Chile y ciberseguridad: casi al día con los estándares internacionales

La ciberseguridad se ha tomado el debate jurídico. Han sido varios los episodios de hackeo, especialmente a instituciones financieras, por lo que una actualización de la legislación sobre la materia se ha hecho imprescindible. El gobierno presentó el pasado 25 de octubre el proyecto de Ley sobre Delitos Informáticos, que derogará la ley N° 19.223 del año 1993, como parte de la Estrategia Nacional de Ciberseguridad para cuya implementación se nombró en calidad de Delegado Presidencial a Jorge Atton. El mismo día además se firmó un Instructivo Presidencial, estableciendo las obligaciones para los distintos servicios públicos del Estado para robustecer los sistemas de ciberseguridad.

Consultados sobre su opinión general acerca del proyecto de ley, el socio de Ferrada Nehme Rafael Collado —a cargo del área de Compliance—, y Víctor Andrade, asociado especialista en regulación Fintech y ciberseguridad, consideran “valorable que se promueva una modernización de la normativa penal sobre delitos informáticos, “en línea con los compromisos asumidos por el Estado de Chile con la adhesión, en 2017, al Convenio del Consejo de Europa sobre Cibercriminalidad (Convenio de Budapest).

Rodrigo Lavados, socio del estudio Cariola coincide: “Es sin duda un avance y pone a Chile al día con estándares internacionales que emanan del Convenio de Budapest sobre la Ciberdelincuencia”.

La Ley 19.223, que hoy rige este tipo de ilícitos, “se ha mantenido inalterada desde su entrada en vigencia el año 1993, por lo que su texto no se ha hecho cargo de los importantes cambios que han experimentado las tecnologías de la información en los últimos 30 años”, agregan los abogados de FerradaNehme, como por ejemplo, que los dominios .cl de internet comenzaron a comercializarse en 1997.

Además, destacan que la norma “ha recibido múltiples críticas por su técnica legislativa, pues incluso se confunde el daño a activos informáticos con la destrucción del material de equipamiento que lo soporta”. Otra particularidad es que ha tenido una “errática y casi nula aplicación, por parte de los tribunales de justicia”.

La nueva tipificación

Collado y Andrade explican también que la ley anterior reprochaba supuestos de hecho de muy poca ocurrencia al interior de las empresas y que además estaban cubiertos por otros tipos penales de mayor importancia, como los delitos de estafa, de apropiación indebida o de revelación de secretos de fábrica: “El cambio de enfoque que trae la nueva ley y los nuevos ilícitos tipificados —en especial el delito de falsificación informática—, nos permiten presumir que su uso se hará más habitual en Tribunales”, añaden.

Rodrigo Lavados hace un alcance: “En relación al delito de acceso ilícito a sistemas informáticos, el proyecto se desvía del Convenio de Budapest, al sancionar accesos indebidos que importen una vulneración, evasión o transgresión de medidas de seguridad, pero también aquellos que no afecten medidas de seguridad”.

En esta segunda hipótesis, profundiza, “lo indebido del acceso estaría dado por cuestiones distintas de prevenciones técnicas, como podrían ser declaraciones unilaterales o estipulaciones contractuales que prohíban el acceso a datos o sistemas informáticos, pese a que no existan medidas de seguridad implementadas”. En este orden de ideas, recomienda “llegar a un lenguaje que exija que el delito de acceso indebido se cometa infringiendo medidas de seguridad, como lo permite el artículo 2 del Convenio de Budapest”.

La mirada de los especialistas de FerradaNehme sobre el nuevo catálogo de delitos es en generalpositiva: “Nos parece de razonable extensión, tanto para considerar aspectos ligados al desarrollo, uso y gestión de activos informáticos, como para recoger la mayor preocupación que existe por el uso de medios informáticos para la comisión de delitos contra la propiedad”.

¿A qué se refieren con activos? A la seguridad, confidencialidad e integridad de los sistemas y su contenido, como también a su autenticidad, cuando se trata de registros públicos y certificaciones.

Al igual que Lavados, llaman la atención sobre algunos puntos, como la fórmula empleada para incorporar al ordenamiento penal el delito de uso abusivo de dispositivos, pues la norma consideraría únicamente los elementos informáticos conocidos para la perpetración de algunos delitos de la propia ley y los de la Ley 20.009 relativo al uso malicioso, clonación y falsificación de tarjetas de débito y crédito.

La interpretación judicial

Otro de los aspectos que para su evaluación deberán esperar la entrada en vigencia de la ley, es su implementación práctica: “Resultará interesante ver cómo los tribunales aplicarán el nuevo delito de falsificación informática, comparándose con sus símiles de falsificación documental del Código Penal”, dicen Rafael Collado y Víctor Andrade.

Por otra parte, en materia de agravantes, estiman que podría generar polémica en la tramitación del proyecto el uso de tecnologías de encriptación para obstaculizar la acción de la justicia, dado que la encriptación “juega hoy un rol esencial en las estrategias para preservar la confidencialidad, seguridad y privacidad de datos por parte de usuarios, empresas y agencias gubernamentales”. En otras jurisdicciones, aclaran, se han presentado diversos debates acerca de medidas similares, como las llamadas “key disclosure laws” y la coherencia de las mismas con los principios de no autoincriminación.

Finalmente, en cuanto a las modificaciones procesales, ambos ven que se sigue la tendencia existente a la fecha de replicar los mecanismos y técnicas investigativas de la Ley de Drogas “respecto de otros bienes jurídicos considerandos como de alta connotación o relevancia social”.

El impacto en la empresa

“Creemos que la inclusión de los delitos informáticos en la Ley 20.393 tiene el potencial de constituir una verdadera revolución en materia de responsabilidad penal de las personas jurídicas, de forma similar a lo que significará la próxima inclusión del soborno entre particulares en la legislación penal”, aseguran.

Pero si se mira ex ante, en la redacción actual de las modificaciones al Código Procesal Penal las comunicaciones electrónicas implicarían “un aumento sustancial de los deberes que a la fecha tienen las empresas de telecomunicaciones en la materia”.

“Cuando hablamos de responsabilidad penal de las personas jurídicas en relación a delitos informáticos, se supera el paradigma de la empresa como víctima de ataques internos y externos, y se pasa al de la empresa u organización que ataca o hackea a otras instituciones, con lo propio del espionaje industrial”, añaden. Ejemplo típico de ello se daría cuando un empleado de la organización se introduce en sistemas de la competencia para obtener información en beneficio de su empleador. “Dicha conducta, en los términos del proyecto, cumpliendo los requisitos que la ley penal impone, podría dar paso a responsabilidad penal de la compañía con ocasión del delito de interceptación ilícita informática”, grafican.

Para Rodrigo Lavados, con la nueva norma se permitirá proteger de mejor manera la confidencialidad e integridad de los sistemas informáticos, “teniendo como contrapartida una carga mayor de compliance de datos y medidas de seguridad”. Sin embargo, dice, se echa de menos una definición más clara sobre el alcance del concepto de “indebido” para aquellas empresas que capturan y procesan datos, “el cual existe en la legislación actual y no ha sido interpretado de manera uniforme por los tribunales”.

Sharing is caring!