Jornada Seguridad Informática

y Delitos Informáticos

Macarena Pereyra Rozas

www.carranzatorres.com.co
www.carranzatorres.com.ar
 Introducción

¿Qué modifica la nueva ley?, ¿qué

regula?

Criterios jurisprudenciales

Nullum crimen sine culpa – ¿Quiénes

son penalmente responsables?
 Nuevas regulaciones

Pornografía Privacidad de
Acceso a
infantil por las
sistemas o datos
medios comunicaciones
informáticos
electrónicos electrónicas

Delitos
Fraude Daño o sabotaje
vinculados a las
informático informático
bases de datos

Alteración de Documentos
pruebas electrónicos y
electrónicas firma digital
Violación de comunicación electrónica

Será reprimido con prisión de

quince días a seis meses el que
abriere o accediere indebidamente
a una comunicación
electrónica, una carta, un pliego
cerrado, un despacho telegráfico,
telefónico o de otra naturaleza,
que no le esté dirigido …
CP, artículo 153, párrafo 1º
 E-mail y correo tradicional

Lanata, Jorge, 4/3/1999

• Corresponde equiparar -a los fines de la

protección de los papeles privados y la
correspondencia prevista en los arts. 153 al 155
CPen.- al correo electrónico -e-mail- con el correo
tradicional, dado que aquél posee características
de protección de la privacidad más
acentuadas que la inveterada vía postal, en tanto
para su funcionamiento se requiere un
prestador del servicio, el nombre de usuario
y un código de acceso que impide a terceros
extraños la intromisión en los datos que a través del
mismo puedan emitirse o archivarse.
 E-mail y correo tradicional

Yelma, Martín y otros,

22/4/2003
• Es dable efectuar una equiparación jurídica entre la
correspondencia ordinaria -originariamente
protegida por la Constitución Nacional- y la actual
correspondencia llamada „electrónica‟, por lo que
resulta acertado declarar la nulidad de la
intervención de los correos electrónicos
hecha sin orden judicial.
 E-mail y correo tradicional

Juz. Nac. 1ª Inst.

Correc. Nº 9, 11/4/2007
• El indebido acceso a una cuenta de correo
electrónico, mediante la utilización de un mecanismo
tendiente a sortear la clave, y la posterior presentación
en un juicio civil de información que se encontraba
archivada en esa cuenta, no encuadra en el delito de
violación de correspondencia consignado en el
art. 153, CPen., pues lo violado no fue una
correspondencia, sino simplemente datos almacenados
en una casilla de correo.
 Monitoreo laboral del e-mail

¿Cambia algo la Ley 26.388?

… el que abriere o accediere indebidamente a una comunicación

electrónica …
¿En qué casos la apertura o acceso es indebido?

“Indebidamente”
Quien la abre no debe haber estado
La comunicación electrónica no debe autorizado a abrirla o acceder al E-mail personal y corporativo
haber estado dirigida a quien la abre
contenido
 Casos jurisprudenciales
Lodigiani c. Central
Multiservicios (CNTrab. -
31/03/2009)
• El trabajador fue despedido por
enviar e-mails con alusiones
sexistas, difamatorias y
despectivas hacia compañeros
de trabajo
• La empresa contaba con un
manual de conducta
debidamente notificado que
regulaba el uso del e-mail y
prohibía uso de lenguaje
sexista, difamatorio, etc.
• Ganó el empleador
Castello c. Price Waterhouse
(CNTrab. - 16/04/2009)
• El trabajador fue despedido por
enviar e-mails con contenido
pornográfico
• La empresa contaba con
normas internas claras sobre
uso de herramientas
informáticas y e-mail para fines
laborales, prohibiendo usarlos
para prácticas contrarias a la
moral y buenas costumbres.
Además, el empleado tenía
cargo gerencial.
• Ganó el empleador
 Se pueden auditar los e-mails

Viloria c. Aseguradora de Créditos y Garantías (CNT, 11.7.07)

El proceder de la empresa
respecto de cotejar los
registros y constancias de la
El envío de información
información que contenía el Frente a la autenticidad y
confidencial de la empresa
servidor de la empresa validez de la prueba
por correo electrónico a una
mediante una inspección colectada, en modo alguno
firma competidora a
limitada a verificar las hubiese cambiado la suerte
cambio de una recompensa
comunicaciones dirigidas de investigación el hecho de
no es compatible con la
por parte de la trabajadora que la actora hubiese estado
prosecución de la relación
a otra empresa competidora presente.
laboral.
dejó perfectamente
salvaguardada su
intimidad.
Desvirtuar Acceso indebido –
Medidas a implementar

Política de uso de herramientas informáticas.

Establecimiento claro que el correo corporativo carece

de la protección de la privacidad

Capacitación del personal en el entendimiento de la

política.

Acciones positivas en pos del cumplimiento del

reglamento

Ejecutar rutinariamente controles tendientes a

verificar el correcto uso del correo electrónico y
demás herramientas informática.
Acceso Indebido a un Sistema

Será reprimido con prisión

de quince (15) días a seis (6)
meses, si no resultare un
delito más severamente
penado, el que a sabiendas
accediere por cualquier
medio, sin la debida
autorización o excediendo la
que posea, a un sistema o
dato informático de acceso
restringido.
CP, artículo 153 bis
 Caracteres

Acceso a sistemas propios y ajenos

Sin la debida autorización

• Medidas de seguridad

Obrar a sabiendas

No exige daño concreto (borrado de datos o

inserción de virus)

Aplicación subsidiaria
Daño informático

En la misma pena incurrirá

el que alterare, destruyere o
inutilizare datos,
documentos, programas o
sistemas informáticos; o
vendiere, distribuyere,
hiciere circular o
introdujere en un sistema
informático, cualquier
programa destinado a
causar daños.
CP, artículo 183, párrafo 2º
 Figuras tipificadas

Vender, distribuir,
Alterar, destruir o hacer circular o
inutilizar datos, introducir en un
documentos, sistema
programas o informático,
sistemas cualquier programa
informáticos destinado a causar
daños
 Jurisprudencia anterior

Juzg. Nac. Crim. y Corr. Fed., n. 12,

Gornstein, Marcelo H. y otros,
20/3/2002
Hechos Fallo
• En 1998 varias personas • El juez sobreseyó a los
hackearon el sitio web de la imputados argumentando que
CSJN y reemplazaron la no es dable considerar a la
página inicial por una alusiva página web de la CSJN como
al aniversario del fallecimiento una „cosa‟ en los términos del
del periodista José Luis art. 183 del C. Pen., en tanto y
Cabezas. en cuanto no es un objeto
corpóreo ni puede ser
detectada materialmente.
 Jurisprudencia anterior

Gornstein, Marcelo H. y otros,

20/3/2002
• No es dable considerar a la página web de la
Corte Suprema, como una ‘cosa’, en los términos
en que ésta debe ser entendida. A los efectos de
lograr un claro significado jurídico de la palabra „cosa‟,
debemos remitirnos al art. 2311 CCiv. que define a ésta
como los objetos materiales susceptibles de tener un
valor. A su vez, prescribe que las disposiciones referentes
a las cosas son aplicables a la energía y a las fuerzas
naturales susceptibles de apropiación. Ahora bien una
página Web no puede asimilarse al significado de „cosa‟.
Ello así, en tanto y en cuanto por su naturaleza no es un
objeto corpóreo, ni puede ser detectado materialmente.
 Casos jurisprudenciales Actuales

Ataque sistema informático institución

médica

Hechos

• Una empresa de sistemas presta servicios de outsorcing a una

institución medica.
• Un empleado de la empresa de sistemas altera el código fuente del
sistema y ocasiona alteraciones en historias clínicas y resultados de
laboratorios.

Estado del proceso

• El juez proceso penalmente al empleado.

• Hay que preguntarse qué responsabilidad penal podría
corresponder al director de la empresa y al gerente de sistemas de
la institución médica, dado que son los garantes de la integridad
de las bases de datos personales.
 Casos jurisprudenciales Actuales

R.R y otros s/ nulidad - sobreseimiento

Hechos

• Dos empleados de una empresa solicitan al área de sistemas un back de la

pc que cada uno utilizaba y que había sido provista por el empleador.
• Al poco tiempo comienzan a ofrecer trabajo a los empleados de la empresa.
• Se revisa el back up y se descubre el desvío de proyectos a otra empresa.

Estado del proceso

• El juez sobreseyó a los imputados y declaro la nulidad de las pruebas por

considerar que se produjo una violación al derecho a la intimidad de los
trabajadores que no habían prestado el consentimiento para el acceso a sus
archivos.
• La existencia de un password garantiza privacidad
• No se le brindaron al empleado parámetros claro sobre el uso de las
herramientas de la empresa.
 Medidas a implementar

Cumplir con la LPDP y las disposiciones de la DNPDP

Implementar una política de tratamiento de datos personales

Registrar todas las bases de datos de la empresa

Capacitación de los administradores de las bases de datos

Adopción de medidas de seguridad técnicas y organizativas

Implementar procesos de identificación y autenticación de usuarios

Medidas a implementar

Diseñar una política de seguridad de la información de

la empresa

Implementar medidas de seguridad de acceso a los

sistemas informáticos propios (claves, passwords, etc.)

Establecer niveles de seguridad

Capacitar a los CIOs o encargados de sistemas

Auditar sistemas informáticos a fin de detectar

posibles vulnerabilidades

Adecuar el reglamento de uso de herramientas

informáticas
 ¡Muchas gracias!

MACARENA PEREYRA ROZAS

macarenap@carranzatorres.com.ar