• Diario Constitucional
  • Diario Constitucional
  • Diario Constitucional
  • Diario Constitucional
  • Diario Constitucional

Diario Constitucional Diario Constitucional

Diario Constitucional Diario Constitucional Diario Constitucional Diario Constitucional Diario Constitucional Diario Constitucional Diario Constitucional Diario Constitucional Diario Constitucional Diario Constitucional
Viernes 19 de Abril de 2024

Entrevista

Sobre la Ley N°21.459 sobre Delitos informáticos que deroga la Ley N°19.223.

Renzo Gandolfi Díaz, abogado, especialista en derecho de la empresa, regulación, ciberseguridad y tecnologías: “Con la entrada en vigor de la Ley 21.459, hemos dado un salto de calidad muy necesario en nuestra legislación, que nos coloca en un pie de cumplimiento con el Convenio de Budapest».

Gandolfi afirma que: “El impacto en las empresas será importante, pues no solo deberán ampliar el catálogo de los manuales de prevención de delitos al tener que incluir las nuevas figuras delictivas informáticas que introduce esta ley».

30 de diciembre de 2022

Por Estefani Radonich, U. Central

EL 20 de junio del presente año, se promulgo la Ley N° 21.459 sobre Delitos informáticos que deroga la Ley N° 19.223 y, que entró en vigencia este 20 de diciembre de 2022.

Esta ley adecúa los delitos informáticos conforme a las exigencias y presupuestos del Convenio de Budapest, Convenio del cual Chile es parte a partir del 2017.  La Ley 21.459 tipifica los siguientes delitos; ataque a la integridad de un sistema informático, acceso ilícito, interceptación ilícita, ataque a la integridad de los datos informáticos, falsificación informática, receptación de datos informáticos, fraude informático y el abuso de dispositivos, contempla, además, reglas especiales en materia de procedimiento penal.

Sobre el tema se entrevistó a Renzo Gandolfi Díaz, abogado,Magister en Derecho de la Empresa UDD, Máster en Ciberseguridad UCAM, Doctor en Derecho ESAE – SAEJEE, Director de Educación Continua y Coordinador Área Derecho de la Empresa y Regulación Económica. Doctorante del Doctorado en Derecho y Tecnologías de la Universidad de Mendoza

1.- ¿Qué es el Convenio de Budapest?

El Convenio de Budapest es un tratado internacional sobre Ciberdelincuencia, que busca la armonización de las legislaciones nacionales, con el fin de efectuar una adecuada y eficiente investigación y persecución criminal de los delitos informáticos, y una cooperación internacional reforzada, rápida y eficaz entre agencias gubernamentales o de ley.

Comenzó con la apertura de firmas de países miembros en noviembre del 2011 y entró en vigor el 1 de julio del año 2004. En el caso particular de Chile el 20 de abril de 2017, se depositó ante el Secretario General del Consejo de Europa el Instrumento de Adhesión de la República de Chile al referido convenio, el cual planteó reservas y finalmente se promulga a través del Decreto N° 83 del Ministerio de Relaciones Exteriores, con fecha 27 de abril de 2017, entrando en vigencia el 28 de agosto del mismo año, el Convenio sobre Ciberdelincuencia del Consejo de Europa o “Convenio de Budapest».

2.- ¿Qué viene a incorporar esta ley a nuestro sistema normativo?

La ley 21.459[1], tiene su origen en dos pilares fundamentales, que incorporan los siguientes aspectos, primero actualizar una ley que data de 1993, que en la práctica la hacía anacrónica, pues poseía figuras típicas penales propias a la época de su promulgación, siendo su foco el tratamiento de la información y, en segundo lugar, dar cumplimiento cabal al “Convenio de Budapest”.

Con ello, esta ley en comento viene a cumplir con tres cosas, primero tipificar delitos informáticos, en particular los que afecten la información, acceso ilícito, interceptación ilícita, daño informático, falsificación, fraude informático y abuso de dispositivos; segundo, crea un mecanismo de cooperación eficaz para la persecución de los delitos aquí tipificados, y en tercer lugar, modificación de la responsabilidad penal de las personas jurídicas en los delitos de lavado de activo, financiamiento del terrorismo y cohecho, incluyéndolo al catálogo de delitos que contempla la ley 20.393, a los delitos informáticos.

3.- ¿Cuál es el bien jurídico que protege esta ley?

Respecto al bien jurídico protegido, sin entrar en el desarrollo de las teorías doctrinales al respecto, podemos señalar que establece la posición que los define como “delitos pluriofensivos”, no obstante, a ello, también existe consenso en identificar un bien jurídico de tipo general, radicado fundamentalmente en el “orden público económico”, dentro del cual se encuentra la fiabilidad al sistema financiero y seguridad del tráfico económico.

Esto es coincidente con parte de la doctrina que estima, también, que la correcta operación de los sistemas informáticos y la fe colectiva que rodea a su correcto funcionamiento es un bien jurídico digno de protección penal en nuestra sociedad[2].  A esto sumar que el delito informático como delito socioeconómico, ya entendiendo el concepto de sistema informático no como un medio sino como un valor (activo) de la empresa y a su actividad propiamente tal.

4.- ¿Puede indicarnos las diferencias entre la Ley N° 21.459 con la Ley N° 19.223?

La principal diferencia radica que esta nueva ley tiene por misión fundamental actualizar y adecuar la legislación nacional en materia de delitos informáticos y ciberseguridad, a la normativa, estándares y exigencias del Convenio de Budapest sobre Ciberdelincuencia, atendido la rápida evolución de las tecnologías de la información y la comunicación, con el fin de establecer y consolidar una eficaz y eficiente persecución criminal de los delitos informáticos una vez ocurridos, basados además en artículos 222 a 226 del Código Procesal Penal[3].

5.- ¿Cuáles son los delitos informáticos que establece esta nueva ley y cuál son las sanciones correspondientes a cada delito?

La Ley 21.459 tipifica a grosso modo los siguientes delitos, ataque a la integridad de un sistema informático, acceso ilícito, interceptación ilícita, ataque a la integridad de los datos informáticos, falsificación informática, receptación de datos informáticos, fraude informático y el abuso de dispositivos, contemplando, además, reglas especiales en materia de procedimiento penal.

Asimismo, es preciso hacer hincapié, que la ley pudo haber ido un poco más allá en el concepto de contemplar y actualizar nuevas figuras, limitándose a utilizar el marco conceptual consagrado en el Convenio de Budapest.

Respecto de las sanciones se establece un sistema de penas privativas de libertad y también pecuniarias, como también atenuantes y agravantes de responsabilidad para el caso de cooperación eficaz y atendido a la calidad del autor correspondientemente.

6.- En relación a la discusión en Sala, fecha 13 de marzo, 2019, el senador Harboe, cita el estudio de World Economic Forum, entre 2008- 2018, en relación a la comisión de ciberataques que se han multiplicado por 125, y de acuerdo a su cita de la OCDE en un estudio del 2017, indica la cifra de 60 millones de incidentes reportados en materia de ciberseguridad. La organización proyecta que el costo para el cibercrimen en el resto del mundo es de 105 mil millones de dólares, mientras que en América Latina invirtió solo 4 mil millones de dólares. El senador Harboe menciona que esta situación nos deja en un grado de vulnerabilidad tecnológica muy “muy” compleja. ¿Considera menester implementar políticas públicas en esta materia, además de la implementación de la Ley 21.459?:

Sin lugar a duda, con la entrada en vigor de la Ley 21.459, hemos dado salto de calidad muy necesario en nuestra legislación, que, como se ha dicho, nos coloca en un pie de cumplimiento para con el Convenio de Budapest. Creemos que esta ley debe ir en su desarrollo y adecuación de la mano con la próxima Ley de Protección de Datos Personales, con lo cual enfrentamos la gran posibilidad de implementar políticas públicas basadas en los lineamientos de política en materia de ciberseguridad, para alcanzar el objetivo de contar con un ciberespacio libre, abierto, seguro y resiliente hacia fines de este año.

Una legislación actualizada a este respecto nos permitirá distinguir nuevos bienes jurídicos, proteger, ya que, claramente, sabemos que en la comisión de los ciberdelitos no solo se afecta al medio informático, sino también a la información contenida en dicho sistema, y, eso, en consecuencia, afecta derechos personales, no tan solo económicos y patrimoniales.

7.- ¿Cual será el impacto en las empresas con la entrada en vigor de esta ley?

Básicamente el impacto en las empresas será importante, pues no solo deberán ampliar el catálogo de los manuales de prevención de delitos al tener que incluir las nuevas figuras delictivas informáticas que introduce esta ley, respecto de la responsabilidad de las personas jurídicas, sino que también tendrán que adoptar medidas preventivas del punto de vista de la seguridad informática para dotar a sus empresas de un adecuado protocolo de respuesta ante incidentes informáticos.

 

[1] Artículo 1°.- Ataque a la integridad de un sistema informático. El que obstaculice o impida el normal funcionamiento, total o parcial, de un sistema informático, a través de la introducción, transmisión, daño, deterioro, alteración o supresión de los datos informáticos, será castigado con la pena de presidio menor en sus grados medio a máximo.

Artículo 2°.- Acceso ilícito. El que, sin autorización o excediendo la autorización que posea y superando barreras técnicas o medidas tecnológicas de seguridad, acceda a un sistema informático será castigado con la pena de presidio menor en su grado mínimo o multa de once a veinte unidades tributarias mensuales.

Si el acceso fuere realizado con el ánimo de apoderarse o usar la información contenida en el sistema informático, se aplicará la pena de presidio menor en sus grados mínimo a medio. Igual pena se aplicará a quien divulgue la información a la cual se accedió de manera ilícita, si no fuese obtenida por éste.

En caso de ser una misma persona la que hubiere obtenido y divulgado la información, se aplicará la pena de presidio menor en sus grados medio a máximo.

Artículo 3°.- Interceptación ilícita. El que indebidamente intercepte, interrumpa o interfiera, por medios técnicos, la transmisión no pública de información en un sistema informático o entre dos o más de aquellos, será castigado con la pena de presidio menor en su grado medio.

El que, sin contar con la debida autorización, capte, por medios técnicos, datos contenidos en sistemas informáticos a través de las emisiones electromagnéticas provenientes de éstos, será castigado con la pena de presidio menor en sus grados medio a máximo.

Artículo 4°.- Ataque a la integridad de los datos informáticos. El que indebidamente altere, dañe o suprima datos informáticos, será castigado con presidio menor en su grado medio, siempre que con ello se cause un daño grave al titular de estos mismos.

Artículo 5°.- Falsificación informática. El que indebidamente introduzca, altere, dañe o suprima datos informáticos con la intención de que sean tomados como auténticos o utilizados para generar documentos auténticos, será sancionado con la pena de presidio menor en sus grados medio a máximo.

Cuando la conducta descrita en el inciso anterior sea cometida por empleado público, abusando de su oficio, será castigado con la pena de presidio menor en su grado máximo a presidio mayor en su grado mínimo.

Artículo 6°.- Receptación de datos informáticos. El que conociendo su origen o no pudiendo menos que conocerlo comercialice, transfiera o almacene con el mismo objeto u otro fin ilícito, a cualquier título, datos informáticos, provenientes de la realización de las conductas descritas en los artículos 2°, 3° y 5°, sufrirá la pena asignada a los respectivos delitos, rebajada en un grado.

Artículo 7°.- Fraude informático. El que, causando perjuicio a otro, con la finalidad de obtener un beneficio económico para sí o para un tercero, manipule un sistema informático, mediante la introducción, alteración, daño o supresión de datos informáticos o a través de cualquier interferencia en el funcionamiento de un sistema informático, será penado:

1) Con presidio menor en sus grados medio a máximo y multa de once a quince unidades tributarias mensuales, si el valor del perjuicio excediera de cuarenta unidades tributarias mensuales.

2) Con presidio menor en su grado medio y multa de seis a diez unidades tributarias mensuales, si el valor del perjuicio excediere de cuatro unidades tributarias mensuales y no pasare de cuarenta unidades tributarias mensuales.

3) Con presidio menor en su grado mínimo y multa de cinco a diez unidades tributarias mensuales, si el valor del perjuicio no excediere de cuatro unidades tributarias mensuales.

Si el valor del perjuicio excediere de cuatrocientas unidades tributarias mensuales, se aplicará la pena de presidio menor en su grado máximo y multa de veintiuna a treinta unidades tributarias mensuales.

Para los efectos de este artículo se considerará también autor al que, conociendo o no pudiendo menos que conocer la ilicitud de la conducta descrita en el inciso primero, facilita los medios con que se comete el delito.

Artículo 8º.- Abuso de los dispositivos. El que para la perpetración de los delitos previstos en los artículos 1° a 4° de esta ley o de las conductas señaladas en el artículo 7° de la ley N° 20.009, entregare u obtuviere para su utilización, importare, difundiera o realizare otra forma de puesta a disposición uno o más dispositivos, programas computacionales, contraseñas, códigos de seguridad o de acceso u otros datos similares, creados o adaptados principalmente para la perpetración de dichos delitos, será sancionado con la pena de presidio menor en su grado mínimo y multa de cinco a diez unidades tributarias mensuales.

Artículo 9°.- Circunstancia atenuante especial. Será circunstancia atenuante especial de responsabilidad penal, y permitirá rebajar la pena hasta en un grado, la cooperación eficaz que conduzca al esclarecimiento de hechos investigados que sean constitutivos de alguno de los delitos previstos en esta ley o permita la identificación de sus responsables; o sirva para prevenir o impedir la perpetración o consumación de otros delitos de igual o mayor gravedad contemplados en esta ley.

Se entiende por cooperación eficaz el suministro de datos o informaciones precisas, verídicas y comprobables, que contribuyan necesariamente a los fines señalados en el inciso anterior.

El Ministerio Público deberá expresar, en la formalización de la investigación o en su escrito de acusación, si la cooperación prestada por el imputado ha sido eficaz a los fines señalados en el inciso primero.

La reducción de pena se determinará con posterioridad a la individualización de la sanción penal según las circunstancias atenuantes o agravantes comunes que concurran; o de su compensación, de acuerdo con las reglas generales.

Artículo 10.- Circunstancias agravantes. Constituyen circunstancias agravantes de los delitos de que trata esta ley:

1) Cometer el delito abusando de una posición de confianza en la administración del sistema informático o custodio de los datos informáticos contenidos en él, en razón del ejercicio de un cargo o función.

2) Cometer el delito abusando de la vulnerabilidad, confianza o desconocimiento de niños, niñas, adolescentes o adultos mayores.

Asimismo, si como resultado de la comisión de las conductas contempladas en este Título, se afectase o interrumpiese la provisión o prestación de servicios de utilidad pública, tales como electricidad, gas, agua, transporte, telecomunicaciones o financieros, o el normal desenvolvimiento de los procesos electorales regulados en la ley Nº 18.700, orgánica constitucional sobre votaciones populares y escrutinios, la pena correspondiente se aumentará en un grado.

[2] Reyna Alfaro, Luis Miguel, Los Delitos Informáticos: Aspectos criminológicos, dogmáticos y de política criminal, Jurista Ed., 2002, pp.238-239

[3] Código Procesal Penal, Artículo 222.- Interceptación de comunicaciones telefónicas. Cuando existieren fundadas sospechas, basadas en hechos determinados, de que una persona hubiere cometido o participado en la preparación o comisión, o que ella preparare actualmente la comisión o participación en un hecho punible que mereciere pena de crimen, y la investigación lo hiciere imprescindible, el juez de garantía, a petición del ministerio público, podrá ordenar la interceptación y grabación de sus comunicaciones telefónicas o de otras formas de telecomunicación.

La orden a que se refiere el inciso precedente sólo podrá afectar al imputado o a personas respecto de las cuales existieren sospechas fundadas, basadas en hechos determinados, de que ellas sirven de intermediarias de dichas comunicaciones y, asimismo, de aquellas que facilitaren sus medios de comunicación al imputado o sus intermediarios.

No se podrán interceptar las comunicaciones entre el imputado y su abogado, a menos que el juez de garantía lo ordenare, por estimar fundadamente, sobre la base de antecedentes de los que dejará constancia en la respectiva resolución, que el abogado pudiere tener responsabilidad penal en los hechos investigados.

La orden que dispusiere la interceptación y grabación deberá indicar circunstanciadamente el nombre y dirección del afectado por la medida y señalar la forma de la interceptación y la duración de la misma, que no podrá exceder de sesenta días. El juez podrá prorrogar este plazo por períodos de hasta igual duración, para lo cual deberá examinar cada vez la concurrencia de los requisitos previstos en los incisos precedentes.

Las empresas telefónicas y de comunicaciones deberán dar cumplimiento a esta medida, proporcionando a los funcionarios encargados de la diligencia las facilidades necesarias para que se lleve a cabo con la oportunidad con que se requiera. Con este objetivo los proveedores de tales servicios deberán mantener, en carácter reservado, a disposición del Ministerio Público, un listado actualizado de sus rangos autorizados de direcciones IP y un registro, no inferior a un año, de los números IP de las conexiones que realicen sus abonados. La negativa o entorpecimiento a la práctica de la medida de interceptación y grabación será constitutiva del delito de desacato. Asimismo, los encargados de realizar la diligencia y los empleados de las empresas mencionadas en este inciso deberán guardar secreto acerca de la misma, salvo que se les citare como testigos al procedimiento.

Si las sospechas tenidas en consideración para ordenar la medida se disiparen o hubiere transcurrido el plazo de duración fijado para la misma, ella deberá ser interrumpida inmediatamente.

Artículo 223.- Registro de la interceptación. La interceptación telefónica de que trata el artículo precedente será registrada mediante su grabación magnetofónica u otros medios técnicos análogos que aseguraren la fidelidad del registro. La grabación será entregada directamente al ministerio público, quien la conservará bajo sello y cuidará que la misma no sea conocida por terceras personas.

Cuando lo estimare conveniente, el ministerio público podrá disponer la transcripción escrita de la grabación, por un funcionario que actuará, en tal caso, como ministro de fe acerca de la fidelidad de aquélla. Sin perjuicio de ello, el ministerio público deberá conservar los originales de la grabación, en la forma prevista en el inciso precedente.

La incorporación al juicio oral de los resultados obtenidos de la medida de interceptación se realizará de la manera que determinare el tribunal, en la oportunidad procesal respectiva. En todo caso, podrán ser citados como testigos los encargados de practicar la diligencia.

Aquellas comunicaciones que fueren irrelevantes para el procedimiento serán entregadas, en su oportunidad, a las personas afectadas con la medida, y se destruirá toda transcripción o copia de ellas por el ministerio público.

Lo prescrito en el inciso precedente no regirá respecto de aquellas grabaciones que contuvieren informaciones relevantes para otros procedimientos seguidos por hechos que pudieren constituir un delito que merezca pena de crimen, de las cuales se podrá hacer uso conforme a las normas precedentes.

Artículo 224.- Notificación al afectado por la interceptación. La medida de interceptación será notificada al afectado por la misma con posterioridad a su realización, en cuanto el objeto de la investigación lo permitiere, y en la medida que ello no pusiere en peligro la vida o la integridad corporal de terceras personas. En lo demás regirá lo previsto en el artículo 182.

Artículo 225.- Prohibición de utilización. Los resultados de la medida de interceptación telefónica o de otras formas de telecomunicaciones no podrán ser utilizados como medios de prueba en el procedimiento, cuando ella hubiere tenido lugar fuera de los supuestos previstos por la ley o cuando no se hubieren cumplido los requisitos previstos en el artículo 222 para la procedencia de la misma.

Artículo 226.- Otros medios técnicos de investigación. Cuando el procedimiento tuviere por objeto la investigación de un hecho punible que mereciere pena de crimen, el juez de garantía podrá ordenar, a petición del ministerio público, la fotografía, filmación u otros medios de reproducción de imágenes conducentes al esclarecimiento de los hechos. Asimismo, podrá disponer la grabación de comunicaciones entre personas presentes. Regirán correspondientemente las normas contenidas en los artículos 222 al 225.

Artículo 226 bis. – Técnicas especiales de investigación. Cuando la investigación de los delitos contemplados en el artículo 190 de la ley Nº18.290 y en los artículos 442, 443, 443 bis, 447 bis, 448 bis y 456 bis A del Código Penal, lo hicieren imprescindible y existieren fundadas sospechas, basadas en hechos determinados, de la participación en una asociación ilícita, o en una agrupación u organización conformada por dos o más personas, destinada a cometer los hechos punibles previstos en estas normas, aun cuando ésta o aquella no configure una asociación ilícita, el Ministerio Público podrá aplicar las técnicas previstas y reguladas en los artículos 222 a 226, conforme lo disponen dichas normas.

Además, cumpliéndose las mismas condiciones establecidas en el inciso anterior y tratándose de los crímenes contemplados en los artículos 433, 434, inciso primero del 436 y 440 del Código Penal y de los delitos a que hace referencia el inciso precedente, el Ministerio Público podrá utilizar las técnicas especiales de investigación consistentes en entregas vigiladas y controladas, el uso de agentes encubiertos e informantes en la forma regulada por los artículos 23 y 25 de la ley Nº20.000, siempre que fuere necesario para lograr el esclarecimiento de los hechos, establecer la identidad y la participación de personas determinadas en éstos, conocer sus planes, prevenirlos o comprobarlos.

Para la utilización de las técnicas referidas en este artículo, el Ministerio Público deberá siempre requerir la autorización del juez de garantía

Agregue su comentario

Agregue su Comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *