PENAL ESPECIAL II - UNIVERSIDAD PONTIFICIA BOLIVARIANA

Por: Alis Dakira Peralta Monterroza – Loraine Portillo Jiménez

ANALISIS DOGMATICO – LEY 1273 DEL 2009

TITULO VII BIS - DE LA PROTECCION DE LA INFORMACIÓN Y DE LOS DATOS.

CAPÍTULO I

De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los

sistemas informáticos.

Los delitos informáticos están constituidos por toda acción, típica, antijurídica y culpable, que se
da por vías informáticas o que tiene como objetivo destruir y dañar ordenadores, medios
electrónicos, obtener ilegalmente información personal contenida en datos, y redes de Internet así
como, el empleo de tales herramientas informáticas o de telecomunicaciones para sacar provecho
para sí o para terceras personas en detrimento de los bienes de otros.

La ley 1273 del 2009, tiene como objeto proteger el bien jurídico concerniente a la
información y a los datos. En los artículos del capítulo I referente a las conductas que
atentan contra la confidencialidad, disponibilidad e integridad de los datos y de los sistemas
informáticos, se puede evidenciar los sujetos involucrados en la comisión de un delito,
determinando al sujeto pasivo y al sujeto activo como indeterminado singular, es decir; la
persona que participa en el hecho objeto de delito;

- 269A El que sin autorización…

- 269B El que, sin estar facultado…

- 269C El que, sin orden judicial…

- 269D El que, sin estar facultado…

- 269E El que, sin estar facultado…

- 269F El que, sin estar facultado…

- 269G El que con objeto ilícito y sin estar facultado…

En cada uno de los artículos mencionados, el legislador inicia con la expresión “el que”,
con esto quiere decir que no exige ninguna condición, requisito, o exigencia para
determinar al sujeto que cometa la acción.

De igual manera, en cuanto al sujeto pasivo, quien es el individuo que sufre la consecuencia
del acto delictivo y quien posee la titularidad del bien jurídico tutelado, que en este caso, se
puede indicar que de igual manera está consagrado como indeterminado ya que no hace, ni
exige ninguna condición, o requisito, con la salvedad que puede ser persona natural,
jurídica e incluso el Estado.

Articulo 269 A. Acceso abusivo a un sistema informático: El que, sin autorización o por
fuera de lo acordado, acceda en todo o en parte a un sistema informático protegido o no con
una medida de seguridad, o se mantenga dentro del mismo en contra de la voluntad de
quien tenga el legítimo derecho a excluirlo, incurrirá en pena de prisión de 48 a 96 meses y
en multa de 100 a 1.000 SMLMV.

- Sujeto activo: Monosubjetivo y común indeterminado.

- Sujeto pasivo: Indeterminado singular - Persona natural o jurídica titular del sistema
informático.
- Es un tipo penal de mera conducta hace referencia al desvalor de la conducta sin
exigir resultado fáctico, de conducta instantánea pues se agota al momento se
cometer la acción.
- Verbos rectores: Acceder – Mantener.
- Objeto sobre el cual recae la acción: inmaterial determinable
- Admite concurso con los delitos de daño informático, uso de software malicioso,
obstaculización ilegitima de sistema informático o red de telecomunicaciones.
- El delito de acceso abusivo a un sistema informático pertenece al primer grupo de
conductas delictivas y atenta a la confidencialidad de la información (el secreto o
sigilo de la información) puesto que las actividades dolosas, ya que no admite
formas culposas, van dirigidas al acceso ilegal o ilegítimo de los datos, la
información o un sistema informático, en una primera acción instantánea o bien,
mantenerse dentro de un sistema informático contra la voluntad de su legítimo
usuario del sistema o titular de los datos.
Articulo 269 B. Obstaculización ilegitima de sistema informático o red de
telecomunicaciones: El que, sin estar facultado para ello, impida u obstaculice el
funcionamiento o el acceso normal a un sistema informático, a los datos informáticos allí
contenidos, o a una red de telecomunicaciones, incurrirá en pena de prisión de 48 a 96
meses y en multa de 100 a 1.000 SMLMV siempre que la conducta no constituya otro
delito sancionado con pena mayor.

- Sujeto activo: Indeterminado singular

- Sujeto pasivo: Persona natural o jurídica
- Tipo penal de mera conducta pues es una conducta que si bien con su accionar no
requiere un resultado factico, y de modalidad permanente debido a que se ocasiona
lesión a bien jurídico producido en un momento y que se prolonga en el tiempo.
- Este tipo penal puede llevar a concurso de delitos pues además de obstaculizar, el
agente puede borrar y destruir el objeto material (art 269 D).
- Verbos rectores: impedir, obstaculizar.
- La conducta no solo afecta a la confidencialidad de la información, puesto que las
acciones comisivas también incluyen el acceso a la información que se encuentre
recolectada o almacenada en una base de datos o sistema informático, sino también
a la disponibilidad de la misma, porque las acciones cometidas por el agente se
extienden hasta impedir u obstaculizar el uso, manejo, fluidez o transmisión de los
datos personales o informaciones, lo cual impide el ejercicio normal de los derechos
que le asiste al titular de la información, tales como el derecho a la intimidad, el de
información misma, el buen nombre.

Articulo 269 C. Interceptación de datos informáticos: El que, sin orden judicial previa
intercepte datos informáticos en su origen, destino o en el interior de un sistema
informático, o las emisiones electromagnéticas provenientes de un sistema informático que
los transporte incurrirá en pena de prisión de 36 a 72 meses.

La interceptación de datos informáticos, atenta contra el derecho fundamental de la

intimidad; que dentro del artículo, el objeto material, encasilla los distintos medios que se
utilizan para la “transmisión de datos” dentro de una red informática; proceso físico que al
generar comunicación entre un emisor y receptor, da como consecuencia la utilización de
un canal de comunicación, que a su vez genera la posibilidad de interceptar la
comunicación de dicho canal.

- Sujeto activo: Indeterminado singular

- Sujeto pasivo: Persona natural o jurídica
- Tipo de mera conducta: Se agota con la actividad sin necesitar de un resultado, al
tipo penal en cuestión le es necesario la acción de interceptar para cumplirse el tipo
penal, sin descartar el concurso por acciones que se deriven del tipo penal.
- Verbo rector simple: Interceptar
- Se podría constituir un concurso de delitos de interceptación de datos informáticos y
de daño informático, si el atacante después de obtener acceso a datos confidenciales,
afectando directamente la confidencialidad; puede con los datos interceptados,
tomar la decisión de dañar, destruir información importante para el sujeto pasivo,
sobre el cual recae la acción; configurándose la conducta descrita en el artículo
269D.
- Con esta conducta punible se afectan los tres estadios de la información: su
confidencialidad, la integridad y la disponibilidad que son precisamente el núcleo
esencial del bien jurídico tutelado de la Información y los datos personales. Sobre la
confidencialidad, el secreto o sigilo de la información; así como de la disponibilidad
de la información, caracterizada por la restricción de la libre circulación de la
misma y la integridad de la información que está íntimamente relacionada con el
principio de veracidad o calidad de los registros o datos.

Articulo 269 D. Daño Informático:  El que, sin estar facultado para ello, destruya, dañe,
borre, deteriore, altere o suprima datos informáticos, o un sistema de tratamiento de
información o sus partes o componentes lógicos, incurrirá en pena de prisión de 48 a 96
meses y en multa de 100 a 1.000 SMLMV.

- Sujeto activo: Indeterminado singular

- Sujeto pasivo: Persona natural o jurídica
- Tipo penal de resultado: Para que conducta se adecue al tipo se requiere que haya
resultado. Se describe acción a la cual le sigue un resultado factico . Es de conducta
 instantánea pues se agota en el momento en que se realiza la acción, y pluri-
ofensivo.
- Verbos rectores: Destruir, dañar, borrar, deteriorar, alterar, suprimir (eliminar).
- El objeto material recae sobre distintos tópicos, debido a que la información se
puede almacenar en diferentes dispositivos, dependiendo del uso que se le dé: sobre
lectura o grabación, dispositivos con función de almacenar de manera lógica y
físicamente, como lo son los dispositivos magnéticos como un disco duro externo o
interno, los dispositivos ópticos como la unidad de CD con sus distintas
especificaciones para grabar o regrabar información o la unidad de DVD.
- La conducta delictiva por los verbos utilizados para su estructuración, afecta a la
integridad y la disponibilidad de la información. Vale decir, afecta la esencia misma
de la información, el contenido de la misma, su validez, certeza, eficacia, calidad de
la información. Respecto de la disponibilidad de la información, la conducta evita
que la información y los datos se puedan transmitir, comunicar o circular en forma
incompleta, errónea, confusa, inválida, ineficaz, desactualizada o sea falsa.

Artículo 269 E. Uso de software malicioso:  El que, sin estar facultado para ello,
produzca, trafique, adquiera, distribuya, venda, envíe, introduzca o extraiga del territorio
nacional software malicioso u otros programas de computación de efectos dañinos,
incurrirá en pena de prisión de 48 a 96 meses y en multa de 100 a 1.000 SMLMV.

- Sujeto activo: Indeterminado singular

- Sujeto pasivo: persona natural o jurídica
- Tipo de resultado: se requiere que produzca un resultado con el accionar, tipo de
conducta instantánea pues se agota al mismo tiempo que se comete la acción.
- Verbos rectores: Producir, traficar, adquirir, distribuir, vender, enviar, introducir,
extraer.
- Objeto material: Software; se puede clasificar en tres.
Software de sistema: permite explotar los beneficios de un equipo físico
Software de programación: orientados con el fin de crear nuevas herramientas
informáticas.
Software de aplicación: diseñado para cumplir una tarea específica.
 - La conducta punible afecta la integridad o esencia misma de la información,
haciendo referencia a su contenido y a su vez afecta la transmisión, comunicación o
circulación de la información por las vías y canales informáticos o telemáticos.

Articulo 269F. Violación de datos personales: El que, sin estar facultado para ello, con
provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie,
envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos
personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá
en pena de prisión de 48 a 96 meses y en multa de 100 a 1.000 SMLMV.

- Sujeto activo: Indeterminado singular

- Sujeto pasivo: persona natural o jurídica.
- Tipo de resultado, de conducta instantánea, tipo de lesión y tipo pluri-ofensivo.
- Verbos rectores: Obtener, compilar (reunir), sustraer, ofrecer, vender, intercambiar,
evitar, comprar, interceptar, divulgar, modificar.
- Esta conducta penal afecta los tres aspectos objeto de protección del Título VII Bis,
por cuanto se prevé el acceso, almacenamiento, transmisión, interceptación y
divulgación de los datos personales, bases de datos y sistemas informáticos y de
tratamiento de datos. En estas circunstancias, la confidencialidad, integridad y
disponibilidad de la información se ve afectada por cualquiera de estas acciones que
realice el agente en forma sucesiva o alternativa.

Articulo 269G. Suplantación de sitios web para capturar datos personales: El que con
objeto ilícito y sin estar facultado para ello, diseñe, desarrolle, trafique, venda, ejecute,
programe o envíe páginas electrónicas, enlaces o ventanas emergentes, incurrirá en pena de
prisión de 48 a 96 meses y en multa de 100 a 1.000 SMLMV, siempre que la conducta no
constituya delito sancionado con pena más grave.

En la misma sanción incurrirá el que modifique el sistema de resolución de nombres de

dominio, de tal manera que haga entrar al usuario a una IP diferente en la creencia de que
acceda a su banco o a otro sitio personal o de confianza, siempre que la conducta no
constituya delito sancionado con pena más grave.
La pena señalada en los dos incisos anteriores se agravará de una tercera parte a la mitad,
si para consumarlo el agente ha reclutado víctimas en la cadena del delito.

- Sujeto activo: Indeterminado singular

- Sujeto pasivo: persona natural o jurídica
- Tipo penal de resultado: requiere que con su accionar ocasione un resultado factico,
tipo de peligro pues generan una amenaza concreta al titular del derecho, tipo de
conducta instantánea: pues la acción se agota en un solo momento.
- Verbos rectores: diseñar, desarrollar, traficar, vender, ejecutar, programar, enviar.
- Objeto material: página- sitio web
- La conducta de suplantación de sitios de web para capturar datos personales, afecta
los tres aspectos objeto de protección del Código Penal en el título VII bis
(confidencialidad-disponibilidad-integridad), puesto que abarca todo el ciclo
informático desde la recolección, almacenamiento, registro, transmisión o flujo de
datos personales, y por lo tanto, se pretende prevenir el acceso, la revelación, la
comercialización y la transmisión de los datos que le conciernen a la persona. La
conducta es sui géneris, porque trasplanta el fenómeno tecnológico tal y como
sucede en la vida diaria para convertirlo en conducta punible y no las acciones
humanas que vayan encaminadas a salvaguardar el bien jurídico contemplado en
este título: la información y los datos personales.
- Es importante mencionar que este artículo tipifica lo que comúnmente se denomina
“phishing”, modalidad de estafa que usualmente utiliza como medio el correo
electrónico pero que cada vez con más frecuencia utilizan otros medios de
propagación como por ejemplo la mensajería instantánea o las redes sociales. 

Articulo 269H. Circunstancias de agravación punitiva:

Conforman un punto crucial dentro de la determinación del operador judicial para de

esta manera emitir una sentencia mucho más ajustada y acorde a la realidad fáctica de
los hechos. En la ley 1273 del año 2009, el artículo 269H establece un aumento de la
mitad a las tres cuartas partes, de las penas imponibles, si las conductas se cometieren:
1. Sobre redes o sistemas informáticos o de comunicaciones estatales u oficiales o del
sector financiero, nacionales o extranjeros.
Con lo que se puede indicar que el Estado siendo titular del objeto sobre el que
recae la acción puede actuar dentro de este conjunto de tipos penales como sujeto
pasivo de la acción penal.
2. Por servidor público en ejercicio de sus funciones.
Atendiendo a que un empleado del Estado, a su vez, puede actuar como sujeto
activo de la acción penal y lo que agravaría su conducta porque atenta contra la
imagen del Estado frente a la sociedad.
3. Aprovechando la confianza depositada por el poseedor de la información o por
quien tuviere un vínculo contractual con este.
En esta circunstancia se desprenden dos ítems:
- La seguridad puesta por parte del sujeto pasivo de la acción al sujeto activo.
Dentro de un negocio jurídico, degradando el vínculo que se lleva a cabo dentro del
mismo, lo que obliga tanto a empresas como a personas naturales a prestar especial
atención al tratamiento de equipos informáticos así como al tratamiento de los datos
personales.

4. Revelando o dando a conocer el contenido de la información en perjuicio de otro.

- Siempre que no constituya otro tipo penal con pena más grave, se entiende por
publicar la información afectando al titular del objeto o a un tercero.

5. Obteniendo provecho para sí o para un tercero.

- A diferencia del numeral anterior, la conducta se agrava si utilizando la información,

el agente consigue un beneficio o para otra persona.

6. Con fines terroristas o generando riesgo para la seguridad o defensa nacional.

- Si a partir de la información obtenida pueda atentar en contra de la población

colocándolos en posición de grave peligro.

7. Utilizando como instrumento a un tercero de buena fe.

 - Si bien las conductas punibles no admiten modalidad culposa, el agente agrava su
conducta si toma de instrumento a un tercero que no tiene conocimiento sobre las
intenciones del sujeto activo y colabora con la ejecución de la acción penal.

8. Si quien incurre en estas conductas es el responsable de la administración, manejo o

control de dicha información, además se le impondrá hasta por tres años, la pena de
inhabilitación para el ejercicio de profesión relacionada con sistemas de información
procesada con equipos computacionales.

- Entendiéndose esta circunstancia de agravación punitiva por quien, en provecho de las

actividades propias de su función, se excede en su accionar para realizar la conducta
punible.

Adicionándose, la inhabilidad en relación con su profesión se aplica siempre que

siempre que la infracción se cometa con abuso del ejercicio de su actividad tenga
relación de causalidad entre el delito y la profesión o contravenga las obligaciones que
de su ejercicio se deriven.

Referencias
Clasificacion de tipos penales. (s.f.). Obtenido de
https://derechopublicomd.blogspot.com/2011/10/la-clasificacion-de-los-tipos-penales.html
Codigo Penal. (2019). Bogota: Legis.
Colombia, C. d. (2009). Ley 1273.
Gil Osorio, J. F. (2005). REFLEXIONES ENTORNO A LA EVOLUCION DEL DELITO
INFORMATICO EN LA LEGISLACION PENAL COLOMBIANA. Medellin: Universidad de
Antioquia.
Gomez, L. R. (2012). Los delitos contra los datos personales y el habeas data. Obtenido de
file:///C:/Users/ACER/Downloads/4868-Texto%20del%20art%C3%ADculo-10933-1-10-
20160707.pdf