aspectos más debatidos fue la sanción del hacking ético, pues si bien la intencionalidad puede no ser cuestionable, sí lo es el hecho de entrar sin autorización. Después de todo, cabe preguntarse si estaría uno dispuesto a tolerar que terceras personas ingresen a mi casa sólo para demostrar que necesito establecer mayores medidas de seguridad en mi propio domicilio.

Y otro aspecto que pasa ahora a ser sancionable es la receptación de datos informáticos, es decir, la comercialización, transferencia o el mero almacenamiento de dichos datos, cuando uno no pueda sino conocer el origen ilícito de dichos datos. Es un tema que desde luego deberá llevar a las empresas a tener mayores medidas de prevención en el uso de los datos a que accedan, pues deberán previamente confirmar el origen lícito de los mismos.

Dentro de los nuevos delitos, finalmente, se incorporó el “abuso de dispositivos”, es decir, la entrega, importación  y difusión de dispositivos, programas computacionales, contraseñas, códigos de seguridad o de acceso u otros datos similares, creados o adaptados principalmente para la perpetración de delitos informáticos, tales como el ataque a un sistema o a un dato informático, el acceso ilícito al mismo, o la interceptación ilícita (difícil entender el por qué no se incluyó el fraude informático en esta figura). La importancia de esta figura es fundamental, especialmente en ámbitos relacionados con el crimen organizado.

Por lo mismo, es relevante que se haya considerado la incorporación de estos delitos como delitos “precedentes” de Lavado de Activos, teniendo en consecuencia todos los sujetos obligados del sistema nacional de prevención de lavado de activos que adaptar sus políticas de prevención.

Y en el mismo sentido, el desafío es enorme para todas las empresas, pues la ley ha incorporado los delitos informáticos como delitos por los cuales pueden responder las personas jurídicas, responsabilidad que puede llegar incluso a la disolución de la empresa, en caso de reincidencia. Así, las empresas deberán adecuar sus modelos de prevención de delitos para incorporar este nuevo ámbito (suponiendo que ya lo cuentan con un Modelo), en un plazo prudencial que ha fijado la ley, esto es, seis meses. Sin embargo el 20 de diciembre está “a la vuelta de la esquina” y no es una época tranquila para las empresas como para trabajar sobre esta materia con tan poca anticipación.

Otros desafíos vendrán, en el corto plazo (esperemos), como la dictación de un reglamento para  la preservación provisoria de datos informáticos por instrucciones del Ministerio Público, la esperada nueva regulación de Datos Personales en Chile, y cómo esta nueva ley de delitos informáticos se complementa con las normas (no modificadas) del Código Penal sobre interceptación de comunicaciones privadas, que debiesen entenderse desde ahora solo referidas a aquellas comunicaciones que se realizan fuera de un sistema informático.

Por ahora, ya hay nuevos delitos, y mayores mecanismos de protección para las personas, pero nuevas exigencias para las empresas y para los organismos encargados de la persecución penal. (Santiago, 23 junio 2022)