Violación de Datos Personales, Costa Rica , Abogado, Derecho Informático , Adalid Medrano .

El delito de violación de datos personales y el caso UPAD.

Los ataques informáticos más frecuentes, a nivel mundial, están vinculados de forma directa o indirecta con el «robo» de datos personales, lo que expone al ciudadano a ser víctima de actos discriminatorios o delitos de toda clase.

Por lo anterior, es importante avanzar en el fortalecimiento de regulación que proteja el derecho de autodeterminación informativa de las personas.

¿Qué es el derecho de autodeterminación informativa?

Es un derecho de control, derivado del derecho a la privacidad, que tiene toda persona sobre el flujo de informaciones que conciernen a su persona, de acuerdo a las garantías y excepciones que contiene el ordenamiento jurídico, con el fin de evitar que se propicien acciones discriminatorias.

En Costa Rica, los ciudadanos tenemos dos vías para podernos proteger cuando se comparten nuestros datos personales de forma ilegal:

1- Agencia de Protección de los Datos de los Habitantes (PRODHAB): en sede administrativa se puede denunciar cualquier violación de datos personales, por tratamiento ilegal de los datos del titular, sin consentimiento expreso o autorización expresa de la ley, de acuerdo a lo establecido en la ley № 8968. La PRODHAB, puede imponer multas de acuerdo a lo establecido en la ley para las faltas leves, graves o gravísimas.

2- Ministerio Público / Organismo de investigación Judicial: en sede penal se puede denunciar la violación de datos personales contenida en el artículo 196 bis del Código Penal, donde la acción violatoria del dato se diferencia de la violación administrativa, debido a que se realiza en beneficio propio o de un tercero.

El Delito Informático de Violación de Datos Personales.

"Artículo 196 bis.- 

Violación de datos personales. Será sancionado con pena de prisión de uno a tres años quien en beneficio propio o de un tercero, con peligro o daño para la intimidad o privacidad y sin la autorización del titular de los datos, se apodere, modifique, interfiera, acceda, copie, transmita, publique, difunda, recopile, inutilice, intercepte, retenga, venda, compre, desvíe para un fin distinto para el que fueron recolectados o dé un tratamiento no autorizado a las imágenes o datos de una persona física o jurídica almacenados en sistemas o redes informáticas o telemáticas, o en contenedores electrónicos, ópticos o magnéticos..."

En la reformas al código penal №9048 y № 9135 se incorporó una protección penal al bien jurídico de autodeterminación informativa, con el fin de proteger al ciudadano del comercio ilegal de sus datos personales.

El beneficio propio o de un tercero.

La violación de datos debe realizarse, sin la autorización del titular, con peligro o daño a la intimidad o privacidad de un tercero, y el beneficio debe ser ilícito, económico o de otra índole, siempre que pueda debidamente ser demostrado en el proceso penal, a través de los medios de prueba permitidos en nuestro ordenamiento jurídico.

No todo tratamiento ilegal de datos personales que no cuenta con la autorización del titular puede perseguirse penalmente, ya que es esencial la existencia de un beneficio para el actor o un tercero, para que la acción encuadre en el tipo penal, ya que si carece de este elemento nos encontramos ante una posible infracción de la ley № 8968, la que puede ser investigada de oficio por la Agencia de Protección de los Datos de los Habitantes (PRODHAB). Esto es así por disposición del legislador, ya que la acción penal debe ser la última ratio y el espíritu de la ley es luchar contra el tráfico ilegal de datos personales, más no combatir por la vía penal todo tratamiento ilegal de datos personales.

El sujeto pasivo.

A diferencia de la ley № 8968, en el tipo penal, no solo se protegen los datos de las personas físicas, sino que también el de las personas jurídicas, por los que los datos de estas tampoco podrán ser tratados ilegalmente si esto le puede generar un daño a su intimidad o privacidad.

A nivel de ejemplo, si una persona vende los estados de cuenta de una persona jurídica nos encontraríamos ante el delito de violación de datos personales.

Los datos personales y la estafa informática

La violación de datos personales suele encontrarse en el camino hacia la comisión del delito de estafa informática, ya que los delincuentes utilizan la información personal para engañar al titular de los datos y darle peso a la ejecución del delito de suplantación de identidad, como en los casos del falso funcionario bancario.

Muchas personas reportan que los delincuentes tienen mucha información sobre ellos, lo que únicamente se pudiera dar si tuvieran posesión de los datos obtenidos de forma ilegal.

CASO UPAD

En este caso que ha sido tan reportado en los últimos días en los medios de comunicación, debe analizarse de forma exhaustiva si existe prueba o indicios que permitan determinar si algún funcionario pudo obtener un beneficio ilícito para sí o para un tercero con los datos personales obtenidospor motivo de su cargo.

En el caso de que un funcionario pueda haber extraído los datos personales, para ser utilizados en cualquier análisis de datos ajenos a la función en UPAD, que pueda haberle generado un beneficio económico o electoral para sí o para un tercero, podríamos encontrarnos ante la comisión del artículo contenido en el numeral 196 bis del Código Penal.

El caso con Proyecto de ley 21187

De acuerdo con la reforma al 196 bis propuesta, en un párrafo adicional, se podría sancionar penalmente, cuando una persona aún sin beneficio para sí o para un tercero copia la base de datos:

«Será sancionado con pena de prisión de tres a cinco años a quien copie o se apodere de una base de datos electrónica de datos personales, sin la autorización de los titulares de los datos personales contenidos en ésta odel responsable de la base de datos»

La principal diferencia es que permite proteger las bases de datos electrónicas de datos personales y no solo el dato personal de forma individual, en los casos donde no existe un beneficio.

La semana pasada la Fiscalía General realizó un allanamiento sin precedentes en Casa Presidencial, por la investigación de varios delitos, entre ellos el de Violación de Datos Personales.

https://www.youtube.com/watch?v=0qqy9qR7cRc

Sobre el autor

José Adalid Medrano M.

Abogado especialista en delitos informáticos y ciberseguridad, con más de una década de estudio del fenómeno de la ciberdelincuencia, co-redactor de las recientes reformas al Código Penal costarricense sobre delitos informáticos ( Leyes № 9048 y № 9035)

Leer biografía completa.

Cómo se lucha contra el fraude por mensaje de texto con la legislación costarricense.

Hoy vamos a hablar sobre los fraudes por mensaje de texto y cómo se pueden perseguir penalmente.

¿Qué es el ‘Smishing’? (SMS+Phishing)

Es una acción de ingeniería social que se da por medio de mensaje de texto y busca, a través del engaño, obtener información confidencial que le permita al delincuente atacar un sistema informático.

Es muy utilizado por los delincuentes para engañar a clientes del Sistema Financiero Nacional para obtener datos confidenciales aptos para realizar transferencias bancarias ilegales.

¿Es delito en nuestro país?

En nuestro país la ingeniería social no es un delito por sí mismo, pero sí puede encuadrar en diferentes conductas. Veámoslo con un ejemplo.

Ayer la Fiscalía de la República envió una alerta sobre un ataque de «Smishing» con el siguiente texto:

«SISTEMA BANCARIO NACIONAL: informa de bloqueo de cuentas bancarias, en las próximas horas, URGE se comunique al…»

Como puede verse, es el típico mensaje de fraude, donde a través de un exagerado llamado de urgencia, se busca convencer al usuario que si no toma una acción en concreto algo terrible pasará. En este caso, la consecuencia terrible es el cierre de sus cuentas bancarias.

Los delincuentes utilizaron la red de telecomunicaciones para enviar el mensaje de texto de forma masiva y alguna operadora debe tener información relevante para el caso. Nos podríamos preguntar si es posible, en una etapa tan temprana, donde todavía no hay estafas informáticas denunciadas, investigar a las personas que enviaron el mensaje.

Tenemos que tomar en cuenta que las reformas al Código Penal № 9048 y №9135 dejaron al país con suficientes herramientas para perseguir los distintos tipos de delitos informáticos.

En este caso, podríamos analizar dos caminos:

1. Envío masivo de comunicaciones (SPAM): en nuestro país es delito ofrecer, contratar o brindar servicios de envío masivo de comunicaciones no solicitadas (artículo 232 del Código Penal). Lo que quiere decir que en un caso como este, alguien debe haber brindado el servicio a través de una plataforma de mensajería de texto y como puede esperarse no cuenta con el consentimiento de los receptores de estas comunicaciones.

2. Violación de datos personales: Si los delincuentes han comprado una base de datos para enviar posteriormente mensajes de texto, nos encontraríamos ante un delito de violación de datos personales (Artículo 196 bis del Código Penal). Lo anterior, porque la venta de datos personales, sin el consentimiento de los titulares es delito.

Es importante destacar que no nos encontramos ante un caso de suplantación de identidad, ya que simplemente se identifican como «Sistema Bancario Nacional», que como tal no es una persona jurídica, ni marca comercial. Sin embargo, al cliente llamar al número de teléfono sí podrían estarse haciendo pasar por una entidad bancaria en específica.

Proyecto de ley de Lucha contra la Ciberdelincuencia

En casos como este, la empresa de telecomunicaciones tiene mucha información que es de utilidad para la investigación, sin embargo, los tiempos de respuesta en nuestro país son largos y para combatir a la ciberdelincuencia se requiere una respuesta más expedita.

En el proyecto de ley 21187, se propone, entre otras cosas, reducir el tiempo de respuesta de las operadoras, para entregar información en su poder en una investigación penal, de meses como se está dando en algunos casos a 24/48 horas.

También se busca incorporar la ingeniería social como delito, con el fin de darle más herramientas a las autoridades para poder luchar contra este flagelo, a pesar de que no exista un servicio de envío de comunicaciones masivas de por medio, suplantación de identidad o violación de datos personales.

De momento, solo queda esperar que nuestros legisladores le den la importancia que tiene la lucha contra la ciberdelincuencia y el proyecto de ley vea la luz.

Artículo recomendado.

¿Cómo evitar ser víctima de una Estafa Informática?

Sobre el autor

Leer biografía completa.

Asesoría legal

Si requiere asesoría sobre derecho informático puede contactarse a través de los siguientes medios:

(Tel): +506 88130930

Toda consulta tiene un costo.

Enviar correo electrónico

Enviar mensaje de Whatsapp

Sobre la violación de datos personales contenidos en las planillas de sistemas de la CCSS

Los datos personales son cualquier dato relativo a una persona física identificada o identificable <fn>Artículo 3, ley Nº8968 de protección de la persona frente al tratamiento de sus datos personales</fn> y cada vez tienen mayor demanda en el mercado negro, lo que es estimulado debido a las bajas medidas de seguridad que resguardan muchos sistemas informáticos.

Por lo anterior, y ante la agresiva violación de datos personales a nivel global, es que en nuestro país en el año 2011 se promulgó la ley de protección de datos personales<fn>Ley de protección de la persona frente al tratamiento de sus datos personales, Nº 8968 </fn>, y en el 2012, en la reforma al código penal Nº 9048<fn> Y la reforma posterior Nº9135, sobre delitos informáticos</fn> se incluye en el numeral 196 bis, el tipo penal «Violación de datos personales» con el cual por primera vez se protegen los datos personales en nuestro código penal

Violación de datos personales en la CCSS

El día de hoy la CCSS denuncia que dos empleados de una entidad bancaria vulneraron las medidas de seguridad informática que protegían los datos personales de cientos de miles de costarricenses mediante el uso de bots informáticos que tenían la tarea de realizar la violación de datos personales.

«Aunque los hechos se empezaron a detectar en marzo, la Caja Costarricense de Seguro Social (CCSS) presentó la denuncia ante el Ministerio Público, el 14 de agosto y ante la Agencia de Protección de Datos, el 21 de agosto. Esta información trascendió la noche de este lunes, mediante un comunicado de prensa de la Caja, que no amplió en detalles.Aparentemente, los involucrados en este delito utilizaron un robot software para violentar las barreras de seguridad informática, agrega el boletín.» vía ‘Hackers’ violan datos de planillas en sistema de CCSS.

Los empleados de la entidad bancaria se exponen a penas de prisión de 1 a tres años, por el delito de violación de datos personales, debido a que en beneficio de un tercero, con daño para la intimidad y sin la autorización del titular de los datos, recopilaron datos personales de ciudadanos costarricenses, almacenados en un sistema informático.<fn>Artículo 196 bis.Será sancionado con pena de prisión de uno a tres años quien en beneficio propio o de un tercero, con peligro o daño para la intimidad o privacidad y sin la autorización del titular de los datos, se apodere, modifique, interfiera, acceda, copie, transmita, publique, difunda, recopile, inutilice, intercepte, retenga, venda, compre, desvíe para un fin distinto para el que fueron recolectados o dé un tratamiento no autorizado a las imágenes o datos de una persona física o jurídica almacenados en sistemas o redes informáticas o telemáticas, o en contenedores electrónicos, ópticos o magnéticos……..</fn>.

Por otro lado, la entidad bancaria por la violación de datos personales administrativa, al recolectar dichos datos sin el consentimiento informado y expreso del titular de los datos, lo que constituye una falta grave -de acuerdo a la ley de protección de datos personales- se expone a una una multa de cinco a veinte salarios base del cargo de auxiliar judicial I,<fn>Artículo 28, inciso b, de Ley de protección de la persona frente al tratamiento de sus datos personales, Nº 8968</fn>.

Llamada de atención.

Esta vulneración de las medidas de seguridad informática de la CCSS es una llamada de atención a todas las instituciones estatales del país que deben resguardar los datos personales de los costarricenses, porque es claro que existen delincuentes y hasta empresas interesadas en nuestros datos personales.

–

Con el fin de hacer conciencia sobre este tema, desde la Comisión de Derecho Informático estamos realizando un evento sobre delitos informáticos el día de mañana, Conferencias: “Los Delitos Informáticos y el Convenio de Europa sobre Ciberdelincuencia: Un enfoque técnico y jurídico”. Cordialmente invitados.

–