LEY DE DELITOS INFORMÁTICOS COLOMBIANA

enero 8, 2010

Por Alexander Díaz García Juez Segundo de Control de Garantías de Rovira Tolima Colombia A un año de vigencia de la nueva Ley de Delitos Informáticos colombiana, es importante analizar la experiencia de nuestro vecino con esta normativa, experiencia que nos podría servir para legislar sobre esta materia, ya que las realidades culturales, sociales, políticas […]

Por Alexander Díaz García

Juez Segundo de Control de Garantías de Rovira Tolima Colombia

A un año de vigencia de la nueva Ley de Delitos Informáticos colombiana, es importante analizar la experiencia de nuestro vecino con esta normativa, experiencia que nos podría servir para legislar sobre esta materia, ya que las realidades culturales, sociales, políticas y económicas de ambos países son muy similares.

Antecedentes históricos

Cumplimos hoy un maravilloso año de triunfo académico, un trabajo arduo de concienciación a la judicatura y a jurisconsultos, con el nuevo tema del delito informático, labor que comenzamos hace más de diez (10) años, con duras y largas jornadas nocturnas de investigación en mi Despacho como Juez de la República en Rovira, logrando que muchas veces se filtrara la luz del nuevo día por entre las rendijas de la ventana que enseña los cerros de la Laguna y Esmeralda, con bastos cultivos de maíz y caña. Logramos finalmente sacar el texto del proyecto que soportó la hoy denominada Ley de Delitos Informáticos (1273 de 2009).

Estructura de la Ley

En la investigación, la que realizamos por algo más de diez años, establecemos primero que todo, elevar a bien jurídico tutelado la información y el dato, siendo nuestra legislación una de las pocas amparando la información a tal nivel; se dejaron finalmente siete de los diez artículos que originalmente habíamos sugerido, se excluyeron tipos tan importantes como la FALSEDAD INFORMÁTICA, ESPIONAJE INFORMÁTICO y el SPAM, le modificaron el epígrafe a la ESTAFA INFORMÁTICA por TRANSFERENCIA NO CONSENTIDA DE ACTIVOS. Por fortuna no se tocó el que considero uno de los más importantes adelantos legislativos del país, con el derecho penal comparado, LA VIOLACIÓN DE DATOS PERSONALES, pues nos tornamos en uno de los pocos países en el mundo de darle una protección penal a los datos personales, pues otras naciones se la dan administrativamente con las Agencias de Protección de Datos Personales en donde existen, Colombia es huérfana con este ente.

La ley la integran, tres artículos en dos capítulos, en el primer Capítulo aparecen los delitos de: ACCESO ABUSIVO A UN SISTEMA INFORMÁTICO, OBSTACULIZACIÓN ILEGÍTIMA DE SISTEMA INFORMÁTICO O RED DE TELECOMUNCIÓN, INTERCEPTACIÓN DE DATOS INFORMÁTICOS, DAÑO INFORMÁTICO, USO DE SOFTWARE MALAICIOSO, VIOLACIÓN DE DATOS PERSONALES, SUPLATANCIÓN DE SITIOS WEB PARA CAPTURAR DATOS Y CIRCUNSTANCIAS DE AGRAVACIÓN PUNITIVA.

En el segundo Capítulo, lo constituyen: HURTO POR MEDIOS INFORMÁTICOS Y SEMEJANTES, TRANSFERENCIA NO CONSENTIDA DE ACTIVOS y termina con el texto de los artículos segundo y tercero, que se refiere a circunstancias de mayor punibilidad y la competencia que no comparto, se radica en cabeza de los Jueces Municipales.

El nuevo delito de violación de datos personales

La poca cultura que ha tenido Colombia en la historia sobre el tratamiento de Datos Personales, nos obliga a pensar que será un proceso largo concienciar a los especialistas judiciales, a los operadores de ficheros que almacenen datos personales, al igual que al público en general, sobre cómo debemos tratar nuestros datos personales y darle la relevancia personal y jurídica que le corresponde.

La existencia del artículo 269 F, ha generado y generará muchas (más) implicaciones modificatorias sociales y oficiales; no sólo la consumación ex profeso del delito, sino también para hacer correctivos a costumbres mal sanas que violan los datos personales en el diario vivir de los colombianos. Esta investigación frenará o por los menos disuadirá a los delincuentes informáticos a no cometer esta clase de infracciones cuando se publica información sensible en redes sociales, cuando se actualiza una obligación prescrita sin el consentimiento del titular, en los ficheros de compañías que compra cartera castigada, para mantener ilegal e indefinidamente los registros negativos en las centrales de riesgo. Cuando en los bancos o terceros se apropian de la identidad de una persona sin su consentimiento, para hacerla aparecer como clientes o deudores de grandes sumas de dinero. Estos son algunos de tantos casos que se conocen con la violación de datos personales.

Igual ocurre cuando las entidades públicas ora sus contratistas para cumplir fines de programas del Estado, capturan información sensible sin advertir que la calidad de la información que entregan los ciudadanos a los encuestadores o representantes de éstos, ha de dársele un tratamiento especial por tratarse de datos personales. Hemos observado que en los formularios o dispositivos electrónicos no aparece información pertinente en donde se concluya un tratamiento especial por la calidad, veracidad, confiabilidad, pertinencia y por consiguiente su prohibición a divulgación o a dársele un fin diferente al originalmente argüido por el empadronador.

Ahora bien, en el ámbito judicial se tendrá que modificar muchas costumbres sobre el manejo de datos personales, ciertamente estamos intentando que se logre, con nuestra demanda de inconstitucionalidad (Expediente D007915) que el Juez de Control de Garantías conozca previamente actos de la Policía Judicial dirigidos por el Delegado del Fiscal, cuando se intenta acceder a ficheros en donde almacenen datos sensibles, derecho especialmente protegido por la norma procesal en su artículo 14, que protege la intimidad.

Para el caso que nos ocupa tenemos el contenido del artículo 237 del Código de Procedimiento Penal, en donde se afirma que se podrá recuperar información dejada al navegar por la Internet u otros medios similares, Vg. Dispositivos de almacenamiento masivo y luego legalizarla ante el Juez Constitucional, lo que a todas luces se vulneran los datos personales pues si bien es cierto que el informático forense no sabe qué clase de contenido encontrará tendrá el fichero por abrir, no descartamos de igual manera que halle información sensible (sus preferencia sexuales, vocación religiosa, vinculación sindical o partidista, origen étnico o datos de salud).

Igual suerte corre, afirmamos en la demanda, con los datos sensibles del imputado que los van a comparar con los resultados de los exámenes invasivos que le han realizado al imputado o indiciado, contemplados en el artículo 245. Nuestra tesis es que se requiere de la anuencia previa del Juez de garantías para acceder a los ficheros clínicos o médicos de éstos para realizar los cotejos científicos pertinentes.

Finalmente hemos de afirmar las dificultades que crea la vigencia de la Ley 1266 del 31 de Diciembre de 2008, la estatutaria de Hábeas Data. Dificultades que deberá superar la Fiscalía General de la Nación, pues los delegados del Señor Fiscal, son los que están haciendo uso de dicha información. Veamos cuál: Dice textualmente el artículo 308 del Código de Procedimiento Penal, que el Juez de Control de Garantías, a petición del Fiscal General de la Nación o de sus Delegados, decretará la medida de aseguramiento cuando de los elementos materiales probatorios y evidencia física recogidos y asegurados o de la información obtenidos legalmente, se puede inferir razonablemente que el imputado puede ser autor o participe de la conducta delictiva que se investiga siempre y cuando se cumpla alguno de los siguientes requisitos:

“1. Que la medida de aseguramiento se muestre como necesaria para evitar que el imputado obstruya el debido ejercicio de la justicia.

2. Que el imputado constituye un peligro para la seguridad de la sociedad o de la víctima (Subrayas nuestras).

3. Que resulte probable que el imputado no comparecerá al proceso o que no cumplirá la sentencia.”

El Delegado en la mayoría de las ocasiones soporta su súplica en el numeral dos, que es desarrollado a su vez por el artículo 310 ibídem, modificado igualmente por el artículo 24 de la Ley 1142 de 2007, que en su tenor literal dice:

“Peligro para la comunidad. Para estimar si la libertad del imputado resulta peligrosa para la seguridad de la comunidad, será suficiente la gravedad y modalidad de la conducta punible. Sin embargo de acuerdo con el caso, el Juez podrá valorar adicionalmente alguna de las siguientes circunstancias: (Subrayas nuestras)

1. …….

2. ……

3. El hecho de estar acusado, o de encontrarse sujeto a alaguna medida de aseguramiento, o de estar disfrutado un mecanismos sustitutivo de la pena privativa de la libertad, por delito doloso o preterintencional

4. La existencia de sentencias condenatorias vigentes por delitos doloso o preterintencional.” (Subrayas nuestras)

El Delegado para fundamentar que el imputado requiere medida de aseguramiento intramural (privativa de la libertad) presenta a las partes y al Estrado, un documento en donde se registran anotaciones y antecedentes, expedido por el DAS, en donde la institución de seguridad advierte que: “Sin comprobación dactiloscópica e ignorando si se trata de la misma persona, figura (n) siguientes anotación (es) y antecedente (es):……”

Documento que si no tiene soporte de alguna otra naturaleza, como la verificación decadáctilar del imputado con ficheros de altísima confianza (Vg. Los propios de la Fiscalía), no puede servir para materializar las pretensiones procesales del Delegado. Recordemos que así lo exige el artículo 128 de la obra citada, que fuera igualmente modificado por el artículo 11 de la Ley 1142 de 2007, en donde señala que la Fiscalía General de la Nación estará obligada a verificar la correcta identificación o individualización del imputado, a fin de prevenir errores judiciales.

Pasaremos a analizar por qué el documento del DAS en estudio, no sirve en las condiciones que usualmente lo están haciendo los Delegados del Señor Fiscal General de Colombia:

El artículo 2º de la Ley de Hábeas Data, reza que la ley se aplicará sin perjuicio de normas especiales que disponen la confidencialidad o reserva de ciertos datos o información registrada en banco de datos de naturaleza pública, para fines estadísticos, de investigación o sanción de delitos o para garantizar el orden público. Dicho enunciado nos permite colegir fácilmente que los ficheros del DAS, se cobijarán por esta ley.

Ahora bien, la ley en estudio en su artículo 4º que aparece bajo el epígrafe de Principio de la Administración de Datos, dice que el desarrollo, interpretación y aplicación de la presente ley, se tendrán en cuenta, de manera armónica e integral, los principios que a continuación se establecen:

“a) Principio de veracidad o calidad de los registros o datos. La información contenida en los Bancos de Datos debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el registro y divulgación de datos parciales, incompletos, fraccionados o que induzcan a error;…”. (Subrayas nuestras)

Concatenando el contenido de estos artículos con la afirmación de los oficios de anotaciones y antecedentes del DAS de marras, estos no pueden prestar ningún merito (al menos hasta cuando no se modifique lo anotado) para el soporte de una medida de aseguramiento, con base en el argumento de que es un peligro para la comunidad. Es más al final de estos documentos (los del DAS) advierten en letra menuda que: “La anterior información deber ser tratada con la reserva legal correspondiente y su utilización es de absoluta responsabilidad de la autoridad solicitante, razón por la cual el manejo indebido, causará las sanciones previstas en la ley (art. 4 Decreto 3738 de 2003) (Subrayas nuestras) Esto es que, pese al error que pudiera existir en la información, el DAS se exonera y será de exclusiva responsabilidad del usuario, esto es, el Delegado del Señor Fiscal General.

Conocemos de casos en donde aparece en el prontuario una orden de captura con más de seis meses (Art. 298 ejusdem), pero no aparece ningún otro reporte que nos indique que efectivamente si se ha capturado al imputado, o se le precluyó la investigación. Igual suerte corren los datos de una imputación, una medida de aseguramiento o una captura, sin más datos posteriores. Esta información es incompleta, no está actualizada y puede ser que no sea veraz porque puede tratarse de un sujeto completamente diferente al que se encuentra en ese momento en la Sala de Audiencias.

Efectos de la ley y sus estadísticas

Lograda la sanción Presidencial hoy hace un año precisamente, por parte del Dr. Álvaro Uribe Vélez, Presidente de Colombia, comenzamos otra ardua tarea, la concienciación de la academia y de la judicatura sobre el tema, para superar la gran crítica que se recibe sobre el tema, la falta de capacitación del personal que tienen que ver con los delitos informáticos. Así estamos evitando comentarios como el de Guillermo Santos Calderón: “Otra duda que me surge es sobre el conocimiento que deben tener los jueces que van a enfrentar estos casos.

Los delitos del mundo de la informática tienen tantas facetas y tantos matices, que requieren de algún grado de profundidad en los términos y las técnicas que se deben manejar para poder analizar con veracidad y en forma estricta si se cometió algún delito”.

Según aporte que me realiza la Unidad de Delitos Informáticos del CTI, tenemos el siguiente cuadro acerca del número de casos que se están llevando en este momento o se han tramitado para su investigación, a saber:

Observamos cómo el Hurto por Medios Informáticos y Semejantes (Art. 269 I) es el tipo de mayor incidencia delincuencial con cincuenta (50) investigaciones, sobre dieciocho (18) que tiene la Violación de Datos Personales (Art. 269 F) y dos (2) de Acceso Abusivo a un Sistema Informático (Art. 269 A) Esta ley ha generado una mayor ocupación en la Unidad de Delitos Informáticos del CTI, de la Fiscalía General de la Nación, pues ha implicado a conocer nuevos procedimientos, diferentes a los que se usaban antiguamente con la evidencia material, pues al tratarse de evidencia digital o lógica, ello ha generado una mejor preparación por parte del personal técnico, nacional e internacionalmente y adecuarse a los estándares de ese grado para el manejo de esta clase de prueba procesal, el documento electrónico, a continuación detallamos los procedimientos forenses que se realizan en tratándose de delitos informáticos ora delitos clásicos consumados a través de medios electrónicos.

Ahora bien analizaremos las estadísticas de la Policía Nacional, encontramos que el Hurto por Medios Informáticos y Semejantes es el tipo más consumado en el país con doscientas veinte (220) denuncias, siendo la ciudad de Cali Valle como de mayor incidencia con sesenta y cinco (65) investigaciones, le sigue muy lejos el Acceso Abusivo a un Sistema Informático con siete (7) y la región de Colombia con una mayor vulneración es el Magdalena con cuatro (4) investigaciones. La siguiente gráfica los ilustrará mejor y ustedes sacarán sus propias conclusiones.

Finalmente no podemos olvidar que el delito de publicación de datos personales en redes sociales, no es exactamente una injuria o calumnia y es por ello que dicha columna correspondiente a este delito, se han sumado al tipo clásico correspondiendo al delito informático.

Conclusión

La vigencia de esta ley, protegiendo el bien jurídico tutelado de la INFORMACIÓN y el DATO, ha posesionado el país en el contexto jurídico que estaba en mora de ubicarse. Por fortuna se superaron las dificultades legislativas y la mayoría de los miembros del Congreso entendieron que les correspondía a ellos, tipificar estas conductas que lamentablemente se están masificando en su consumación. A la par del desarrollo tecnológico informático, la delincuencia encuentra formas innovadoras para la realización de fraudes y otros delitos que, con frecuencia, van más rápido que los códigos penales. De una o de otra forma, la comisión de algún delito informático afecta a un mayor número de ciudadanos. Frente a un fenómeno en alza, se impone la necesidad de prevención y protección, que son deber de todos: Estado, empresas, organizaciones, ciudadanía.

Siguiendo con los propósitos de ICITAP, lograremos con un gran esfuerzo y con la participación masiva por parte de los Delegados, la Policía Judicial de la Fiscalía General de la Nación y demás cuerpos de seguridad del país, capacitar con los más altos estándares para contrarrestar el delito informático. Evitaremos de esta manera tipificaciones erradas, como se hacia antiguamente con la publicación indebida e ilegal de datos personales en redes sociales, conexión o acceso a redes sin autorización, uso de software malicioso etc. Con esta nueva ley se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones.

http://www.corteconstitucional.gov.co/relatoria/2009/t-421-09.htm

Código de Procedimiento Penal Colombiano.

Artículo 299 del Código de Procedimiento Penal, ordena taxativamente que se deberá comunicar que la orden de captura ha perdido la vigencia, para descargarlas de los ficheros de cada organismo, indicando el motivo de tal determinación. Mandato que no ocurre con riguroso cumplimiento.

Comentario que realiza el periodista del periódico EL TIEMPO, al referirse sobre la vigencia de la nueva ley de Delitos Informáticos. Visita que se realizó el cinco de enero de 2010 al siguiente site: http://www.eltiempo.com/opinion/columnistas/guillermosantoscaldern/ARTICULO-WEBPLANTILLA_ NOTA_INTERIOR-4722899.html