Hoy se presentó en la Asamblea Legislativa.

Presentación proyecto de ley N.º 21187

Este proyecto de ley nace debido a la necesidad de fortalecer nuestro ordenamiento jurídico en la lucha contra la ciberdelincuencia y con el fin de cumplir con los compromisos adquiridos por nuestro país a raíz de la ratificación del Convenio Europeo sobre Ciberdelincuencia.

El precedente nacional sobre una reforma al código penal sobre delitos informáticos estuvo impregnado de denuncias sobre posibles mordazas contra la prensa, por lo cual es importante que este proyecto que sanciona conductas en el ciberespacio tenga como prioridad proteger la libertad de expresión, al mismo tiempo que nos protege de flagelos cibernéticos que pueden desestabilizar nuestra democracia.  

El cibercrimen cada vez afecta más usuarios, las investigaciones son complejas, nuestras autoridades no se encuentran preparadas, el ordenamiento jurídico costarricense no está preparado para investigaciones criminales digitales  transfronterizas y las víctimas en algunas ocasiones se dan cuenta del ataque cuando ya es demasiado tarde. 

De acuerdo con McAfee el cibercrimen tiene un costo anual de 600billones de dólares a nivel mundial y de acuerdo a un estudio de RiskIQ, cada minuto 1861 personas son víctimas del cibercrimen, lo que genera pérdidas de 1.3 millones de dólares cada minuto.

Sobre este proyecto de ley.

El código penal costarricense es bastante moderno en cuanto a las conductas que sanciona y le permite a las autoridades poder perseguir penalmente las actividades cibercriminales que se dan en contra de habitantes de nuestro territorio.  

El nuevo proyecto de ley no solo viene a dar solución a errores que se cometieron en las reformas 9048 y 9135, sino que también viene a incluir nuevos tipos penales, que ayudarán a reducir la impunidad en la comisión de este nuevo tipo de conductas abusivas que en el presente no pueden ser sancionadas.

Uno de los principales problemas que se tiene al analizar los tipos penales informáticos tienen que ver con su correcta interpretación, más cuando sancionan complejas conductas delictivas y se utiliza lenguaje informático que debe ser interpretado de forma correcta. Este proyecto de ley, contiene un importante apartado de definiciones que servirán tanto para una mejor comprensión sobre los tipos penales informáticos, sino que también va a permitir un mejor estudio de la academia sobre esta materia.

 Esta nueva propuesta de proyecto viene a sancionar las siguientes conductas delictivas:

Acoso cibernético: con una fuerte influencia del Código penal español, pero fortalecida con las conductas más comunes que enfrentan las víctimas de esta clase de delitos y las que se espera que se utilicen en un futuro.

Captación de actos o partes íntimas: la omnipresencia de las nuevas tecnologías de la información y comunicación le han facilitado a los delincuentes poder grabar a personas en sus momentos más íntimos, pasar inadvertidos y luego difundir dichos contenidos en internet con gran afectación para los afectados.

Difusión o tráfico de contraseñas o vulnerabilidades: las contraseñas son la puerta de ingreso a muchos sistemas informáticos, de la misma forma como una vulnerabilidad puede permitir que un delincuente acceda a un sistema informático sin mayor problema, por lo que el tráfico de estas debe ser sancionado por ley.

Ingeniería social: Con el fin de poder perseguir a los ciberdelincuentes, en la etapa de recolección de información confidencial que puede ser utilizada para cometer otros delitos informáticos y siempre que no constituya delito con una pena superior, se impondrá pena de prisión de seis meses a dos años a quien, mediante engaño, capture u obtenga datos personales o información confidencial apta para la comisión de un delito informático.

Difusión de noticias falsas: la utilización de perfiles falsos, páginas de Facebook y sitios web especializados en difundir noticias falsas con el fin de manipular el electorado es una tendencia mundial y debe sancionarse penalmente si este acto es realizado con el fin de manipular la decisión de los ciudadanos con la utilización de hechos flagrantemente falsos. En este tipo penal se ha sido muy cuidadoso, para dejar claro que no podría utilizarse para perseguir comunicadores en el ejercicio de su profesión. Ver más sobre esta propuesta. 

Ciber acoso sexual: las propuestas sexuales o envío de mensajes de contenido pornográfico de forma no solicitada, reiterada y fuera del marco de una comunicación recíproca de índole sexual o erótica a otra persona, con la quien no tenga una relación de pareja o índole sexual, tendrá una pena de será reprimido con  pena de treinta a cincuenta días multa.

Compras ilícitas mediante tarjetas: a solicitud de la Fiscalía, se incluye este tipo penal que sancionará con penas de prisión de dos a cinco años a a quien adquiera bienes o servicios, a través del  uso de una  tarjeta de crédito o de débito no expedida en su favor, o mediante el uso de otro medio de pago electrónico;  sin la autorización del titular.

Acceso ilícito: en cumplimiento de lo requerido por el ConvenioEuropeo sobre Ciberdelincuencia será sancionado con prisión de seis meses a un año de prisión a quien, evadiendo medidas de seguridad y con fines maliciosos, acceda a un sistema informático, sin la autorización del titular.

Abuso de dispositivos: en cumplimiento de lo requerido por elConvenio Europeo sobre Ciberdelincuencia, Se impondrá pena de prisión de uno a cinco años a quien distribuya, produzca, venda, compre, obtenga para su utilización o importe un dispositivo o programa informático diseñado o adaptado principalmente para la comisión de delitos informáticos.

Después de un análisis de las obligaciones que adquirió Costa Rica, con el ConvenioEuropeo sobre Ciberdelincuencia, podríamos ver que la falsificación informática no se encuentra contenida dentro del grupo de normas que se encuentran en este proyecto ley. Sin embargo, de acuerdo al principio de equivalencia funcional en los casos de falsedad ideológica, falsificación de documentos privados, falsificación de documentos públicos y auténticos, cumplen a cabalidad con lo contenido en el Convenio de Budapest.  

Herramientas procesales

La mayoría de investigaciones sobre delitos informáticos, requieren dela cooperación con la empresa privada, extranjera o nacional, lo que si no se cuenta con protocolos de actuación y alianzas con la empresa privada, las investigaciones pueden atrasarse o en el peor de los casos detenerse debido a obstáculos que pueden ser previstos.

El obstáculo más grande con el que cuenta un país como el costarricense, cuyos ciudadanos utilizan principalmente plataformas tecnológicas, cuyos servidores se encuentran principalmente en los Estados Unidos u otras naciones europeas, es que al encontrarse el responsable de la base de datos que contienen los datos que son necesarios para una investigación criminal digital, no existe forma de obligarlos a cooperar con  nuestras autoridades. Sin embargo, muchas de las grandes empresas que utilizan los costarricenses ya cuentan con plataformas u protocolos de cooperación con las autoridades nacionales en la investigación de delitos que se dan en sus plataformas.

Es por esto, que este proyecto propone la creación de la ComisiónNacional de lucha contra la Ciberdelincuencia, que vendrá a convertirse en una plataforma de diálogo con la empresa nacional y extranjera con el fin de mejorar la cooperación en la investigación criminal. Al mismo tiempo, no se vienen a imponer sanciones a las empresas extranjeras que incumplan la normativa, debido a que el espíritu de la ley es que como primera fase se puedan lograr acuerdos, que tome como base la solidez de nuestra democracia y el espíritu de colaboración que ya han demostrado empresas como Microsoft,Google, Facebook y Apple para cooperar en investigaciones criminales donde existan garantías de respeto de los derechos fundamentales.  

La Comisión Nacional de Lucha contra la Ciberdelincuencia estará encargada de:

  • Crear y mantener actualizada laEstrategia Nacional de lucha contra la ciberdelincuencia.

  • Elaborar un informe, que deberá ser publicado cada dos años, sobre la eficacia del Ordenamiento Jurídico costarricense en la lucha contra la ciberdelincuencia.
  • Elaborar una lista de proveedores relevantes de servicios electrónicos, para lo cual deberá tomar en cuenta el impacto para la sociedad costarricense de los servicios informáticos y de telecomunicaciones y, cuando se encuentre disponible, la cantidad de usuarios costarricenses que usan dichos servicios.

  • Sugerir protocolos de actuación para la investigación de delitos informáticos.

  • Sugerir protocolos de cooperación en la investigación de delitos informáticos y computacionales con los operadores de telecomunicaciones nacionales y los proveedores esenciales de servicios electrónicos.
  • Con base en estadísticas o datos judiciales, policiales o en general que sean de utilidad, provenientes de la cooperación con los proveedores de servicio en la investigación criminal, se realizará una calificación anual de los mismos, con el fin de identificar puntos de mejora.

En el artículo sexto de este proyecto de ley indica que todo proveedor de servicios electrónicos u operador de telecomunicaciones se encuentra obligado a:

  1. Conservar y proteger la integridad delos datos electrónicos o similares relacionados con una acción delictiva, antela solicitud del Ministerio Público o la Policía Judicial, de acuerdo a los artículos 286 inciso b) y 291 del Código Procesal Penal, por un lapso de cuatro años o hasta su prescripción legal.  

  2. Cumplir con la entrega de información requerida por los Tribunales de Justicia, en un plazo máximo de 24 horas, dentro  de la investigación de un delito informático donde se encuentre en peligro la vida, la salud o la integridad física de uno o varias personas.
  • Cumplir con la entrega de datos de abonado, de tráfico o de localización requeridos por los Tribunales deJusticia, en un plazo máximo de 48 horas, dentro  de la investigación de un delito informático o vinculado con pornografía infantil.
  • Cumplir con la entrega de datos de tráfico, de localización o de abonado requeridos por por los Tribunales deJusticia, en un plazo máximo 7 días hábiles, dentro  de la investigación de un delito cometido por vías informáticas.

  • Proteger la confidencialidad de los datos y de las acciones requeridas por las autoridades judiciales. La obligación  de secreto funcional se extiende a empleados o funcionarios del proveedor u operador, así como a las empresas o personas que le brinden servicios, en concordancia con la obligación de confidencialidad señalada en elCódigo Procesal Penal.

Los datos de abonado, de localización o de tráfico, en el marco de una investigación penal judicial, podrán ser entregados ante solicitud del Ministerio Público o de la Policía Judicial, si el proveedor de servicios cuenta con el consentimiento de sus clientes, indicado en los términos del contrato de servicio o política de privacidad. En caso contrario, requerirá de autorización judicial. El proveedor podrá requerir que la entrega de la información sea autorizada por un juez penal, para cumplir con su legislación local.

Lo que se  busca con esta norma procesal es, en una primera etapa, lograr que a través de la Comisión Nacional de lucha contra laCiberdelincuencia es que todos los proveedores de  servicios electrónicos costarricenses reformen sus políticas de privacidad  con el fin de que sus clientes se encuentren informados que en caso de una investigación criminal sus datos podrán ser compartidos con el Ministerio Público o Policía Judicial.  Al mismo tiempo que esto viene a permitir, que en el caso de proveedores extranjeros, en respeto a nuestra legislación interna puedan cooperar de una forma más ágil con el Ministerio Público o Policía Judicial, lo que traería mayor celeridad a los procesos de cooperación internacional cuando se trate de datos de tráfico o de abonado, más no contenido donde para poder tener acceso a los mismos, en respeto de nuestra constitución deberá será través de una orden judicial.

Transparencia público-privada.

Todo proveedor u operador costarricense de relevancia en servicios electrónicos o de telecomunicaciones deberá hacer un reporte anual de transparencia con respecto a la entrega de información de sus clientes a las autoridades judiciales y clasificada por el tipo de investigación de delitos para el cual fue solicitada.

Empresas estadunidenses han sido líderes en la creación de reportes de transparencia, dirigido a saber de qué forma se está cooperando con las autoridades y de esta forma no solo brindar estadísticas que podrán ser utilizadas para la discusión nacional sobre esta materia, sino que traerán tranquilidad a los costarricenses para saber de qué forma se está compartiendo su información dentro del marco de una investigación criminal.

Remoción de contenido.

En casos de acoso cibernético, pornografía infantil es necesario que las autoridades avancen con procesos de remoción de contenido, en respeto de la libertad de expresión y prensa.

Por lo que de acuerdo al artículo sétimo del proyecto de ley:

ARTÍCULO 7. Remoción de contenido en casos de Acoso Cibernético o Pornografía infantil.

Dentro de un máximo de 24 horas posteriores a la interposición de la denuncia por los delitos de acoso cibernético o pornografía infantil, a solicitud del Ministerio Público, un juez deberá resolver la solicitud de remoción del contenido publicado o difundido en la ejecución del delito informático, dirigida al proveedor de servicios electrónicos o al ofensor en cualquier medio que tenga bajo su control.

El juez deberá valorar que, a través de esta medida, no se pueda generar una afectación irreparable a la libertad de expresión y/o al derecho de acceso a la información.

El juez podrá conceder la remoción parcial del contenido,  como puede ser la eliminación de datos específicos de un documento o contenido, si considera que con esto se logra un balance entre la protección de los derechos de la víctima y la libertad de expresión.

Como puede verse, el juez podrá solicitarle de forma directa al ofensor o al proveedor de servicios que dicho contenido deba retirar el contenido ,siempre y cuando esto no genere una afectación irreparable a la libertad de expresión, por lo que salvo que sea una ofensa flagrante, el juez podría solicitar la remoción del contenido parcial, como podría ser una imagen de contenido sexual en alguna publicación en un sitio web.

Definitivamente el país necesita ampliar el marco regulatorio vigente y emprender una serie de reformas legales para empezar a combatir de forma más eficiente la criminalidad informática, que tan negativamente impacta en nuestra sociedad.

Descargar: LEY PARA COMBATIR LA CIBERDELINCUENCIA.




Lic. Adalid Medrano

Abogado especialista en Derecho Informático. Co-redactor de las recientes reformas al Código Penal costarricense sobre delitos informáticos (9048 y 9035)