Entrevista a profesor Renato Jijena Leiva

Profesor de Derecho informático. Abogado, Pontificia Universidad Católica de Valparaíso, Chile.

Es indiscutido que hoy vivimos en una época de avances tecnológicos exponenciales sin precedentes. Con el desarrollo tecnológico y científico se abren oportunidades para optimizar procesos que antes eran inimaginables. 

Hoy las tecnologías de la información juegan un papel principal en nuestras vidas y trabajos, sin embargo, al mismo tiempo que se desarrolla, nacen riesgos inherentes a ella que son necesarios neutralizar mediante el Derecho, aunque muchas veces dicha labor no es fácil, pues el avance tecnológico siempre irá un par de pasos más adelante. 

Es en este contexto, y con el fin de actualizar nuestra normativa penal sobre delitos informáticos a la realidad actual, el Presidente de la República, mediante Mensaje N° 164-366, presentó al Senado el proyecto de ley que establece normas sobre delitos informáticos, deroga la ley N° 19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al convenio de Budapest (Boletín N° 12.192-25). Al respecto, hemos querido consultarle al profesor Renato Jijena su parecer sobre dicho proyecto: 

Como punto de partida para analizar el Proyecto, ¿podría explicarnos cuál o cuáles son los bienes jurídicos protegidos por el Derecho penal informático? 

Si existe un tema controvertido y mal abordado jurídicamente, no sólo en Chile sino en el Derecho Comparado, es la determinación de cuáles son los valores relevantes de la sociedad que, para ser tutelados, requieren de la sanción penal, privativa de libertad, ante conductas que atenten contra ellos. Desde comienzos de los años 90 y hasta hoy, donde con ocasión del debate del Boletín N° 12.192, sigue sin existir claridad sobre el tema. (i) Una distinción importante, (ii) una regresión a los primeros delitos informáticos y (iii) aportes doctrinarios recientes permiten, primero responder y luego reparar la ley vigente en Chile desde 1993. 

Y desde ya, anótese, son ilícitos que pueden cometerse off line o fuera de Internet, porque es un real mito que los delitos informáticos devenidos en “ciberdelitos” o en la ciberdelincuencia requieren ser modificados por el desarrollo de Internet; es que la eventual extraterritorialidad de una conducta, en el sentido de que un delito o ciberdelito se puede cometer pasando por sobre diversos países vía redes (bancarias como swift, abiertas como Internet u otras cerradas), es un problema de territorialidad y de determinación de qué leyes aplicar, por cierto, a la luz de las opciones legales de “principio de ejecución” o de “lugar de consumación”1. Y solo eso, no es un problema de tipíficación de conductas idóneas, que para sancionarse penalmente deberán siempre “territorializarse”. 

(i) Sobre la distinción, es importante tener claro que los delitos informáticos sólo juegan en relación al soporte lógico, a “la data”, a los bits y a los programas computacionales, que son instrucciones para procesar información, y ambos pueden ser objeto de delitos o ciberdelitos; que no toda información o conjunto organizado de datos tiene la misma importancia; y que si se atiende a la naturaleza de la data y al  carácter de creación original de un software, fluyen de manera natural los bienes jurídicos intimidad/información nominativa, patrimonio/información patrimonial, secretos/información confidencial y copyright/software. 

(ii) Sobre los primeros delitos informáticos, a fines de los 70 y la década de los 80, precisamente  surgieron para tutelar penalmente a la información nominativa y patrimonial, y para sancionar las hipótesis de “pirateo”, “truchaje” o copia ilegal de software.

Y, (iii) sobre las nuevas propuestas, el seminario on line realizado por los profesores Mayer y Vera ha sido un importante espacio clarificador2. Hicieron una revisión interesante de algunos bienes jurídicos formulados y mal perfilados, pero, profundizaron en la formulación de lo que ellos llaman el bien jurídico “funcionalidad” de un sistema informático, y claro, cuando se propone titpificar en Chile delitos contra la integridad de un sistema aparece una propuesta coherente y atendible. Antes, en una tesis de la ex alumna Romina Moscoso, en el contexto de los delitos de acceso indebido o “hackeo” del artículo 2° de la Ley 19.223, la formulación de un bien jurídico denominado “confidencialidad” de los sistemas informáticos, sumados a otros como la intimidad o el patrimonio -tanto en cuanto datos nominativos o patrimoniales- y en una visión de pluriofensividad, fue otra formulación muy sólida.

El Proyecto menciona entre sus fundamentos la necesidad de actualizar la normativa sobre delitos informáticos contenida en la Ley N° 19.223. A su juicio, ¿cuáles son las mayores falencias que presenta actualmente dicha Ley en el tratamiento penal de sistemas y datos informáticos? 

¿Falencias actuales?. No, las mismas desde su origen, y en concreto, porque hubo una distancia radical entre las normas de Derecho Comparado en que dijeron fundarse y el resultado final de la ley. Está escrito desde los años 1991-933. Ambigüedad de los bienes jurídicos, al aludirse a “la información en cuanto tal”, cualquier dato, de cualquier naturaleza; repetición de conductas, de “sabotaje” -como definió un ingeniero en 1975- en los artículos 1° y 3°; sanción de atentados contra los bienes físicos o el hardaware, que no son delitos informáticos, em el artículo 1°; penas altísimas, sin ninguna formulación de política criminal previa; exigencias de elementos de antijuricidad con la alusión a conductas “indebidas”, sin elementos claros para determinar lo debido y lo indebido; creo que esas son bastantes, ¿no?.

El Proyecto señala entre uno de sus fines adecuar nuestra legislación al Convenio sobre la Ciberdelincuencia del Consejo de Europa, denominado “Convenio de instrumento. ¿Cuál es su relevancia en la actualidad?  

Budapest debe ser analizado desde tres perspectivas: su aporte para estandarizar las conductas constitutivas de delitos; el aporte desde el punto de vista de la facilitación de las investigaciones procesales y policiales; y, creo la más relevante y la más distante para el mundo jurídico, los cambios de paradigmas con nuevas exigencias en matera de seguridad y confidencialidad en la gestión de la información, que serán evidencias de delitos y que se establece cómo conservarse. Y esto ocurre con los delitos, porque es un hecho concreto que consumimos servicios alojados en otros países, guardamos información en “la nube” -que son servidores deslocalizados- o enviamos información que viaja a través de redes internacionales, cuando se trata de investigar un delito informático y recabar evidencia digital la investigación generalmente trasciende el territorio de una nación. Y pienso en delitos concretos y cotidianos como la comercialización de mercancías multimediales sin pagar licencias, o los procesamientos de datos personales no autorizados y dolosos que se capturan en sitios web -por ejemplo registrándose las direcciones IP-, o en la difusión de pornografía infantil, donde lo relevante es “prevenir” y adoptar mecanismos de seguridad y confidencialidad informática.

Y claro, tiene y tendrá, para la historia jurídica de la fijación de políticas públicas en materia de criminalidad informática o de ciberdelitos, ser el primer tratado internacional sobre delitos cometidos a través de redes “telemáticas”, que se ocupa de las infracciones de los derechos de autor, del fraude informático -lamentablemente hoy entendido como referido a ilíctos contra el patrimonio, cuando su origen lo reconduce a cualquier alteración de datos no sólo representativos de patrimonio, de la pornografía infantil y de las violaciones de seguridad-.

El Proyecto, junto con establecer una serie de delitos, también realiza modificaciones procesales con el fin de dotar al órgano persecutor de herramientas efectivas para investigar estos delitos. A su juicio ¿cree que los Fiscales del Ministerio Público y los jueces con competencia penal están preparados para investigar y juzgar estas nuevas figuras?. 

Absolutamente, me consta, he tenido la oportunidad de dictar algún taller o de tenerlos de de alumnos, y llevan mucho tiempo preparándose, tienen contactos con sus pares internacionales, van a capacitaciones. Por cierto, es lo mismo que ocurre con los organismos policiales.

Entre las innovaciones que introduce la Ley, se encuentra la inclusión de los delitos contenidos en el Título I en la Ley N° 20.393. ¿cree que dicha opción legislativa fue pertinente? ¿Cree que con dicha inclusión podría darse paso al nacimiento de un compliance informático

Primero, entendamos que en el contexto de la implementación de los SGSI o Sistemas de Gestión de Seguridad de la Información de cualquier corporación, sea un servicio público o empresa, ser diligente significa si o si prevenir o precaver que se puedan cometer conductas dolosas mediante sistemas o redes, donde lo que se busca proteger son los “activos de información” o la “información crítica”. Ergo, el compliance o el modelamiento de sistemas de prevención de delitos, para gestionar o aminorar los eventuales riesgos inherentes a la comisión de delitos informáticos o “ciberdelitos”, en este ámbito existe desde hace años y ello se materializa desde los estándares de las Nomas ISO 27001 y ss. -por cierto, un nicho para la investigación académica y el ejercicio profesional apasionante-. Que el proyecto agregue un contexto tecnológico como aquel susceptible de generar responsabilidad penal para las personas jurídicas resulta natural y lógico. 

Y en segundo lugar, si para la Ley N° 20.393 la carga previa consiste en que cada empresa identifique las actividades o procesos, sólo respecto de sus actividades, giro u operaciones concretas, habituales o esporádicas, donde se puedan generar o incrementar los riesgos de comisión de delitos, se ha anotado criteriosamente que sólo respecto a su funcionamiento propio debiera poder hacerse efectiva la responsabilidad de las personas jurídicas.

¿Cuál cree que son los puntos fuertes y débiles del actual Proyecto de Ley? ¿Hay otros aspectos que podrían mejorarse y que en Derecho comparado estén mejor normados?

No comparto la opción de instar por una ley especial, en vez de abordar su tipificación en el contexto de un nuevo Código Penal. Es lo que hacen los dos proyectos conocidos más no tramitados, y es lo que propusieron a su turno dos Boletines -2974 y 3083-, que ahora debieran recogerse además. Pero las urgencias legislativas y los objetivos políticos siempre han mandado o prevalecido por las mejores opciones jurídicas.

Lo cuestionable, ahora en concreto en materia de técnica legislativa, sería: (i) el uso de multiples términos y conceptos que en el ámbito tecnológico no son a veces claros, y la tipificación ambigua y con errores de muchos de ellos; y, (ii) la referencia a múltiples verbos rectores al parecer con un afan de comprender mayores hipótesis conductuales. A la manera de lo que hoy hace la vigente Ley N° 19.223. Ejemplo, en una de las agravantes que propone el artículo 9° alude a “interrumpir o alterar” -una cuestión de hecho-, agrega que lo interurmpido o alterado debe ser “el funcionamiento” y cierra señalando que debe ser respecto “de los sistemas informáticos o su data“; esta conducta sería aplicable a un simple delito de daños del hardware o el soporte físico de un sistema informático, computacional o telemático (redes), y nuevamente contra información de cualquier naturaleza, sin entenderse que sólo cierta data, por su relevancia, debe protegerse mediante el sistema discontinuo de ilicitudes que es el Derecho Penal y sancionarse con penas privativas de libertad.

Pero existe ya algún grado de consenso en lo positivo (i) que el proyecto de ley avance en la armonización de la legislación nacional según estándares internacionales, los de Budapest;  (ii) en que falta una definición clara del o de los bienes jurídicos afectados; (iii) en cuanto a que puede generar conflictos el mantener el elemento “malicioso” como exigencia de un dolo específico en los tipos penales; y (iv) en cuanto a la eventual amplitud del propuesto artículo 7°, relativo al abuso de dispositivos, que eventualmente podría criminalizar el “hacking ético”. 

Por cierto, respecto de este último tema, soy de los que cree que si no hubo concertación previa para realizarse las pruebas o los intentos de detectarse vulnerabilidades entre el Gerente de una empresa y los que intentan detectar vulnerabilidades y acceder en forma indebida, a esta fecha el tipo de delito formal del artículo 2° de la Ley N° 19.223 sanciona el acceso indebido blanco, ético o “a priori” sin una intención dolosa, porque esa conducta es un delito formal donde basta la mera comisión para aplicarse la sanción penal.


1 Recojo un muy buen ejemplo: “…supongamos que se comete un fraude a través de una página de pagos online; la víctima hizo una compra desde Chile, a través de un portal hosteado en México, pero aquel que la engañó para hacer ese pago se encuentra en España. Además, tanto la víctima como el estafador mantuvieron varias conversaciones por un servicio de chat, el cual pertenece a una empresa norteamericana. La víctima realiza la denuncia por fraude en Chile por un delito que está tipificado, pero el delito en sí se cometió desde España y la evidencia está dividida entre México y Estados Unidos. ¿Quién se hace cargo entonces? ¿Bajo qué leyes se debería juzgar el caso y tratar la evidencia?”.

2 Está en la URL https://www.youtube.com/watch?v=AKN6s8tJI-g&t=1366s

3 Véanse las URLs http://www.rdpucv.cl/index.php/rderecho/article/view/261/241 y http://www.rdpucv.cl/index.php/rderecho/article/view/283/263

¡Suscríbete a nuestro boletín aquí!