La ley de delitos informáticos en cuatro conclusiones

El 22 de octubre de 2013 se publicó en el diario oficial El Peruano la Ley N° 30096, Ley de delitos
informáticos (LDI). La LDI tiene por objeto prevenir y sancionar las conductas ilícitas mediante la
utilización de tecnologías de la información o de la comunicación y de esta manera luchar contra la
ciberdelincuencia.

A continuación presentamos un análisis detallado de la norma.

1. Lo viejo informático
 Gran parte del catálogo vigente de delitos informáticos anterior a la LDI data del año 2000 y
tenía como bien jurídico protegido el patrimonio (Título V, Capítulo X del Código Penal). Nos
referimos a los artículos 207-A (espionaje o intrusismo informático), 207-B (sabotaje
informático) y 207-C (agravantes).
 El espionaje o intrusismo informático sancionaba la utilización o ingreso subrepticio a una
base de datos, sistema o red de computadoras o cualquier parte de la misma para diseñar,
ejecutar o alterar un esquema u otro similar. La pena máxima eran 2 años de cárcel.
 El sabotaje informático sancionaba la utilización, ingreso o interferencia a una base de
datos, sistema, red o programa de ordenador con la finalidadde alterarlos, dañarlos o
destruirlos. La pena máxima eran 5 años de cárcel.
 Los agravantes sancionaban con 7 años de cárcel a quienes cometían espionaje o sabotaje
informático cuando el agente ingresaba a la base de datos, sistema o red de computadoras
haciendo uso de información privilegiada en función a su cargo o ponía en riesgo la
seguridad nacional (pena máxima de 7 años de cárcel).
 El 19 de agosto de 2013 la Ley 30076, incorporó un nuevo delito: el tráfico ilegal de datos
sancionando a aquel que “crea, ingresa o utiliza indebidamente una base de datos sobre
una persona natural o jurídica, identificada o identificable, para comercializar, traficar,
vender, promover, favorecer o facilitar información relativa a cualquier ámbito de la esfera
personal, familiar, patrimonial, laboral, financiera u otro de naturaleza análoga, creando o no
perjuicio”.
 Primera conclusión: No estamos frente a una nueva regulación de delitos
informáticos. Desde el año 2000 ya teníamos dos tipos penales en nuestro Código
Penal (espionaje o intrusismo informático y sabotaje informático). En agosto de 2013
se crea un nuevo delito informático (¿?) relacionado con el uso de bases de datos.

2. Lo nuevo informático

La LDI deroga TODOS los delitos informáticos vigentes y que hemos mencionado anteriormente y se
presentan nuevos tipos penales únicamente inspirados en la Convención de Budapest.
1. Acceso ilícito a un sistema informático (art. 2) (¿recuerdan el delito de espionaje o
intrusismo informático?). Se sanciona al que accede sin autorización a todo o parte de un
sistema informático vulnerando las medidas de seguridad que hayan sido establecidas para
impedirlo. La clave parece estar en la vulneración de las medidas de seguridad sin embargo
creemos que debió especificarse el peligro concreto sancionable. Por ejemplo, peligro para
 la seguridad o confidencialidad. Ej.: el ingreso sin autorización a cuentas de correo
electrónico vulnerando las contraseñas.
2. Atentado a la integridad de los datos informáticos (art. 3): “el que a través de las
tecnologías de la información o de la comunicación, introduce, borra, deteriora, altera,
suprime o hace inaccesibles datos informáticos”(Ej.: el ingreso a un sistema informático para
alterar información relativa a sueldos o información laboral de un trabajador) y atentado a
la integridad de sistemas informáticos (art. 4): “el que a través de las tecnologías de la
información o de la comunicación, inutiliza, total o parcialmente, un sistema informático,
impide el acceso a este, entorpece o imposibilita su funcionamiento o la prestación de sus
servicios” (Ej.: un ataque DDoS) (¿recuerdan el delito de sabotaje informático?). Este tipo
penal me recuerda mucho al daño simple que se encuentra regulado en el artículo 205 del
Código Penal pero en su versión informática (“el que daña, destruye o inutiliza un bien
mueble o inmueble…”). Pudo afinarse la redacción y precisarse que el objetivo de las
conductas no era otro que causar un daño.
3. Proposiciones por medios tecnológicos a niños con fines sexuales (“grooming”) (no se
encontraba regulado). “El que a través de las tecnologías de la información o de la
comunicación, contacta con un menor de 14 años para solicitar u obtener de él material
pornográfico, o para llevar a cabo actividades sexuales con él” (Pena máxima: 8 años de
cárcel). Al respecto Eduardo Alcocer ha señalado que el sólo contacto no es ya bastante
ambiguo sino que además “los tipos penales vigentes sobre pornografía infantil, seducción o
violación de menores resultan suficientes para sancionar aquellas conductas realmente
lesivas (por ejemplo, cuando ya se entabla una comunicación con el menor para obtener
material pornográfico o tener relaciones sexuales), las que se entenderán como formas de
tentativa de dichos ilícitos penales”.
4. Trafico ilegal de datos informáticos (ya estaba vigente, sin embargo se deroga y se
vuelve a promulgar (¿?). Ver punto 1 de esta nota). No se encuentra consonancia entre la
regulación administrativa sobre datos personales y este nuevo tipo penal propuesto.
5. Fraude informático (no se encontraba regulado). “El que a través de las tecnologías de la
información o de la comunicación, procura para sí o para otro un provecho ilícito en perjuicio
de tercero mediante el diseño, introducción, alteración, borrado, supresión, clonación de
datos informáticos o cualquier interferencia o manipulación en el funcionamiento de un
sistema informático”. (Pena máxima: 8 años de cárcel)(Ej.: “Phishing”, es decir, envío de
correos fraudulentos que nos dirigen a una página fraudulenta)
6. Interceptación de datos informáticos (no se encontraba regulado) “El que a través de las
tecnologías de la información o de la comunicación, intercepta datos informáticos en
transmisiones no públicas, dirigidas a un sistema informático, originadas en este o
efectuadas dentro del mismo, incluidas las emisiones electromagnéticas provenientes de un
sistema informático que transporte dichos datos informáticos” (Pena máxima: 10 años de
cárcel). Ésta es la versión informática de la interceptación telefónica.
7. Suplantación de identidad (no se encontraba regulado).”El que mediante las tecnologías
de la información o de la comunicación suplanta la identidad de una persona natural o
jurídica, siempre que de dicha conducta resulte algún perjuicio, material o moral” (Pena
máxima de 5 años de cárcel) (Ej.: atribución de un identidad ajena a través de cualquier
página de Internet o red social). No queda claro si la suplantación implica necesariamente la
creación de una cuenta falsa, pudo haberse incluido.
8. Abuso de dispositivos o mecanismos informáticos (no se encontraba regulado). “El que
fabrica, diseña, desarrolla, vende, facilita, distribuye, importa u obtiene para su utilización
 uno o más mecanismos, programas informáticos, dispositivos, contraseñas, códigos de
acceso o cualquier otro dato informático, específicamente diseñados para la comisión de los
delitos previstos en la presente Ley, o el que ofrece o presta servicio que contribuya a ese
propósito” (Pena máxima de 4 años de cárcel). No se incluye la excepción contenida en el
Convenio de Budapest para permitir el “hacking ético”.
Segunda conclusión: Los nuevos tipos penales informáticos hacen referencia a diferentes
bienes jurídicos, ya no sólo al patrimonio. La LDI debió ser más precisa en algunos casos. Se
acerca bastante a la redacción del Convenio de Budapest pero no en todos los casos. Cabe
precisar que, según lo establecido en el artículo 12 del Código Penal es necesario el dolo para
que los delitos anteriores se configuren. ¿Qué es el dolo? La intención deliberada de cometer
el delito.
A continuación puede revisarse una matriz comparativa que se explica por si sola y permite apreciar
las cercanías y diferencias entre la LDI y la Convención de Budapest.

3. Lo viejo no informático

 En el Código Penal ya teníamos regulados los siguientes delitos: (i) interferencia telefónica
(art. 162), (ii) pornografía infantil (art. 183) y (iii) discriminación (art. 323).
 La interferencia telefónica sancionaba a quien, indebidamente, interfiere o escucha una
conversación telefónica similar y le imponía una pena de hasta 3 años de cárcel. Como
agravante se sancionaba al funcionario público con una pena de hasta 5 años de cárcel más
la respectiva inhabilitación.
 La pornografía infantil era sancionada con rigor desde el 2001 imponiendo penas de
hasta 12 años de cárcel.
 La discriminación también era sancionada desde el 2000 con hasta 3 años de cárcel.
 Tercera conclusión: No estamos frente a nuevos tipos penales. Desde el año 2000 la
interferencia telefónica, la pornografía infantil y la discriminación han sido
sancionadas drásticamente por nuestro Código Penal.

4. Lo nuevo no informático

 Con la LDI, se incrementa la pena de la interferencia telefónica a un máximo de 8 años

cuando se trata de información clasificada como “secreta, reservada y confidencial, de
acuerdo a las normas de la materia”. Entendemos que se hace referencia a la Ley de
Transparencia y Acceso a la Información Pública y su Reglamento que claramente delimitan
dichas categorías. Por otro lado, se incrementa la pena a 10 años cuando el delito
comprometa la defensa, seguridad o soberanía nacional.
 Como indica el penalista Alcocer, esto último ya está contemplado en el artículo 331 del
actual Código Penal, incluso con una pena mayor. Asimismo, añade algo muy importante:
“el hecho que no se haya indicado expresamente como eximente de responsabilidad la
obtención de información (por ejemplo, clasificada como secreta o reservada) basado en el
´interés público´, no resulta, desde mi punto vista, una evidente limitación a la libertad de
información. En primer lugar, porque no se prohíbe expresamente su difusión y, en segundo
lugar, porque el ejercicio legítimo de un derecho (art. 20 inc. 8 CP) justifica la conducta de
 todo ciudadano, siendo irrelevante –para declarar su inocencia- que en cada tipo penal se
indique expresamente que el agente debe actuar ´justificadamente´ o en ´interés público´.“
 Para la pornografía infantil se aumenta la pena y se establece una agravante para que
incurra en ella utilizando tecnologías de la información. Lo mismo ocurre en el caso del delito
de discriminación. En este último caso podrían existir potenciales afectaciones a la libertad
de expresión al incluir la discriminación por opinión pero debemos reiterar que este delito ya
se encontraba regulado en esencia en el Código Penal al igual que la pornografía infantil.
 Cuarta conclusión: Se incrementan las penas para la interceptación telefónica, la
discriminación y la pornografía infantil reguladas en el Perú desde el año 2000. No
habría mayor afectación a la libertad de información en el delito de interferencia
telefónica pues no se sanciona la difusión de lo interceptado. Se mantendría la
potencial afectación a la libertad de expresión en el caso del delito de discriminación
vigente, aunque sería interesante saber cuántos casos desde el 2000 han aplicado
éste artículo. Tanto en el caso del delito de discriminación como el de pornografía
infantil se establecen agravantes por el sólo uso de la tecnología cuando debería
sancionarse únicamente la conducta.

5. Comentarios finales

 La LDI es necesaria en tanto propone un nuevo catálogo de delitos cuya inclusión en el

sistema jurídico peruano es saludable a fin de desalentar conductas como el “phishing” o la
suplantación de identidad en Internet que son nocivas para el ecosistema digital.
 No obstante ello resulta necesario afinar la redacción de algunos artículos según lo expuesto
en el punto 2 a fin de brindar seguridad jurídica. El objetivo sería lograr que la ley sea
efectiva, respete el principio de legalidad y criterios de proporcionalidad evitando los tipos
penales de peligro abstracto así como dualidades donde se establezcan agravantes por el
sólo uso de la tecnología lo cual puede terminar desincentivando su uso y minando un
importante espacio de innovación como es el entorno digital.
 Es importante ratificar la Convención de Budapest ya que constituye un estándar
internacional al que nuestra legislación se ha aproximado en buena medida (ver matriz) y
consolida la experiencia de 40 países así como ofrece un marco de colaboración entre ellos.
Dicha ratificación podría generar el espacio de mejora de los artículos que así lo requieren.
 Respecto de las posibles afectaciones a derechos fundamentales como la libertad de
información y de expresión considero que no se genera la primera en el caso del delito de
interceptación telefónica sin embargo se mantiene la segunda en el delito de discriminación.
 Dada la importancia de los temas regulados, es importante promover una mayor difusión y
discusión de estos tipos penales para que la población y el sector privado conozca los
alcances de lo que está prohibido y permitido en esta materia. Más aún será importante que
los operadores jurídicos (Poder Judicial) logren comprender con profundidad los alcances de
lo regulado a fin de ser aplicarlos de manera adecuada y razonable.

ANALISIS Y COMENTARIOS A LA LEY DE DELITOS

INFORMATICOS- ley 30096
El derecho penal en su aplicación es restringido a los supuestos de hecho (conducta descrita)
redactados por la norma penal, de ahí que la literalidad y el principio de legalidad son
garantías en el ejercicio de la administración de justicia penal, porque el juez penal
solamente juzgará los hechos que debidamente se encuadren en la tipificación redactada en
el supuesto contenido en la norma penal, y cuando los hechos no concuerden con la
redacción de la norma la sentencia será absolutoria.

Reconociendo la importancia de una buena y precisa redacción de los tipos penales (que
deben contener todos los elementos y requisitos que describan el hecho delictivo),
pasaremos a comentar la ley 30096, ley de delitos informáticos, publicada el día de ayer en
el diario oficial El Peruano:

LEY DE DELITOS INFORMÁTICOS

Artículo 3. Atentado contra la integridad de datos informáticos

El que, a través de las tecnologías de la información o de la comunicación, introduce, borra,

deteriora, altera, suprime o hace inaccesibles datos informáticos, será reprimido con pena
privativa de libertad no menor de tres ni mayor de seis años y con ochenta a ciento veinte
días multa.

Desde nuestro punto de vista, la redacción del artículo es poco precisa respecto de la
acción ilícita del sujeto activo, pues con la redacción, " El que, a través de las
tecnologías de la información o de la comunicación", cualquier persona que tenga acceso
a los datos informáticos puede ser sujeto activo de este tipo penal, ya que no hay
indicación de elemento subjetivo del tipo penal (dolo), ejemplo imaginemos a un técnico
que es contratado para arreglar algunos datos y realiza su trabajo desde su casa,
accediendo al sistema por internet (contratado por medio de los recientes contratos de
trabajo telemáticos) y modifica a petición del cliente un par de datos, obviamente el
ejemplo es exagerado (porque se realiza a petición del cliente) pero demuestra que la
conducta del técnico encuadra con el tipo penal de este artículo precisamente porque no
se especifica la situación (material y subjetiva) en la que se desenvuelve la acción
típica.

Artículo 4. Atentado contra la integridad de sistemas informáticos

El que, a través de las tecnologías de la información o de la comunicación, inutiliza, total o
parcialmente, un sistema informático, impide el acceso a este, entorpece o imposibilita su
funcionamiento o la prestación de sus servicios, será reprimido con pena privativa de
libertad no menor de tres ni mayor de seis años y con ochenta a ciento veinte días multa.

Nuevamente, no se especifica el elemento subjetivo del tipo penal, ocasionando que

cumplan con el supuesto de hecho de la norma tanto aquella persona que realiza la
acción dolosamente como aquella que no teniendo la intención provocar el
entorpecimiento, la imposibilidad del funcionamiento o la prestación del servicio.
Ejemplo, imaginemos que el sistema de reporte de expedientes del Poder Judicial
requiere una imagen de portada nueva y el técnico en diseño gráfico web contratado
ingresa a realizar su trabajo por internet desde su casa y por error modifica el código de
la web imposibilitando el acceso a dicho sistema, ocasionando que muchas personas no
puedan acceder a ver su expediente virtual por una hora, como se puede apreciar la
conducta del técnico cumple con el tipo penal porque nuevamente no se precisa bien el
tipo penal.

Artículo 5. Proposiciones a niños, niñas y adolescentes con fines sexuales por medios
tecnológicos

El que, a través de las tecnologías de la información o de la comunicación, contacta con un

menor de catorce años para solicitar u obtener de él material pornográfico, o para llevar a
cabo actividades sexuales con él, será reprimido con pena privativa de libertad no menor de
cuatro ni mayor de ocho años e inhabilitación conforme a los numerales 1, 2 y 4 del artículo
36 del Código Penal.

Cuando la víctima tiene entre catorce y menos de dieciocho años de edad y medie engaño, la
pena será no menor de tres ni mayor de seis años e inhabilitación conforme a los numerales
1, 2 y 4 del artículo 36 del Código Penal.

Este artículo es muy interesante, imaginemos que una persona "A" está en facebook y en
la lista de sugerencia de amigos hay una persona llamada "B", aparentemente del sexo
opuesto por la foto de perfil y que según la información de facebook es mayor de edad,
"A" le envía una solicitud de amistad que es aceptada por "B", comienza la platica en el
chat, "B" confirma por chat que es mayor de edad y luego de algún tiempo en el
transcurso de una conversación "A" le propone a "B" "llevar a cabo actividades sexuales",
obviamente "A" conoce de "B" todo lo que "B" le dice y lo que está escrito en la
información de facebook, por tanto desconoce la realidad que "B" es un menor de edad
de 12 años que está jugando con una cuenta falsa. Según la redacción del presente
artículo "A" a cometido el tipo penal porque a través del internet a contactado con un
menor y le ha propuesto mantener relaciones sexuales, nuevamente apreciamos que
falta precisar mejor el ilícito y el elemento subjetivo (qué intención tiene el sujeto
activo), podría aplicarse las teorías del error en la acción pero podemos evitar el recurrir
a ellas con una buena redacción del supuesto de hecho .

Artículo 6. Tráfico ilegal de datos

El que crea, ingresa o utiliza indebidamente una base de datos sobre una persona natural o
jurídica, identificada o identificable, para comercializar, traficar, vender, promover,
favorecer o facilitar información relativa a cualquier ámbito de la esfera personal, familiar,
patrimonial, laboral, financiera u otro de naturaleza análoga, creando o no perjuicio, será
reprimido con pena privativa de libertad no menor de tres ni mayor de cinco años.

Este artículo desde nuestra opinión implica un exceso, no se ha definido que tipo de base
de datos debe ser considerada, porque hay base de datos públicas, ejemplo tenemos la
información que brinda sobre la hoja de vida de los congresistas en el Jurado Nacional de
Elecciones, información que se utiliza muy frecuentemente para realizar labores
periodísticas, que agracias a esta redacción encuentra una restricción abusiva porque el
legislador no supo especificar bien el tipo penal.

Artículo 7. Interceptación de datos informáticos

El que, a través de las tecnologías de la información o de la comunicación, intercepta datos
informáticos en transmisiones no públicas, dirigidas a un sistema informático, originadas en
un sistema informático o efectuadas dentro del mismo, incluidas las emisiones
electromagnéticas provenientes de un sistema informático que transporte dichos datos
informáticos, será reprimido con pena privativa de libertad no menor de tres ni mayor de
seis años.

La pena privativa de libertad será no menor de cinco ni mayor de ocho años cuando el delito
recaiga sobre información clasificada como secreta, reservada o confidencial de conformidad
con las normas de la materia.

La pena privativa de libertad será no menor de ocho ni mayor de diez años cuando el delito
comprometa la defensa, la seguridad o la soberanía nacionales.

También este artículo no precisa la intención que debe tener el agente para realizar la
acción.
Por otra parte se habla de la interceptación de la información pero no se ha regulado la
divulgación de dicha información, recordemos que los más sonados casos de corrupción
en el Perú han sido resueltos con la divulgación de esta información "de interés
público"(vladi videos, petroaudios, etc).