Ingresa o regístrate acá para seguir este blog.
Por Nelson Remolina Angarita*

Comienza el año 2009 con la promulgación de leyes relacionadas con el “derecho informático”. En ocasión anterior referenciamos la expedición de la Ley Estatutaria 1266 de 2008 relativa a la protección de datos personales y el habeas data. Se suma a la anterior la ley 1273 de 2009 “por medio de la cual se modifica el código penal, se crea un nuevo bien jurídico tutelado – denominado «de la protección de la información y de los datos»· y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones«.

 

La precitada ley tiene varias implicaciones:

 

En primer lugar, adiciona el artículo 58 del Código Penal para establecer como circunstancia de agravación el uso de medios informáticos, electrónicos o telemáticos para la realización de conductas punibles. Se trata de un reconocimiento a los efectos en masa e ilimitados que puede ocasionar el empleo de dichos medios para fines criminales.

 

En segundo lugar, crea el Título VII BIS del Código Penal denominado «De la Protección de la información y de los datos«. Bajo dicho manto precisa y amplia el delito de acceso abusivo a un sistema informático previsto en el artículo 195 de la ley 599 de 2000 el cual de manera explícita quedó derogado.

 

En tercer lugar, retoma e incorpora una serie de términos en nuestra jerga jurídica como sistema informático; dato informático y sistema de tratamiento de información. Lamentablemente la ley no los define lo cual podría generar problemas a la hora de sancionar porque la tipificación no es precisa. Recuérdese que el artículo 10 del Código Penal exige que la conducta debe ser definida de manera “inequívoca, expresa y clara”.

 

La expresión “sistema informático” ya ha sido utilizada mas no definida en normas que datan desde 1990. Sobre el “dato informático” no conocemos ninguna referencia legal interna. Para el caso del “dato personal” que también menciona la ley no habrá dificultad porque su concepto está previsto en el literal e) del artículo 3 de la Ley Estatutaria 1266 de 2008 como “cualquier pieza de información vinculada a una o varias personas determinadas o determinables o que puedan asociarse con una persona natural o jurídica”.

 

Paralelamente se crearon varios delitos distribuidos en dos capítulos. En el primero se describieron los siguientes: Obstaculización ilegítima de sistema informático o red de telecomunicación (Artículo 269B); Interceptación de datos informáticos (Art. 269C); Daño informático (Art. 269D); Uso de software malicioso (Art.  269E); Violación de datos personales (Art. 269F); Suplantación de sitios web para capturar datos personales (Art. 269G). En el capítulo segundo se incorporaron estos tipos penales: Hurto por medios informáticos y semejantes (Art. 269I) y Transferencia no consentida de activos (Art. 269J).

 

 

Sin pretender realizar un análisis profundo de cada tipo penal, a continuación plantearemos algunas cuestiones especialmente relacionadas con los datos personales:

 

El artículo 269F consagra como delito, entre otras, la comercialización de datos personales y códigos personales (claves, contraseñas, etc.) cuando es realizada por una persona no facultada explícitamente para el efecto. Por eso, es recomendable que las empresas que se dedican a dicha actividad se aseguren de contar con la autorización legal o del titular del dato para poder obtener, compilar, sustraer, ofrecer, vender, intercambiar, enviar, comprar, interceptar, divulgar, modificar o emplear la mencionada información. La pena correspondiente consiste en prisión de 4 a 8 años y multa de 1000 a 1000 salarios mínimos legales mensuales.

 

Aunque el artículo 269G se titula “Suplantación de sitios web para capturar datos personales” el tipo penal no menciona la palabra dato personal ni mucho menos el propósito de capturarlo a través de páginas electrónicas, enlaces o ventanas emergentes falsas.   Realmente, lo que sanciona dicha norma es el diseño, tráfico, venta, ejecución, programación y envío de las mismas con fines ilícitos.

 

Esta disposición también castiga al que a través de la manipulación de nombres de dominio haga ingresar a una persona a una página web diferente creyendo que está ella está accediendo a su banco u otro sitio personal o de confianza.

 

Estas conductas, en últimas, se realizan en la práctica para capturar datos de las personas y utilizarlos con fines ilícitos como cuando a alguien se le hace ingresar a la supuesta página web de su entidad financiera para solicitarle actualizar sus datos o cambiar sus claves. El delincuente, luego de lo anterior, utilizará esa información obtenida ilegalmente para, entre otras, saquear las cuentas de ahorro de la persona o cargar a su tarjeta de crédito la adquisición de bienes o la prestación de servicios nunca requeridos por el verdadero titular.

 

Delitos como los descritos ratifican algo ya sabido: Los datos personales son el principal insumo de las empresas, el Estado y los delincuentes para cualquier actividad. La información es la moneda de oro del siglo XXI y siguientes.

* Profesor Asociado de la Facultad de Derecho de la Universidad de los Andes y Director del GECTI: http://gecti.uniandes.edu.co. nremolin@uniandes.edu.co

Compartir post