Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CIBERCRIMEN II
NUEVAS CONDUCTAS PENALES Y CONTRAVENCIONALES.
INTELIGENCIA ARTIFICIAL APLICADA AL DERECHO PENAL
Y PROCESAL PENAL. NOVEDOSOS MEDIOS PROBATORIOS
PARA RECOLECTAR EVIDENCIA DIGITAL. COOPERACIÓN
INTERNACIONAL Y VICTIMOLOGÍA
Director
Daniela Dupuy
Coordinadora
Mariana Kiefer
ISBN: 9789974745643
Editorial: Editorial B de f
2018
Buenos Aires. Argentina
2
INDICE
Presentación
La estafa informática. Fenomenología y Respuesta Jurídica
El delito de acceso ilegítimo a un sistema informático
Reflexiones sobre el proyecto legislativo tendiente a castigar la
difusión no consentida de imágenes de desnudez o videos de
contenido sexual
La “pornovenganza” en el Derecho Penal Argentino
Calumnias e injurias on line
Reforma Fiscal. Gravamen que recae sobre las monedas virtuales en
función de la reforma introducida por la ley 27.430. Consecuencias
en materia penal tributaria y lavado de dinero
Reventa de entradas por internet para espectáculos masivos de
carácter artístico o deportivo en el Código Contravencional de la
Ciudad Autónoma de Buenos Aires: ¿Conducta neutral de los
hosting o participación en el ilícito contravencional?
Allanamiento remoto ¿Un cambio de paradigma en el registro y
secuestro de datos informáticos?
El uso de drones sobre domicilios en la investigación penal
Los registros domiciliarios con análisis de dispositivos de
almacenamiento de datos en el lugar
Delitos informáticos y cibercrimen. Técnicas y tendencias de
investigación penal y su afectación a los Derechos Constitucionales
Material de explotación sexual infantil y la importancia de las
investigaciones en redes
Inteligencia artificial al servicio de la justicia penal, contravencional
y de faltas. “Prometea” en el ámbito de la Ciudad de Buenos Aires
Inteligencia artificial aplicada al Derecho Penal y Procesal Penal
La cadena de custodia en la evidencia digital
Los próximos paradigmas de las pruebas digitales
3
La evolución de la investigación de los ciberdelitos
Protocolos de preservación de evidencia digital y cuestiones forenses
Cloud Act. La nueva ley y su impacto en investigaciones en entornos
digitales
Desafíos del cibercrimen para el Derecho Internacional
Victimización sexual de menores a través de las TIC
La responsabilidad penal de las personas jurídicas en Argentina y el
"Ciberconvenio" de Budapest
Prevención de las víctimas menores de edad en delitos informáticos
4
Presentación
Prólogo -
5
La publicación del segundo volumen se da en un momento histórico
“especial”. Nuestro país, como otros países de la región, parecen haber
iniciado un camino para afrontar los desafíos que plantea la informática al
sistema penal con nuevas herramientas. La discusión de nuevos tipos
penales, la regulación procesal de medios de prueba que atiendan a las
características distintivas de la evidencia digital, cambios
jurisprudenciales que redefinan las garantías procesales atendiendo a las
características del entorno digital, la innovación en las técnicas de
investigación, la creación de fiscalías especializadas, la incorporación de
esta problemática en los programas de estudio tanto de los operadores del
sistema penal como de las facultades de derecho, son una muestra de este
proceso, iniciado un poco tardíamente y que entiendo resulta fundamental
para el futuro de nuestros sistemas penales. Esta obra colectiva que
prologo está llamada a ser una herramienta importante en este proceso.
Marcos Salt
Introducción -
7
Este representa un avance fundamental para la lucha coordinada contra
este tipo de delincuencia. Si bien durante la última década nuestro país ha
trabajado sobre los desafíos que presentan los delitos acaecidos en el
ciberespacio o aquellos que se sirven de medios tecnológicos para su
comisión de acuerdo a las previsiones del Convenio de Budapest –dando
origen a la ley 26.388, que modificó y amplió el catálogo de delitos
existentes en el Código Penal de la Nación–, cierto es que dicha
modificación no fue omnicomprensiva. Surgieron, en los últimos años,
nuevas conductas consideradas disvaliosas –como por ejemplo la figura
de grooming– y otras cuya tipificación aún está siendo debatida –como la
pornovenganza o suplantación de identidad–. Asimismo, la evolución de
la tecnología ha dado origen a nuevas herramientas que son utilizadas con
fines ilícitos, como así también a otras que resultan útiles para la
investigación de los llamados “delitos informáticos” o para la recolección
de evidencia digital.
Por todo ello, agradecemos a los destacados y prestigiosos autores que han
participado de esta nueva edición, permitiendo que la profundización de
esta problemática genere un debate constante.
Notas -
La estafa informática
9
como una de las grandes preocupaciones tanto a nivel nacional como
internacional2. De ahí que la comprensión de su fenomenología y la
determinación de su alcance y prevalencia haya sido y sea una prioridad3.
Sin embargo, en la búsqueda de dicha comprensión ha sido habitual
asumir como verdaderos algunos presupuestos relativos a la delincuencia
que no lo son o que, cuanto menos, tienen tantísimos matices que debieran
ser revisados. En especial, cuando en muchas ocasiones los conocimientos
sobre este tipo de realidades delictuales responden a la “ilusión del
iceberg”, de acuerdo con la cual lo que se percibe o visualiza es tan sólo
un porcentaje ínfimo en comparación con lo que realmente existe4. Esta
idea ya la puso de manifiesto el profesor Marcus Felson en su obra Crime
and Everyday Life5, en la que dedica una de sus partes a las falacias sobre
el crimen, que ha ido modificando y completando a lo largo de varias
obras6 y que se analizaron en otro lugar respecto del cibercrimen7. Si bien
se analizaron con profundidad ocho de ellas, como la falacia de la
“aleatoriedad”8, o la falacia del “hacker inadaptado”9, las que más nos
interesa traer a colación en este trabajo, por su directa incidencia en el
ciberfraude, son la falacia del nombre y la falacia del “no es para tanto”.
Respecto de la primera, la falacia del nombre es aquella que sostiene el
ciberfraude como sinónimo de delincuencia altamente tecnificada,
sofisticada y compleja, tanto en su ejecución como en su prevención, y a
su vez identifica ciberfraude con un único tipo de evento. La razón de esta
confusión es que se ha tendido a relacionar la cibercriminalidad con la
informática, con el uso de las TIC, y se ha dado por hecho que tales
técnicas e instrumentos son complejos y no fácilmente accesibles. Sin
embargo, se olvida que también son TIC el smartphone o la tablet y que,
por ello, puede cometerse un cibercrimen mandando un correo
electrónico. Pero, en todo caso, lo realmente falaz es creer que bajo el
concepto de ciberfraude hay un único evento. En realidad, el ciberfraude
no es un evento aislado y definido exclusivamente por un traspaso
patrimonial de la víctima al delincuente de forma ilegítima, sino que se
debe entender como un proceso de conductas fuertemente conectadas,
como un fenómeno multidimensional y polifacético. Y en el caso de este
tipo de cibercrimen, la realidad es que hay una pluralidad de tipos,
modalidades y técnicas de las cuales algunas requerirán de amplios
conocimientos de informática, como, por ejemplo, aquellos ciberfraudes
que se valen de la ingeniería social o del empleo de subterfugios para
encontrar las vulnerabilidades del sistema informático de la víctima, frente
a otros en los que no se requerirán dichos conocimientos, como en el caso
de los ciberfraudes burdos tipo romance scam.
10
Por otro lado, hasta hace bien poco, y todavía hoy en algunos sectores, se
ha entendido que el problema de la cibercriminalidad se ha
sobredimensionado tanto cuantitativa como cualitativamente. Es decir, se
apela a que, aunque haya ciberdelitos, estos no son tantos como se cree, y
que, aun produciéndose no tienen los mismos efectos en términos de
gravedad en comparación con los delitos que ocurren en el espacio físico.
Estas premisas constituyen, grosso modo, la falacia del “no es para tanto”,
también presente en algunas explicaciones fenomenológicas del
ciberfraude10. No obstante, se ha de poner en tela de juicio ambas
afirmaciones ante la falta de estadísticas oficiales que den cuenta de la
dimensión real del fenómeno, o bien, para el caso de que existan
estadísticas disponibles, ante la omisión del extremo de que estas no son
más que la parte del iceberg que sobresale del agua. Efectivamente, en
muchas ocasiones no se tiene en cuenta la cifra negra y, si es así en
general, hay motivos para creer que, en el caso del crimen en el
ciberespacio, y en particular en el ciberfraude, el porcentaje de delitos no
denunciados puede ser aún mayor. En muchas ocasiones, la conducta
criminal pasa directamente inadvertida, de modo que no es denunciada,
aunque haya sido consumada y se hayan logrado los efectos criminales
con la misma11. En otros casos, lo que sucede es que la víctima sí se
apercibe del ataque, pero lo hace tarde, cuando el mismo ha prescrito o
cuando ya valora absurdo presentar denuncia12, dado que habrá pocas
posibilidades de que la policía llegue a identificar, detener y procesar a los
delincuentes13. Asimismo, es perfectamente posible que la víctima, que
sí perciba el ataque, ni siquiera valore el mismo como delictivo y
denunciable. Por último, y en particular en relación con las empresas que
sufren ciberfraudes, y más en concreto las entidades bancarias14, se puede
considerar determinante para la cifra negra el hecho de que para las
grandes empresas e instituciones públicas resulta tan ventajoso el uso de
los sistemas informáticos que prefieren negar la cibercriminalidad que las
afecta y, con ello, evitar la desconfianza de los clientes antes que
reconocerla15. A todo esto, hay que sumar, además, que en muchas
ocasiones, cuando se denuncian efectivamente este tipo de cibercrímenes,
son las propias características del ciberespacio, en especial su carácter
transnacional, las que dificultan sobremanera la investigación e
identificación de los autores, por lo que terminan con el archivo de las
actuaciones o la absolución por falta de determinación de la autoría16.
Hace más de treinta años, el mundo del análisis y la prevención del crimen
empezó a ampliar su glosario de términos incluyendo todas aquellas
realidades delictivas que, en mayor o en menor medida, asociaban
criminalidad e informática17, y con esta unión la consideración del fraude
como el “Moby Dick” de la ciberdelincuencia económica debido a su
carácter más prevalente y extendido. Tal y como se dijo en un trabajo
anterior, aunque hoy no puede ni debe identificarse completamente la
cibercriminalidad con una delincuencia patrimonial o económica, une a
todas las épocas analizadas de evolución de la delincuencia relacionada
con las TIC el protagonismo absoluto, en términos de prevalencia, del
fraude, no tanto en cuanto a delito consumado pero sí en lo relativo a la
finalidad última de las infracciones18. Por lo tanto, debemos incluir al
ciberfraude dentro del conjunto de ciberdelitos económicos,
entendiéndose como los distintos comportamientos criminales llevados a
cabo a través del ciberespacio, con la finalidad de obtener un beneficio
patrimonial directo, como en el fraude en compra, o indirecto, como el
uso de spam o la infección por malware, entre otros19. Así, con la célebre
metáfora de “vino viejo en botellas nuevas” (“old wine, new bottles”) se
explica cómo esta macro categoría delictual que constituye el fraude
económico ha encontrado en el ciberespacio un ámbito de oportunidad
criminal. En realidad, se trata de conductas que coinciden en lo esencial
con los fraudes tradicionales, pero que se diferencian en que no requieren
de un traslado físico, sino de una comunicación posible en Internet. Dicho
12
de otro modo, estas conductas constituyen nuevas formas de realización
de infracciones tradicionales en las que la red es el nuevo medio a través
del cual se comete una infracción que utilizaba anteriormente otros medios
para llevarse a cabo. Sin embargo, los especiales caracteres de este nuevo
ámbito de realización criminal que es el cibersepacio confieren a la
conducta una singularidad tal, que la hacen aparecer prácticamente como
una conducta nueva, hasta el punto de que lo que en el espacio físico podía
apenas tener relevancia dañina, puede adquirirla significativamente en el
ciberespacio.
13
Uno de los más comunes, y que se ha mantenido en el tiempo, es el
ciberfraude denominado auction fraud, o fraude en las subastas, y que
consiste básicamente en la tergiversación de un producto o su no entrega
conforme a lo pactado en los sistemas de subasta online tipo eBay27. En
general, la actividad relacionada con las subastas en Internet comprende
una serie de acciones que requieren de la participación de los usuarios: se
exige el registro de una cuenta, la búsqueda de productos, la puja, ganar
la misma, la transacción, y finalmente informar sobre la reputación de los
vendedores28. Cada una de estas acciones puede ser objeto de fraude. De
hecho, Chua y Wareham29 han tratado de pormenorizar y categorizar las
distintas formas de fraude de subastas refiriéndose a las siguientes
modalidades: shilling (los vendedores participan en la puja subastando sus
propios artículos, intentado subir el precio de la puja compitiendo con
otros compradores, quienes deben pujar con cantidades más altas para
adquirir los productos); bid shielding (dos personas se confabulan para
pujar en la misma subasta, una de ellas realiza pujas bajas mientras que la
otra hace pujas muy altas para disuadir a otros compradores. Después, el
comprador que ha ganado la puja renuncia al artículo, por lo que la otra
persona puede adquirir el producto); tergiversación (los vendedores
proporcionan descripciones falsas de sus productos); ampliar la factura
(los vendedores ocultan costes extras, como gastos post-subasta por
preparación del artículo); envío suspendido (los vendedores no envían los
artículos adquiridos por los compradores); pago suspendido (los
compradores no pagan después de adquirir un producto); reproducción y
falsificación (los vendedores envían productos de imitación de otros
auténticos); triangulación/custodia (los vendedores venden productos
robados); comprar y cambiar (los compradores reciben los productos, sin
embargo, rechazan la transacción y devuelven a los vendedores otros
productos similares o de inferior calidad); reclamación por pérdida o
daños (los compradores reclaman falsos daños en los productos y piden el
reembolso al vendedor); autosubasta (los vendedores organizan falsas
subastas con la intención de obtener nombres de compradores e
información de tarjetas de crédito).
2.3. El phishing
19
contribuyen a la armonización en la criminalización de varios delitos
contra los sistemas de información, incluyendo la ilegalización de la
utilización de botnets, denegación de servicios, interceptación de datos,
entre otros, y supone, junto con la anterior decisión, el marco jurídico
común para todos los Estados miembros de la Unión Europea en este
ámbito.
24
penales, son estos sujetos los que finalmente acaban respondiendo del
delito como colaboradores y partícipes78.
Ilustración 1. Ilustración 2
25
dolo si se entiende como conocimiento y voluntad del hecho típico.
Finalmente, también se presenta como compleja la determinación de su
forma de intervención, puesto que en toda la dinámica del phishing, a
pesar de ser muchos los integrantes del delito, lo habitual es que el mulero
sea el único al que se le haya podido imputar efectivamente un delito, y
no sabiendo con exactitud la intervención de los demás, habrá que atribuir
una forma concreta de intervención en el injusto. Respecto de la
calificación jurídica, la doctrina ha esbozado soluciones que van más allá
de la consideración de la conducta como estafa común o informática. En
este sentido, hay autores que han argumentado que la conducta encaja con
el delito de receptación, ya que el mulero ayuda a los responsables a
aprovecharse de los efectos del mismo80. Sin embargo, el delito de
receptación del art. 298.1 Código Penal reza lo siguiente: “El que, con
ánimo de lucro y con conocimiento de la comisión de un delito contra el
patrimonio o el orden socioeconómico, en el que no haya intervenido ni
como autor ni como cómplice, ayude a los responsables a aprovecharse de
los efectos del mismo, o reciba, adquiera u oculte tales efectos, será
castigado con la pena de prisión de seis meses a dos años”. El tipo exige
expresamente, como elemento típico, el conocimiento de la comisión de
un delito, y si este elemento consigue probarse, el mulero, en realidad,
devendría en cómplice y el delito de receptación no sería aplicable. Otra
opción es la calificación jurídica de blanqueo de capitales, y es esta, en su
modalidad imprudente, la que se ha seguido por algunas Audiencias
Provinciales81 sobre la base de la tesis de la ignorancia deliberada, al
entender que no es verosímil para ningún sujeto que alguien reparta
beneficios lícitos de una forma tan poco convencional. Sin embargo, a
pesar de que algunas Audiencias Provinciales hayan empleado el tipo del
blanqueo de capitales para calificar jurídicamente la conducta del
mulero82, lo cierto es que esta tesis no es viable. El art. 301.1, como tipo
básico del blanqueo de capitales, establece lo siguiente: “El que adquiera,
posea, utilice, convierta, o transmita bienes, sabiendo que éstos tienen su
origen en una actividad delictiva, cometida por él o por cualquiera tercera
persona, o realice cualquier otro acto para ocultar o encubrir su origen
ilícito, o para ayudar a la persona que haya participado en la infracción o
infracciones o eludir las consecuencias legales de sus actos, será castigado
con la pena de prisión de seis meses a seis años y multa del tanto al triplo
del valor de los bienes”. No obstante, la conducta del mulero no puede
encuadrarse dentro del blanqueo de capitales, esencialmente porque aquel
no actúa “para ocultar o encubrir el origen ilícito del dinero ‘ni’ para
ayudar a la persona que haya participado en la infracción a eludir las
consecuencias legales de sus actos”, sino para favorecer la comisión del
26
delito que, sin su intervención, no puede llevarse a cabo83. Más aún
cuando entendemos que en el blanqueo de capitales el objeto material de
la acción de encubrir o enmascarar son los bienes que tienen su origen en
el delito antecedente, mientras que en el caso del mulero es el dinero el
propio objeto material del delito en el que está colaborando. Por estos
motivos, la calificación más usual de este comportamiento por los
tribunales españoles es la estafa informática, si bien el problema es,
entonces, la determinación de la intervención delictiva. El primer
precedente lo encontramos en la Sentencia de la Audiencia Provincial de
Vizcaya nº 255/2006 de 9 de mayo de 2006, que condenó como autor de
estafa informática a quien abrió en su nombre cuatro cuentas bancarias
diferentes desde las que tenía que transferir el dinero que recibía fruto del
phishing. La anterior premisa la tuvo en cuenta el Tribunal Supremo en la
sentencia que venía a resolver un recurso contra la Sentencia de la
Audiencia Provincial de Madrid nº 533/2007, que enjuició una conducta
prototípica de phishing84, y en la que los autores fueron acusados como
cooperadores necesarios del delito continuado de estafa informática,
viniendo el Tribunal Supremo a confirmar la sentencia recurrida en todos
sus extremos85. En este sentido, el alto Tribunal asienta y soluciona en
cierta medida los problemas dogmáticos de estos supuestos, al considerar
que los muleros del phishing pueden reputarse como cooperadores
necesarios dolosos de una estafa informática. De acuerdo con la teoría de
la integración86, el mulero se integra, se suma, a un proyecto delictivo, a
un injusto que era de otro y que, con sus actos, pasa a ser también propio.
Es decir, el mulero recibe importantes ingresos y los transfiere por los
medios que le han ordenado, realiza un comportamiento cuyo único
sentido social es, a todas luces, hacer posible a otros sujetos, determinados
o indeterminados judicialmente, la consumación final del delito. Por tanto,
estamos ante una participación delictiva que responde a la figura de la
cooperación necesaria, porque como apuntábamos al inicio de este
apartado, la intervención del mulero es prácticamente insustituible, es
decir, sólo la puede realizar él como forma de lograr con éxito el perjuicio
patrimonial por medio de la estafa informática, ya que, si bien con la
transferencia patrimonial ya se entiende producido el perjuicio, no ocurre
así con el éxito del ataque para el cibercriminal que lo protagoniza y que
lo obliga a contar con muleros sin los cuales no se obtienen las ganancias.
Sin embargo, tal y como se sostuvo en un trabajo anterior87, que sea esta
la calificación jurídica que establezcan muchos tribunales, no quiere decir
que resulte la más adecuada ni, en el caso de que lo sea en algún supuesto,
se generalice a cualquiera de los hechos que, conforme a su significado
social, incluiríamos en el concepto de “actividades de los muleros del
27
phishing”. Para que eso sea así será imprescindible que se pueda afirmar
que se cumplen las condiciones exigidas para que un sujeto pueda ser
hecho responsable por la cooperación necesaria del delito de estafa
informática. En este sentido, una de las condiciones exigidas el
conocimiento necesario como elemento esencial para la atribución de
responsabilidad al mulero, es decir, el conocimiento de su integración en
el injusto y la imputación de dicho conocimiento. Como ya se ha indicado
anteriormente, aun no sabiendo el mulero de forma expresa de dónde
procede el dinero ni para qué fin lo está transfiriendo a otras cuentas,
parece que esta conducta excede el actuar imprudente. Es por ello que el
Tribunal Supremo se apoya en la tesis de la ignorancia deliberada, al
afirmar que tanto si saben cómo si no quieren saber, o les sea indiferente
el origen del dinero que reciben, tienen un conocimiento suficiente para
prestar su colaboración, y la ignorancia sobre todo lo anterior no
disminuye su culpabilidad. En este sentido, las conductas de los muleros
de los phishing punibles son aquellas que se realizan sin conocimiento del
hecho concreto en el que se participa, pero con un conocimiento suficiente
para responder por la participación necesaria en el injusto de otro. De
hecho, en la mayoría de los casos de muleros del phishing enjuiciados y
analizados por el Tribunal Supremo, los hechos probados demostraban
que: 1) los cibermuleros no sabían a quién se estaba causando el perjuicio
patrimonial en concreto mediante el ciberfraude, pero sí preveían que las
sumas de dinero que recibían provenían de cuentas bancarias de clientes
estafados; 2) no conocían los nombres de los autores principales de los
hechos, pero sí sabían que transferían el dinero a unas direcciones
determinadas, y 3) aunque no sabían exactamente cómo se había logrado
ese dinero de los otros clientes, sí sabían que se les había quitado el dinero
a través de la banca electrónica. Pese a todo lo anterior, decidían intervenir
en el hecho, concurriendo un conocimiento suficiente de un hecho que
puede valorarse como la integración en el delito de estafa informática en
su modalidad de phishing. Por tanto, y como corolario, si dicho
conocimiento no se le puede atribuir al mulero, es decir, el conocimiento
de que recibe cantidades provenientes de defraudaciones indeterminadas
realizadas por Internet, no se lo debería hacer responsable penalmente.
28
Notas -
30
of Cyber Criminology, vol. 9, nº 1, 2015; álVarez-garcÍa, D.; núñez, J. c.;
DoBarro, a., y roDrÍguez, c., “Risk factors associated with cybervictimiza
tion in adolescence”, en International Journal of Clinical and Health
Psycho logy, vol. 15, nº 2, 2015; centro crÍMina, CIBERAPP…, cit.;
gonzález, a., El ciberbullying o acoso juvenil mediante Internet: un
análisis empírico a partir del modelo del Triple Riesgo Delictivo (TRD),
Universitat de barcelona, barcelona, 2015; HalDer, D., y JaisHanKar, K.,
Cyber victimization in India. A Baseline Sur vey Report, Centre for Cyber
Victim Counselling, Tirunelveli, 2010.
9 en esta falacia se parte de una imagen distorsionada del mismo. Véase
pinguelo, F. y Muller, B. W., “Virtual Crimes, Real Damages: A Primer
On Cybercrimes In The United States and Efforts to Combat
Cybercriminals”, en Virginia Journal of Law & Technology, vol. 16, nº 1,
2011, pp. 116-188.
10 este argumento, en cierta medida, es una de las grandes ventajas de la
que han sacado partido los ciber delincuentes al explotar la consecuente
re ducción de las medidas de autoprotección de las víctimas, y que en el
caso de algunos ciberdelitos, como las infecciones de malware, cuya
finalidad última es lograr con éxito un ciberfraude, hace que sean las
propias víctimas las que se conviertan en instrumentos de difusión del
ciberataque (Miró Llinares, El cibercrimen… cit.) Lo mismo sucede, para
otros delitos, con la generalización de conductas en el ciberespacio que
incrementan el riesgo de ser victimizado. en este sentido, véase Miró
Llinares, F., “La victimización por cibercriminali dad social. Un estudio a
partir de la teoría de las actividades cotidianas en el ciberespacio”, en
Revista Española de Investigación Criminológica, nº 11, 2013; reyns, B.
W., Being Pursued Online: Extent and Nature of Cyberstalking Victi
mization from a Lifestyle/Routine Activities Perspective. Tesis Doctoral,
Univer sity of Cincinnati, 2010.
11 Fafinski y Minassian, UK Cybercrime…, cit.
12 De la cuesta, J. L. y Pérez, A., “Ciberdelincuentes y cibervíctimas”, en
J. L. De la Cuesta y n. J. De la mata (eds.), Derecho penal informático,
Cizur menor, Civitas, 2010, pp. 99-120; roMeo casaBona, c. M., El poder
informático y seguridad jurídica, Fundesco, madrid, 1998.
13 Adler, F., Mueller, g. o., y Laufer, W. s., Criminology and the Criminal
Justice System (4th ed.), Nueva York, McGraw Hill.
14 Guinchard, A., “Between Hype and Understatement: Reassessing
Cyber Risks as a Security Strategy”, en Journal of Strategic Security, vol.
4, nº 2, 2011.
15 KsHetri, n., “The simple economics”, en IEEE Security & Privacy, vol.
4, nº 1, 2006.
31
16 En el caso de España, por ejemplo, tal y como refleja la Memoria de la
Fiscalía General del Estado de 2016, “Se trata de acciones ilícitas de
naturaleza muy diversa, cada una de las cuales presenta dinámicas
delictivas específicas y también problemas diferentes en su investigación
y en la determinación de sus autores (…). Se trata de las defraudaciones
que más dificultades presentan en su investigación y en las que se obtienen
peores resultados por lo que muchos de estos procedimientos se ven
abocados al archivo. Ello es debido a que muchas de estas actividades
ilícitas se desarrollan por grupos organizados desde o a través de terceros
países con los que los cauces de cooperación internacional no son es
pecialmente fluidos” (Fiscalía General del Estado, Memoria de la Fiscalía
General del Estado, Centro de estudios Jurídicos, madrid, 2015, pp. 602-
603).
17 Sobre esto véase en profundidad Miró Llinares, El cibercrimen…, cit.
18 Miró Llinares, F., “La respuesta penal al ciberfraude. Especial atención
a la responsabilidad de los muleros del phishing”, en Revista Electrónica
de Ciencia Penal y Criminología, 15-12, 2013. Disponible en internet en:
http:// criminet.ugr.es.
19 Para una clasificación tipológico y relacional de la cibercriminalidad
económica, véase Miró llinares, El cibercrimen… cit.
20 Allen, M., “Social engineering: A means to violate a computer
system”, en InfoSec reading room, 2007; atKins, B. y Huang, W., “A
study of social en gineering in online frauds”, en Open journal of social
sciences, vol. 1, nº 3, 2013; Chantler, a. y Broadhurst, R., Social
Engineering and Crime Prevention in Cyberspace, Technical report,
Justice, Queensland University of Technol ogy, 2006; Hall, g. a., Credit
card fraud and social engineering: mitigation of identity theft related
losses requires more than technology, Faculty of Utica College, burrstone,
2012; JaKoBson, M., “Social engineering 2.0: What’s next”, en Mcafee
Security Computer Science, nº 1, 2008; ruscH, J. J., “The ‘Social
Engineering’ of Internet Fraud”, en INET 99, nº 12, 2003.
21 Especialmente el fraude denominado en inglés “the counteerfeit
cashier’s check scheme”, o esquema de falsificación de cheques de caja,
destinado a defraudar a personas que venden mercancías por medio de los
anuncios cla sificados en Internet. Véase la explicación del procedimiento
por el IC3 en internet en www.ic3.gov.
22 O “invest fraud”, por medio de la cual se ofrecen productos financieros,
préstamos o similares, que resultan ser falsos.
23 También denominadas ponzi frauds y que son en última instancia frau
des de inversión en los que a los inversores se les prometen beneficios
anorma les que, en realidad, no son (cuando se cobran) más que las
32
inversiones, falsas en realidad, de otros sujetos idénticamente engañados.
24 Aunque las hay de muchos tipos, el esquema del fraude de loterías
suele caracterizarse por el envío de spam con emails en los que se informa
a quien lo recibe de que ha ganado una lotería internacional por una
cantidad altísima de dinero y que, para retirarla, se solicita sin embargo el
ingreso de un dinero, que es el objeto de la defraudación.
25 Entre otros muchos citados por staDler, W. a., “Internet Fraud”, en
Fisher, B. s., y Lab, s. p., Encyclopedia of Victimology and Crime
Prevention, vol. 1, Sage Publications, California/London, 2010, pp. 492 y
493. También Howard, R.; Thomas, R.; Burstein, J. y BraDescu, R.,
“Cyber fraud trends and mitigation”, en International Journal of forensic
computer science, vol. 1, 2008; Mcguire, M., Cyber crime: a review of the
evidence, Home Office, Research Report 75, 2013; ruscH, J. J., “The flood
tide of cyberfraud”, en The United States Attorneys’ Bulletin, vol. 62, nº
2, 2014; sMytH, s. M., y carleton, r., “Measuring the extent of cyber-fraud:
a dis cussion paper on potential methods and data sources”, en Public
Safety Canada, report no. 020, 2011; Warner, J., “Understanding cyber-
crime in Ghana: a view from below”, en International Journal of Cyber
Criminology, vol. 5, nº 1, 2011.
26 Así, y tomando como referencia la página web del iC3, que hace una
importante labor de recogida de denuncias para la sistematización de los
diferentes ciberfraudes existentes, deberían tomarse en cuenta, además de
los citados, otros como el debt elimination fraud, o fraude en los planes de
elimi nación de deudas, llevado a cabo por falsas empresas que solicitan
el ingreso de un dinero al cliente para refinanciar sus deudas hipotecarias
y de tarjetas de crédito pero que nunca devuelven; el scrow services fraud,
o estafa por ser vicios de custodia, en la que se persuade a quien participa
en subastas por internet para que contrate un servicio de custodia que
asegure el éxito de la llegada de la mercancía de modo tal que el
comprador acaba pagando el dinero y perdiendo el envío. Otro
cibercrimen económico que resulta necesario traer a colación, sobre todo
por su actualidad y capacidad lesiva es el denominado ransomware. este
cibercrimen no es propiamente un ciberfraude sino más bien una
ciberextorsión donde el ciberespacio es el nuevo medio intimidatorio utili
zado. De acuerdo con Choi, Scott, y LeClair (cHoi, K. s.; scott, t. M., y
leclair, D. p., “Ransomware against Police: Diagnosis of Risk Factors via
Application of Cyber-Routine Activities Theory”, en Criminal Justice
Faculty Publications, Paper 29, 2016, p. 253), el ransomware es “una
forma de malware que encripta todos los datos del sistema informático del
usuario, para luego denegarle el acceso a dicho sistema hasta que el rescate
es pagado”. En realidad, se trata de la extorsión realizada por los
33
cibercriminales consistente en la solicitud de importantes sumas
dinerarias a cambio de cesar en algún tipo de ciberataque o incluso
empezar a ejecutarlo. estas conductas parecen proliferar en relación con
las páginas web dedicadas a las apuestas y a los juegos de azar online, a
las que les interesa pagar cantidades no demasiado grandes a las mafias a
cambio de no sufrir un ataque de denegación de servicios o similares en
fechas concre tas (KsHetri, n., “The Simple Economics of Cybercrimes”,
en IEEE Security and Privacy. The IEEE Computer Society, quien cita
por ejemplo el pago de 30.000 dólares que desembolsó BetWWWTS.com
ante la posibilidad de no poder gestio nar más de cinco millones de dólares
durante el tiempo que la web iba a estar parada por el ciberataque). Este
tipo de ciberataque, que puede iniciarse bien a través de una falsa
actualización de antivirus, bien a través de la descarga de pornografía,
entre otras actividades, ha ido creciendo desde el año 2009 hasta la
actualidad de tal forma que ya no nos resulta extraño el nombre de “Wanna
Cry”, y cuyo alcance, como muchos otros ransomware, es prácticamente
global (véase o’gorMan, g.; McDonalD, g., “Ransomware: A Growing
Menace”, Syste matec Security Response. Disponible en internet en:
http://www.01net.it.
27 Gregg, D. G., y Scott, J. e., “The role of reputation systems in reducing
on-line auction fraud”, en International Journal of Electronic Commerce,
vol. 10, nº 2, 2006.
28 Chiu, c.; Ku, y.; Lie, T., y Chen, y., “Internet Auction Fraud Detection
Using Social Network Analysis and Classification Tree Approaches”, en
IJEC, vol. 15, nº 3, 2011.
29 Chua, c. e. H., y WareHaM, J., Fighting Internet Auction Fraud: An
Assess ment and Proposal Computer, 2004.
30 Véase al respecto yar, M., Cybercrime and Society, Sage, London,
2006.
31 Las “cartas nigerianas” son un tipo de fraude en el que, mediante un
correo electrónico enviado por el estafador con la intención de engañar al
usuario, trata de interesar a la víctima con un potencial beneficio
patrimonial o se gana su confianza para que sea él mismo quien finalmente
realice el acto de disposición patrimonial. Aunque este tipo de fraude es
un fraude burdo, y además tampoco es nada nuevo, mantiene su vigencia.
Tal y como consta en la memoria de la Fiscalía General del estado del año
2016, en 2014 se llevó a cabo una investigación sobre “numerosos
locutorios de España a través de los cuales se canalizaba el envío de dinero
estafado en países de todo el mundo (…). A través de los denominados
‘locutorios’, se producía la recepción y remi sión de dinero desde y hacia
el extranjero, procedente de miles de ciudadanos extranjeros que habían
34
sido objeto de la estafa de las “cartas nigerianas” en sus diversas
variantes” (Fiscalía General Del Estado, Memoria de la Fiscalía General
del Estado, Centro de estudios Jurídicos, madrid, 2016, pp. 315-316).
32 Shadel, D., Outsmarting the Scam Artist: How to Protect Yourserl
From the most Clever Cons, Wiley, 2012.
33 Stajano, F., y Wilson, p., “Understanding scam victims: Seven
principles for systems security”, en ACM, 2011, pp. 9 y ss.
34 El origen de esta denominación puede verse más extensamente en
JaKoBsson, M., Phishing and Countermeasures: Understanding the
Increasing Problem of Electronic Identity Theft, John Willey & Sons,
2005. Por su parte, Flor define el phishing como “una metodología de
ingeniería social dirigida a obtener informaciones personales, costumbres
o estilos de vida de otras personas, con el fin de acceder a servicios
financieros o bancarios on line, asumiendo virtualmente la identidad del
titular de los datos de identificación”, y añade posteriormente que a través
del mismo “Puede realizarse un hurto de datos, un abuso de información
personal o un fraude de identidad” (Flor, R., “Phishing y delitos
relacionados con el fraude de identidad: un World Wide Problem en el
World Wide”, en AA.VV., Robo de identidad y protección de datos,
Aranzadi, Pamplona, 2010, pp. 83 y 84). Las primeras manifestaciones de
ciberfraude tipo phishing fueron descritas en 1996 por el grupo de noticias
“alt.2600”, en un mensaje en el que se hacía referencia al phishing en el
ámbi to de la creación fraudulenta de cuentas de usuario de American
Online (AOL), tal y como describe Ollman (ollMan, g., The Phishing
Guide: Understanding and Preventing Phishing Attacks, informe Técnico,
nGSS, 2009, p. 6). estas cuentas robadas fueron denominadas phish y se
convirtieron a partir de 1997 en habitual moneda de cambio entre los
hackers, de modo tal que ciertas aplicaciones o juegos podían ser
intercambiados por un determinado número de cuentas AOL. en este
sentido, Gordon y Chess (Gordon, s., y Chess, D. M., Where There’s
Smoke, There’s Mirrors: The Truth about Trojan Horses on the Internet,
Virus bulletin Conference, 1998) llevaron a cabo una de las primeras
investigaciones sobre ataques masivos a consumidores de servicios en
inter net, tal fue el caso de los intentos de acceso a cuentas de AOL.
35 Véase Jaishankar, K., “Identity related Crime in the Cyberspace:
Exami ning Phishing and its impact”, en IJCC, vol. 2, enero-junio, 2008,
p. 12. Por otro lado, la ingeniería social nos refiere al empleo de la
identidad personal de otro (spoofing) mediante la falsificación de sitios
web, para conducir a los consumidores a que confíen en la veracidad del
mensaje y divulguen los da tos objetivos, mientras que cuando hablamos
de otros artificios técnicos nos referimos a, por ejemplo, redireccionar un
35
nombre de dominio de una página web verdadera situada en la memoria
caché del sujeto o de otro modo, a una página web falsas, o se monitoriza
la intervención del sujeto en la verdadera (véase Miró Llinares, El
cibercrimen, cit.).
36 En sus inicios, esta técnica se centraba en el engaño a través de co rreos
electrónicos, con los que se pretendía obtener la respuesta del usuario
atacado, es decir, provocar la remisión de contraseñas o detalles de las tar
jetas de crédito. el nivel técnico de estos primeros ataques era
relativamente bajo; sin embargo, más tarde el aumento de la seguridad de
las entidades y organismos que hacían uso de las TIC, así como los
grandes beneficios ob tenidos con escaso esfuerzo y la escasa probabilidad
de detección del origen del fraude, devino en el incremento y refinamiento
del engaño y de la calidad técnica de los ataques (véase, a este respecto,
Dong, X.; clarK, J. a., y JacoB, J. l., Defending the weakest link: phishing
websites detection by analysing users behaviours, Telecommun Syst,
2010). Así, por ejemplo, en el año 2000 se comenzaron a utilizar los
keyloggers, un tipo de software que registra y memoriza en un fichero las
pulsaciones que se realizan en un teclado; en 2001 los phishers inciaron el
uso de UrL ofuscadas; en 2003 llevaron a cabo las primeras grabaciones
de contenidos en pantalla o screenloggers; en 2004 utilizaron por primera
vez una web falsa, y desde 2006 es habitual el phishing por VoiP (véase
ollMan, The Phishing Guide…, cit.). esta evolución no sólo ha modificado
las técnicas de engaño, propagación de mensajes o construcción de webs
falsas, sino que hoy día es incluso posible obtener kits de phishing en los
que se incluyen plantillas para mensajes de correo y webs, bases de datos
de destinatarios y técnicas para el blanqueo de dinero (véase Verisign,
Fraud Alert: Phishing. The Latest Tactics and Potential Business Impact,
White Paper, 2009. También ollMan, g., The evolution of commercial
malware development kits and colour-by-numbers custom malare,
Computer Fraud and Security, 2008; coVa, M.; Kruegel, c., y Vigna, g.,
There is no free phish: An analysis of free and live phishing kits,
Proceedings of the Second USENIX Workshop on Offensive
Technologies, 2008).
37 A modo de ejemplo, podemos encontrar el phishing tradicional, en el
que se utiliza una imagen corporativa de una entidad bancaria o de una
institu ción para solicitarle a la víctima por vía electrónica que envíe a una
dirección los datos bancarios requeridos (véase Fernández Teruelo, J. g.,
“Respuesta penal frente a fraudes cometidos en internet: estafa, estafa
informática y los nudos de red”, en RDPC, nº 19, 2007, pp. 217 y ss.);
también el spear phishing, como modalidad de phishing dirigido a
entidades bancarias u otro tipo de or ganizaciones concretas, y no a
36
objetivos indiscriminados; el business services phishing en el que esta vez
el objetivo son empleados de una organización, o el whaling, en el que el
phishing está dirigido a directivos o individuos perte nencientes a los
niveles altos de las organizaciones; el vishing, que consiste en la
utilización de mensajes de telefonía basada en voz sobre iP para conseguir
de la víctima información personal, financiera o cualquier otro tipo de
datos confidenciales, entre muchos otros (véase con profundidad Miró
Llinares, El cibercrimen…, cit., pp. 76 y ss.).
38 Hong, J., “The State of Phishing Attacks”, en Communications of the
ACM, vol. 55, nº 1, 2012, p. 74; HilVen, a., y WooDWarD, a., “How safe
is Azeroth, or, are MMORPGs a security risk”, Proceedings of the 5th
Australian Information Security Conference, 2007.
39 Un ejemplo serían los mensajes en los que se requieren actualizaciones
de seguridad, se insta a completar información de cuentas para su manteni
miento, o se ofrecen incentivos financieros o falsas actualizaciones.
40 Tal es el caso de la venta de cuentas de usuario para juegos masivos
online o la venta de números de tarjetas de crédito, que han generado un
mercado negro de compraventa de información robada (KsHetri, The
Global Cybercrime…, cit., p. 13).
41 Cillin, c., “Identity Theft: A New Frontier for Hackers and
Cybercrime”, en Information Control Journal, vol. 6, 2005.
42 Felten, E. W.; Balfanz, D.; Dean, D., y WallacH, D. s., “Web Spoofing:
An Internet Con Game”, en Technical Report, Department of Computer
Science, new Jersey, Princeton University, 1996, pp. 540-596.
43 Chawki, M., y Abdel Wahab, M., “Identity Theft in Cyberspace: Issues
and Solutions”, en LE, vol. 11, nº 1, printemps/spring, 2006.
44 Miró Llinares, “La oportunidad criminal…”, cit.
45 En la actualidad, se diferencian por lo menos cinco formas de spoofing:
IP Spoofing, en el que mediante la utilización de programas
específicamente destinados a ello se sustituye la dirección iP original por
otra; el ARP spoofing, en el que se falsean las denominadas tablas ArP de
una víctima para llevar a su sistema mAC a que envíe los paquetes al host
atacante en vez de a su destino; el DNS spoofing, en el que se modifica el
nombre de dominio-IP de un servidor DnS, aprovechando alguna
vulnerabilidad, lo cual se suele utilizar para el pharming, donde el sujeto
pone la dirección web de una entidad banca ria oficial y se remite a una
web falsa; el web spoofing, quizás el más común de todos estos ataques,
en el que a través de un enlace u otras formas de engaño, se hace pasar a
una página web, imitada y albergada en otro servidor, por la real, por
medio de un código que solicita la información requerida por el sistema
víctima a cada servidor original y remite a la web falsa, y, por último, es
37
el mail spoofing, consistente en la suplantación de la dirección de correo
electrónico de otras personas o entidades, utilizada generalmente para
enviar spam o como comienzo de la dinámica de ataque del phishing
(véase en profundidad isla cortes, J. i. M., “Seguridad en redes
informáticas” (2005), en Internet en http://cybertesis.uach.cl, pp. 88 y ss.).
46 Consejo De Europa, Convenio sobre la ciberdelincuencia, Serie de
Trata dos europeos nº 185. Disponible en internet en www.oas.org.
47 Clough, J., Principles of Cybercrime, Cambridge University Press,
Cam bridge, 2010.
48 Vatis, M. A., “The Council of Europe Convention on Cybercrime”, en
Pro ceedings of a Workshop on Deterring CyberAttacks: Informing
Strategies and Developing Options for U. S. Policy, p. 207.
49 Arocena, G. A., “La regulación de los delitos informáticos en el Código
Penal argentino. Introducción a la Ley Nacional 26.288”, en Bol. Mex.
Der. Comp., vol. 45, nº 135, 2012.
50 La recomendación respecto de la estafa informática es del siguiente te
nor: “tipificar como infracción penal la conducta consistente en manipular
el ingreso, procesamiento o resultado de los datos de un sistema de
información, por medio de las Tecnologías de la información y la
Comunicación, y valiéndose de alguna operación informática, en perjuicio
de tercero y con ánimo de lucro”.
51 Disponible en internet en: https://eur-lex-europa-eu.ebook.21.edu.ar
52 Tales como la acción común 98/428/JAi, por la que se crea una red
judicial europea (DO L 191 de 7/7/98); la acción común 98/733/JAi,
relativa a la tipificación penal de la participación en una organización
delictiva en los estados miembros de la Unión europea (DO L 351 de
29/12/98); la acción común 98/699/JAI, relativa al blanqueo de capitales,
identificación, seguimiento, embargo, incautación y decomiso de los
instrumentos productos del delito (DO L 333 de 9/12/98); así como la
decisión de 29 de abril de 1999 por la que se amplía el mandato de Europol
en la lucha contra la falsificación de moneda y medios de pago (DO C 149
de 28/5/99).
53 Su implantación fue todo un éxito tal y como concluye el segundo
informe de la Comisión, que evalúa la efectiva implementación en las
legislaciones y que para el año 2006 consideró que “la mayoría de los
Estados miembros que han respondido a la comisión, en este segundo
ejercicio, cumplen explícitamente y, en algunos casos, implícitamente, la
decisión marco” (Disponible en internet en: https://eur-lex-europa-
eu.ebook.21.edu.ar).
54 Disponible en internet en: https://eur-lex-europa-eu.ebook.21.edu.ar
55 Disponible en internet en www.boe.es.
38
56 Poder Judicial De la provincia de Salta, Ciberdelitos. Guía. Disponible
en internet en www.justiciasalta.gov.ar.
57 Riquert, M. A., “Algo más sobre la legislación contra la delincuencia
informática en Mercosur a propósito de la modificación al Código Penal
Argentino por ley 26.388”, en Centro de Investigación Interdisciplinaria
en Derecho Penal Económico, p. 58. Disponible en internet en
www.ciidpe.com.ar.
58 De acuerdo con ello, a partir de entonces el delito de estafa informática
del art. 248.2 sanciona a los que “con ánimo de lucro y valiéndose de
alguna manipulación informática o artificio semejante, consigan una
trasferencia no consentida de cualquier activo patrimonial en perjuicio de
otro”, a diferencia del delito de estafa común del art. 248.1, según el cual
“cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante
para producir error en otro, induciéndolo a realizar un acto de disposición
en perjuicio propio o ajeno”.
59 Miró Llinares, F., “Cibercrímenes económicos y patrimoniales”, en
Ayala Gómez, i., y Ortiz de Urbina Gimeno, Í. (coords.), Memento
Práctico Penal Eco nómico de la Empresa 2016-2017, Lefebre, Madrid,
2016.
60 STS nº 2175/2001, de 20 de noviembre; STS 692/2006, de 26 de junio.
61 Faraldo Cabana, p., “Los conceptos de manipulación informática y
artificio semejante en el delito de estafa informática”, en Eguzkilore, nº
21, 2007.
62 Y así creemos que también lo ha entendido el Poder Judicial de la na
ción, que condena por estafa informática o phishing cuando el sujeto
activo se vale del uso de sistemas informáticos para lograr el beneficio
económico en perjuicio de una víctima, tal y como se desprende de la
sentencia del Juzgado de instrucción nº 2, interlocutoria, Sala 6ª (4), causa
nº 39.779; o la sentencia de la Cámara Federal de Casación Penal, Sala iii,
causa nº CCC 51772/2011/ T01/CFC1.
63 Galán Muñoz, a., El fraude y la estafa mediante sistemas informáticos.
Análisis del artículo 248.2 CP, Tirant lo Blanch, Valencia, 2005.
64 Rovira Del Canto, E., Delincuencia informático y fraudes informáticos,
Comares, Granada, 2002.
65 Miró Llinares, “Cibercrímenes económicos…”, cit.; “La respuesta
penal”, cit.; Faraldo Cabana, “Los conceptos…”, cit.; Arocena, G. a., “La
regulación de los delitos informáticos…”, cit.; “Acerca del principio de
legalidad penal y de hackers, crackers, defraudadores informáticos y otras
rarezas”, en Ley, Razón y Justicia, nº 6, 2002.
66 Mata Martín, r. M., Delincuencia informática y Derecho Penal,
edisofer, Madrid, 2001.
39
67 Faraldo Cabana, P., Las nuevas tecnologías en los delitos contra el
patrimonio y el orden socioeconómico, Tirant lo Blanch, Valencia, 2009.
68 Así lo advierte Faraldo Cabana (ídem, pp. 90 y 91), quien dice que “ni
se engaña a una persona física ni la transferencia del activo patrimonial es
realizada por la víctima o un tercero a consecuencia del error ocasionado
por el engaño, sino por el propio autor”.
69 Al fin y al cabo, el acto de disposición patrimonial no es la venta de la
cosa, sino el dinero que es utilizado por el sujeto activo para comprarla en
perjuicio del titular de la tarjeta de crédito; por lo que no puede decirse
que hay un acto de disposición patrimonial, ni del perjudicado (que no
interviene), ni del que realiza la venta.
70 Véase Miró Llinares, “La respuesta penal…”, cit.; “Cibercrímenes
económicos…”, cit.
71 Ibídem.
72 Así, FERNÁNDEZ Teruelo, “La respuesta penal…”, cit., p. 238, quien
reconduce esta conducta a la estafa común porque considera que en el
phishing no se produce una manipulación informática en el sentido de que
“no se trata de alteración de elementos físicos ni de programación ni
introducción de datos falsos. Quien ha obtenido las claves (auténticas) y
las utiliza desde su propio ordenador, para realizar una transferencia a su
favor o de un tercero (cambio de titularidad de los activos) a través de la
red, no ha alterado elemento físico o de programación alguno”, lo cual lo
lleva a decir que sostener, entonces, que existe en tales supuestos una
manipulación informática parece más bien forzar “el sentido de las
palabras más allá de lo lícitamente admisible”; también Fernández
Teruelo, J. G., Derecho penal e Internet. Especial consideración de los
delitos que afectan a jóvenes y adolescentes, Lex nova, Valladolid, 2011.
73 Gallego Soler, J. I., “Delitos contra el patrimonio y contra el orden
socioeconómico”, en Corcoy Bidasolo, M., y Mir Puig, S. (dirs.),
Comentarios al Código Penal. Reforma LO 1/2015 y LO 2/2015, Tirant
lo blanch, Valencia, 2015.
74 De hecho, esto es lo que diferencia el phishing de los ya mencionados
ataques scam, como el de las cartas nigerianas, en los que se envía un
correo prometiendo generalmente el envío de importantes cantidades de
dinero a cambio de que el sujeto pasivo ingrese en una cuenta corriente,
una cantidad económica: aquí sí hay una estafa común cuando es el propio
engañado el que realiza el acto de disposición patrimonial que lo
perjudica.
75 Véanse las SSTS nº 21175/2001 y 1476/2004.
76 Tanto los grupos organizados tradicionales que actúan en el ciberes
pacio como los cibergrupos organizados se sirven, para la realización de
40
sus actividades, de las denominadas cibermulas (véase cHoo, K. K. r.,
“Organised crime groups in cyberspace: a typology”, en TOC, nº 11,
2008). Las cibermulas son reclutadas por internet bajo la promesa de la
recepción de importantes cantidades de dinero que tienen que transmitir
quedándose un tanto por cien to como ganancia. Generalmente estas
cibermulas son las únicas detenidas por estos delitos y pueden ser hechas
responsables de los mismos como cooperadores necesarios o cómplices
(Miró Llinares, El cibercrimen…, cit.).
77 es importante destacar que no actúa propiamente como un mulero el
sujeto que realiza las transferencias por medio de internet, puesto que la
forma de lograr el éxito del delito exige realizar la transferencia
personalmente, sacando el dinero de la cuenta bancaria y enviándolo por
alguno de los sis temas de transmisión económica no electrónicos. De
hecho, es significativa en este sentido la Sentencia de la Audiencia
Provincial de Madrid (Sección 15ª), nº 400/2008 de 10 de septiembre de
2008, que absuelve a los acusados por los delitos de estafa informática,
por considerar que no se da la conducta de phishing en la realización de
transferencias bancarias hechas a través de internet desde el ordenador de
los acusados, quienes carecen de los conocimientos informáticos y medios
para ello, siendo muy posible que su ordenador haya sido infectado por un
“troyano”, a través del cual se hubiera puenteado la transferencia.
78 en este sentido, la memoria de la Fiscalía General del estado del año
2016 reconoce respecto de la investigación de los delitos de estafa
informática que “España se limita, en múltiples ocasiones, a la
investigación y enjuicia miento de las personas que actúan como mulas y
que son las encargadas de recepcionar las transferencias y remitirlas a los
artífices y coordinadores de la actividad defraudatora y respecto de las
cuales, en no pocas ocasiones, se encuentran dificultades para acreditar su
conocimiento o la intencionalidad dolosa o imprudente de la participación
criminal (Fiscalía General del estado, Memoria…, cit., p. 603).
79 Aunque en España podemos encontrar algún pronunciamiento judicial
que condena por el delito de estafa común como la SAP Zaragoza nº
208/2012, de 7 de junio de 2012.
80 Velasco Núñez, E., “Fraudes informáticos en red: del phishing al
pharming”, en La Ley, nº 37, año iV, 2007.
81 Es el caso de la sentencia de la Audiencia Provincial de Valladolid
(Sección 4ª) nº 263/2010 de 21 de junio, que absuelve de la estafa a los
dos sujetos que ponen a disposición de un tercero las cuentas corrientes
propias para la realización de ingresos de dinero, que luego son
transferidos a otras cuentas, percibiendo un porcentaje por cada
transferencia. Sin embargo, sanciona los hechos como un delito de
41
blanqueo de capitales en su modalidad imprudente, porque considera que
no es aceptable que considerasen verosímil que una empresa repartiese
beneficios lícitos de un modo tan poco convencional y necesitando
intermediarios, por lo que la actitud de los imputados de no “querer
plantearse (con deliberada ignorancia) qué trascendencia puede tener el
trabajo realizado ni el origen de las sumas de dinero que van a transferir,
y de hecho transfieren, a Kiev”, debe considerarse una negligencia que
propicia “que un dinero procedente de una estafa informática encuentre la
vía para no ser recuperado, cuando, los acusados, con un mínimo de
diligencias o cuidado, podrían haber evitado el daño patrimonial que se
produjo”.
82 entre otras como la SAP Sevilla nº 174/2012, de 22 de marzo; la SAP
Asturias nº 148/2012, de 11 de noviembre; SAP de León nº 186/2011 de
29 de julio; SAP Málaga de 13 de octubre de 2013.
83 Miró Llinares, “Cibercrímenes económicos…”, cit. Al fin y al cabo, y
frente a lo que señala la sentencia de la Audiencia Provincial de Valladolid
de 21 de junio de 2010, nº 263/2010, el delito de estafa se está consumando
cuando se ingresa el dinero de una cuenta corriente a otra, que por tanto
ya existe, y que es titularidad del mulero del phishing que debe, entonces,
sacar el dinero y enviarlo al destinatario.
84 esto es, una serie de sujetos son convencidos por otros, no procesados
en la causa, para participar en una determinada actividad, consistente en
quedarse unas determinadas cantidades de dinero, enviando otras a sujetos
indeterminados.
85 esto dio lugar al inicio de una cuasi doctrina jurisprudencial que parece
haberse impuesto definitivamente en las Audiencias Provinciales. Véanse
por ejemplo la Sentencia de la Audiencia Provincial de Madrid de 8 de
febrero de 2016; la Sentencia de la Audiencia Provincial de Castellón de
la Plana de 30 de septiembre de 2015; la Sentencia de la Audiencia
Provincial de Logroño de 3 de diciembre de 2013 o la Sentencia de la
Audiencia Provincial de Madrid de 22 de enero de 2009, confirmada esta
última resolución por la Sentencia del Tribunal Supremo de 16 de marzo
de 2009.
86 Véase al respecto, Miró Llinares, F., Conocimiento e imputación en la
participación delictiva. Aproximación a una teoría de la intervención
como partícipe en el delito, Atelier, Barcelona, 2009.
87 Miró Llinares, “Respuesta penal….”, cit.
42
Pablo A. Palazzi
La reforma de la ley 26.388 incorporó como art. 153 bis del Código Penal
el siguiente: “Será reprimido con prisión de quince días a seis meses, si
no resultare un delito más severamente penado, el que a sabiendas
accediere por cualquier medio, sin la debida autorización o excediendo la
que posea, a un sistema o dato informático de acceso restringido. La pena
será de un mes a un año de prisión cuando el acceso fuese en perjuicio de
un sistema o dato informático de un organismo público estatal o de un
proveedor de servicios públicos o de servicios financieros”.
El acceso ilegítimo es el delito de los hackers. Los hackers han hecho del
acceso a los sistemas informáticos en forma no autorizada un culto y un
deporte competitivo. El hacking comenzó en la década del sesenta con la
manipulación de los teléfonos. Siguió con los BBS, los sistemas
telefónicos digitales, y llegó a internet.
Pero esta visión melancólica del hacking contrasta con las organizaciones
mafiosas existentes detrás del hacking organizado. Se calcula que todas
las mafias importantes del mundo ya se valen del hacking como forma
adicional de recaudación, dejando de lado otras actividades más
tradicionales8. Se ha llegado a afirmar que el cibercrimen es tanto o más
rentable que el tráfico de drogas9.
No obstante ello, este tipo puede ser controvertido en algunos casos y por
eso no se encuentra exento de cuestionamientos doctrinarios debido a la
criminalización del mero acceso sin crear otra clase de daño12.
45
Mediante el art. 153 bis del Código Penal se ampara la reserva, la
confidencialidad y el derecho a la privacidad del titular del sistema y del
dato informático. Este puede ser tanto una persona natural como una
jurídica. Ello puede resultar difícil de comprender cuando se trate de la
segunda, como sucederá en la mayoría de los casos, o una sociedad
comercial.
4. Acción típica -
46
El sistema o dato informático de acceso restringido es un ordenador o un
conjunto de informaciones que no se encuentran fácilmente accesibles
porque no están conectados a una red, o porque se hallan protegidos con
una clave de acceso u otro tipo de barrera de seguridad. El término
“restringido” se opone a libre acceso. Hubiera sido mejor que el legislador
diera más detalles sobre la situación en que debían encontrarse el sistema
o el dato informático (por ejemplo, que tenga medidas de seguridad que
lo protejan). La existencia de estos recaudos tiende a evitar algún planteo
de inconstitucionalidad de la norma17.
5. Supuestos especiales -
5.1. Spyware
5.2. Cookies
49
la experiencia de navegación. Por ende, al estar así seteados los
navegadores, existe una presunción de consentimiento26.
La propuesta del art. 153 bis del Cód. Penal causó alarma, inicialmente,
en más de un experto en seguridad informática que consideró que la norma
en cuestión podría aplicarse al ethical hacking31 o al testeo que expertos
de seguridad realizan de las falencias de redes informáticas mediante
herramientas de software dedicadas a tal fin, que permiten acceder sin
permiso, “pescar” claves, puertos abiertos en una red u ordenador, etc. En
la jerga informática se los conoce como “penetration testers”32 y estas
empresas suelen estar en muchos casos formadas por ex hackers.
La figura del acceso ilegítimo prevista en el art. 153 bis del Código Penal
no está destinada a prohibir la ingeniería inversa o reversa de sistemas
informáticos, hardware o programas de ordenador37.
55
delito (en el caso se trataba de la reproducción de programas de ordenador
sin autorización de su autor).
La principal crítica que reciben los sistemas DRM consiste en que pueden
ser utilizados como una ley que penaliza el ingreso al propio ordenador, y
que limita el derecho de los ciudadanos a “jugar” y experimentar con
tecnología lícitamente adquirida54. Adicionalmente, se critica que la
aplicación del DRM permite proteger de hecho datos e informaciones que
no constituyen obras intelectuales, creando una suerte de “privatización”
de la normativa de derecho de autor.
El art. 153 bis del Cód. Penal dispone en su segundo párrafo que “la pena
será de un mes a un año de prisión cuando el acceso fuese en perjuicio de
un sistema o dato informático de un organismo público estatal o de un
proveedor de servicios públicos o de servicios financieros”.
57
Se duplica la pena de la figura básica (un mes a un año de prisión) porque
se considera que estos supuestos merecen una protección especial (bienes
o servicios públicos). La misma solución se adoptó con el daño
informático (ver art. 184, incs. 5º y 6º, Cód. Penal).
Notas -
58
1 Palazzi, Pablo A., “El acceso ilegítimo a sistemas informáticos: la
urgente necesidad de actualizar el Código Penal”, JA, 1999-III-321.
2 Ver el fallo publicado en JA, 1999-III-321 y ED, 184-371. También el
caso del acceso ilegítimo al servidor donde se alojaba la página web de la
Corte Suprema de Justicia de la Nación: Juzg. Fed. Crim. y Corr. nº 12,
2/3/02, “G., M. H. y otros”, Lexis nº 30002430 y Zeus 89-J-558,
comentado por Riquert, Marcelo A., “Delitos informáticos”, en Carrera,
Daniel - Vázquez, Humberto (dirs.), Derecho penal de los negocios,
Astrea, Buenos Aires, 2004, p. 303. Este caso fue erróneamente enfocado
por el tribunal como un delito de daño, cuando en realidad la acción más
importante fue la de acceder sin permiso y borrar el archivo raíz del
servidor de la Corte Suprema argentina (index.html) al reemplazarlo por
una proclama política. El daño, en cierta medida mínimo, perdía
relevancia con respecto al acceso no autorizado al servidor del Poder
Judicial de la Nación. Además, la página borrada seguramente era
fácilmente restaurable desde el back up. También recordamos el caso de
acceso ilegal a la web de la agencia recaudadora de la provincia de Buenos
Aires, que consistió en borrar el listado completo de setenta y dos mil
morosos que el ente recaudador había publicado en su sitio de internet,
que no pudo ser consultado por el plazo de dos horas (cfr. nota sin autor,
“Ataque virtual a Montoya”, La Nación del 3/5/08, supl. Economía y
Negocios, p. 3). En el año 2010 un hacker argentino cuyo nom de guerre
es “ch russo” accedió en forma no autorizada al conocido sitio de piratería
p2p Piratebay.org. Ver diario Clarín, nota del 23/7/10.
3 En España, véase: “Arrestan a cinco de los hackers más peligrosos”, La
Nación del 18/5/08, p. 6; en Chile, Muñoz, D. - Orellana, P. - Saavedra,
O., “Cibercrimen investiga filtración de bases de datos personales de seis
millones de chilenos”, diario El Mercurio del 11/5/08; en Estados Unidos,
McCullagh, Declan, “Feds Probe Hack of Palin’s e-mail Account”,
CNET, 17/9/08 (en relación con el hacking a la cuenta de mail de la
candidata republicana Sara Palin); en Francia ver “Thieves hack
Sarkozy’s bank account”, International Herald Tribune del 19/10/08, y
Lizzi Davies, “Bank hackers steal from Sarkozy”, The Guardian, 20 de
octure de 2008 (hackers obtienen datos de la cuenta bancaria del
presidente francés Sarkozy); Markoff, John, “Un ataque a Google dañó su
sistema de contraseñas”, La Nación, 23 de abril de 2010 (la nota cuenta el
acceso al sistema interno de Google de administración de mails
denominado Gaia, presuntamente por parte de hackers chinos); “Hackean
75 millones de cuentas de usuarios de sitios de Sony”, La Nación, 27/4/11.
4 Por ejemplo, es conocido el caso de un joven hacker que, “jugando” con
su ordenador, logró apagar las luces de un aeropuerto de los Estados
59
Unidos. Ver raconto del caso en Ohm, Paul, “The Myth of the Superuser:
Fear, Risk, and Harm Online”, UC Davis Law Review, vol. 41, nº 4, 1327
(2008).
5 Ver Erickson, Jon, Hacking: The Art of Exploitation, 2ª ed., No Starch
Press, 2008, p. 3.
6 El caso más reciente es el de Lisbeth Salander, la hacker punk –y
heroína– de las novelas de Stieg Larsson que usa sus conocimientos
informáticos para ayudar a encontrar delincuentes.
7 Herper, Allen y otros, Gray Hat Hacking The Ethical Hackers
Handbook, McGraw-Hill Osborne Media, 3ª ed., 2011, p. 16.
8 Kshetri, Nir, The Global Cybercrime Industry: Economic, Institutional
and Strategic Perspectives, Springer, 2010, pp. 1-2.
9 Cfr. la nota en el diario El País del 22/4/10, en una entrevista a
Guillaume Lovet.
10 Según la última reforma del año 2010 (BOE la Ley Orgánica 5/2010,
de 22/6/10) se dispone en el art. 197.3 el siguiente texto: “El que por
cualquier medio o procedimiento y vulnerando las medidas de seguridad
establecidas para impedirlo, acceda sin autorización a datos o programas
informáticos contenidos en un sistema informático o en parte del mismo
o se mantenga dentro del mismo en contra de la voluntad de quien tenga
el legítimo derecho a excluirlo, será castigado con pena de prisión de seis
meses a dos años. Cuando de acuerdo con lo establecido en el art. 31 bis
una persona jurídica sea responsable de los delitos comprendidos en este
artículo, se le impondrá la pena de multa de seis meses a dos años.
Atendidas las reglas establecidas en el art. 66 bis, los jueces y tribunales
podrán asimismo imponer las penas recogidas en las letras b) a g) del
apart. 7º, art. 33 (…)
”8. Si los hechos descritos en los apartados anteriores se cometiesen en el
seno de una organización o grupo criminales, se aplicarán respectivamente
las penas superiores en grado”.
11 Ver un listado completo en www.delitosinforamticos.com.ar. Ver
asimismo Rosende, Eduardo, “El intrusismo informático. Reflexiones
sobre su inclusión en el Código Penal”, LL, 2008-C-1126.
12 Rosende, E., “El intrusismo...”, cit.; Carbone, Diego, “Comentario a la
ley de delitos informáticos. 26.388. Nuevos delitos-viejos delitos”,
Microjuris del 10/7/08.
13 Kerr, Orin S., “Vagueness Challenges to the Computer Fraud and
Abuse Act”, 94 Minn. L. Rev. 1561 (2010).
14 259 F.R.D. 449 (C.D. Cal. 2009). El caso fue ampliamente difundido
en la prensa, porque mediante la asunción de una identidad y perfil falso
en una red social los imputados sedujeron y se burlaron de una adolescente
60
que luego se suicidó por este acoso.
15 La Corte Suprema argentina lo ha reconocido desde el caso “Charles
Hnos.” (Fallos, 46:36).
16 Ello aunque los datos sean recogidos por un bot o un programa que
realice scraping sobre el sitio de internet. Estos datos son de libre acceso.
Screen scraping es el nombre en inglés de una técnica de programación
que consiste en tomar una presentación de una información (normalmente
texto, aunque puede incluir información gráfica) para extraer los datos que
dieron lugar a esa presentación.
17 Rosende, “El intrusismo...”, cit.
18 No debe tratarse necesariamente de un “dato personal” (según
definición del art. 2º, ley 25.326), como sí lo requiere el art. 157 bis, Cód.
Penal.
19 En España, a partir de la nueva regulación de los delitos contra la
intimidad en el Código Penal de 1995, la jurisprudencia, y un sector de la
doctrina penal proponen una interpretación de los preceptos según un
concepto formal de la intimidad, que tiende más a proteger la capacidad
de disposición de los objetos que contienen algo relativo a este bien que
al bien en sí mismo. De esta forma, leer sin consentimiento un mensaje en
la pantalla abierta del ordenador o acceder a datos automatizados se
considera en sí mismo delictivo, con independencia de que la pantalla ya
se encontrara abierta, o de que los datos no se refieran a aspectos relativos
a la intimidad de las personas. Para el desarrollo doctrinario de esta tesis,
ver Jereño Leal, Ángeles, Intimidad e imagen. Los límites de la protección
penal, Iustel, Madrid, 2008, p. 56.
20 Murphy, Kate, “New Hacking Tools Pose Bigger Threats to Wi-Fi
Users”, New York Times, 16/2/11.
21 Asimismo, dado que el spyware usa normalmente la conexión de una
computadora a internet para transmitir información, consume ancho de
banda, con lo cual puede verse afectada la velocidad de transferencia de
datos entre dicho ordenador y otro conectado a internet. En estos
supuestos, podría resultar aplicable la figura del art. 197, Cód. Penal.
22 Entre otros, a los siguientes datos personales: el correo electrónico y el
password; dirección IP y DNS; teléfono, país; páginas que se visitan, qué
tiempos se está en ellas y con qué frecuencia se regresa; qué software está
instalado en el equipo y cuál se descarga; qué compras se hacen por
internet; tarjeta de crédito y cuentas de banco.
23 Corte de Distrito Noreste de Illinois, “Sotelo c. DirectRevenue LLC”,
nº 5 C 2562 (N.D. Ill. 29/08/2005) aplicando la doctrina del tresspas to
chatels a cuestiones de internet. Ver también Sinrod, Eric, “Spyware Can
Constitute Illegal Trespass on Home Computers”, USAtoday.com del
61
11/10/08.
24 “Ripear” es el proceso de copiar los datos de audio y video de un
dispositivo multimedia (como un CD, DVD, o HD DVD) a un disco duro.
Mientras el dispositivo original es típicamente digital, también puede
denominarse “ripear” a la extracción de medios analógicos, como un
video VHS o un vinilo. Para ahorrar espacio de almacenamiento, la
información copiada suele codificarse en un formato comprimido. El
término ha sido adoptado para referirse a extracción/duplicación de audio,
aunque ese uso del término es menos común. Ver
http://es.wikipedia.org/wiki/Ripear.
25 Para más detalles del caso: Mulligan, Deirdre K. - Perzanowski, Aaron
K., “The Magnificence of the Disaster: Reconstructing the Sony BMG
Rootkit Incident”, 22 Berkeley Tech. L. J. 1157 (2007); Aldrich, Nika,
“An Exploration of Rights Management Technologies Used in the Music
Industry”, B.C. Intell. Prop. & Tech. (2007), y Labelle, Megan, “The
‘Rootkit Debacle’: The Latest Chapter in the Story of the Recording
Industry and the War on Music Piracy”, 84 Denv. U. L. Rev. 79 (2006);
Bohn, P., “Intrusive DRM: The cases of Sony BMG, StarForce and
Microsoft”, Indicare Monitor, vol. 2, nº 9, noviembre de 2005. En los
Estados Unidos, el caso generó un escándalo mediático que derivó en una
acción de clase, porque el rootkit dejaba abierta una vulnerabilidad que
podía infectar la máquina. La empresa terminó pagando 4,25 millones de
dólares en ese juicio. Ver “The State of Texas c. Sony BMG Music
Entertainment, LLC”.
26 Oppenheimer, Max Stul, “Internet Cookies: When is Permission
Consent?”, 85 Neb. L. Rev. 383 (2006).
27 Seguimos la definición dada por wikipedia.org.
28 Palazzi, Pablo A., “Google y el derecho a la privacidad de las
búsquedas realizadas en internet”, JA, 2007-II-430.
29 Story, Louise, “Las compañías espían los hábitos en la Red”, diario
Clarín del 22/3/08.
30 Palazzi, Pablo A., “Alternativas legales para la protección de bancos
de datos”, JA, 2004-I-1204.
31 También conocido como white-hat hacking, el ethical hacking es la
ciencia de testear ordenadores y redes para encontrar vulnerabilidades de
seguridad y modificar esas fallas antes de que sean explotadas ilegalmente
(Beaver, Kevin, Hacking for Dummies, Wiley, Indianápolis, 2004, p. 9).
32 Mitnick, Kevin, The Art of Intrusion, Wiley, Indianápolis, 2005, p.
115, quien dedica el capítulo sexto de su obra a analizar estos casos.
33 En el anexo de esta obra se encuentra un modelo de contrato de testeo
de fallas de seguridad y de autorización de acceso.
62
34 Las más conocidas son Defcon o la Black Hat, ver www.blackhat.com.
35 Ver Zetter, Kim, “Federal Judge in DefCon Case Equates Speech with
Hacking”, http://blog.wired.com.ebook.21.edu.ar
36 Tamagno, Lucas, Los reglamentos internos de empresa y el control
sobre el correo electrónico laboral, Libro de Ponencias de las XIX
Jornadas Uruguayas de Derecho del Trabajo y de la Seguridad Social,
AUDTSS-FCU, Montevideo, 2008, pp. 91 y ss.
37 Así se entendió cuando se discutía esta figura en la Comisión de
Asuntos Penales del Senado Nacional. Algunos asesores plantearon la
necesidad de incluir normas sobre las medidas de protección tecnológicas,
pero en la Comisión se señaló que dicha cuestión implicaría reglamentar
el Tratado de Derecho de Autor de la OMPI aprobado por ley 25.140, lo
que requeriría un estudio y debate pormenorizado de sus normas. La
reforma implementada por la ley 26.388, obviamente, no se refiere a
ninguna cuestión de propiedad intelectual, pese a que numerosos delitos
informáticos implican cuestiones relacionadas con internet y el derecho
de autor.
38 Eilam, Eldad, Reversing: Secrets of Reverse Engineering, Wiley,
Indianapolis, 2005, p. 3.
39 Explicación citada de Wikipedia.org.
40 Ver el caso Corte de Apelaciones del Noveno Circuito, “Sony
Computer Entertainment Inc. c. Connectix Corp.”, sentencia del 10/2/00,
203 F.3d 596 (2000).
41 Conducta en la que entra en juego el derecho a la libre competencia y
que genera un gran beneficio para usuarios y consumidores. De hecho, en
los Estados Unidos, este interés público generó que la reglamentación de
la DMCA eximiera a los usuarios de telefonía móvil de esta norma cuando
desean cambiarse de proveedor. Sobre este tema, Cleary, Patrick, “The
Apple Cat and the Fanboy Mouse: Unlocking the Apple iPhone”, North
Carolina Journal of Law & Technology, vol. 9, p. 295 (2008).
42 Lessig, Lawrence, “Libertad de expresión en ambientes digitales,
combatiendo la censura en internet”, trad. de Pablo A. Palazzi, Revista
Derecho y Nuevas Tecnologías, año 3, nº 4-5, p. 57, en relación con el
caso de la rutina “CPACK”.
43 Puede verse en detalle la obra de Rahimzadeh, Auri, Hacking the PSP.
Cool Hacks, Mods, and Customization for the Sony Playstation Portable,
Wiley, Indiánapolis, 2006.
44 Naturalmente, no sería delito intentar acceder a la propia cuenta de
correo electrónico por un medio no convencional, aunque ésta esté alojada
en un servidor ajeno. Se presupone que la apertura de una cuenta de
webmail incluye el derecho de acceso a esa parte del servidor donde están
63
almacenados los mensajes del usuario. Si la cuenta es ajena, en cambio,
podrán resultar de aplicación las nuevas figuras de los arts. 153 y 153 bis,
Cód. Penal.
45 Ver Cabanellas, Guillermo, Régimen jurídico de los conocimientos
técnicos, Heliasta, Buenos Aires, 1984, en especial capítulo II; Spolansky,
Norberto, El delito de competencia desleal y el mercado competitivo, Ad-
Hoc, Buenos Aires, 1997, p. 13 (destacando el fundamento constitucional
de la libertad de trabajar, ejercer actividades económicas y competir de no
existir una norma jurídica que limite su ejercicio); García Menéndez,
Sebastián, Competencia desleal. Actos de desorganización del
competidor, LexisNexis, Buenos Aires, 2004, p. 109, quien sostiene: “No
constituirá un acto de competencia desleal la obtención de la información
o de los conocimientos secretos (...) mediante el análisis de los productos,
procesos o técnicas, adquiridos o conocidos honestamente, que contienen
dicha información o conocimiento (lo cual se ha denominado (...)
‘ingeniería reversa’ o reverse engineering)”.
46 Existe también ingeniería inversa ilegítima, por ejemplo, cuando se
“abre” un programa con el simple fin de eliminar la protección anticopia
y así poder reproducirlo y ponerlo en el mercado o hacerlo accesible para
abrirlo o desprotegerlo (programa conocido con el nombre de cracker).
47 Cabanellas, Guillermo, Contratos de licencia y transferencia de
tecnología en el Derecho Económico, Heliasta, 2010, p. 12.
48 Con el desarrollo de los DRM en cierta medida el derecho de autor se
está transformando en un derecho de control del acceso a las obras. Sobre
este tema, Strowel, M. Alain, “La Loi Creation et Internet: de la
confirmation d´un droit d´accés en droit d´auteur á l´analyse de la
proportionnalité de la response graduée”, en la obra colectiva Contrefacon
sur Internet, IRPI, Colloque de l´IRPI nº 33, Lexis Nexis Litec, p. 99.
49 El art. 36 de la ley 24.481 dispone: “El derecho que confiere una
patente no producirá efecto alguno contra: (...) a) Un tercero que, en el
ámbito privado o académico y con fines no comerciales, realice
actividades de investigación científica o tecnológica puramente
experimentales, de ensayo o de enseñanza, y para ello fabrique o utilice
un producto o use un proceso igual al patentado”.
50 Ver el caso Corte de Apelaciones del Noveno Circuito, “Sony
Computer Entertainment Inc. c. Connectix Corp.”, sentencia del 10/2/00,
203 F.3d 596 (2000). Ver también Palazzi, Pablo A., “Estudio sobre la
responsabilidad civil del proveedor de bienes y servicios informáticos
frente a la crisis del año 2000”, JA, 1999-IV-973, donde sostuvimos la
posibilidad de desensamblar el código ejecutable de un programa
informático y acceder al código fuente de un software en el supuesto de
64
que el proveedor no llegara a resolver el defecto Y2K antes del plazo de
la falla anunciada.
51 Corte Suprema Estados Unidos, caso “Bonito Boats Inc. c. Thunder
Craft Boats Inc.”, 489 U.S. 141 (1989) y fallo de cámara federal en el caso
“Sega Enterprises c. Accolade Inc.”, 977 F.2d 1510, 1518 (9th Cir. 1992).
52 CSJN, sentencia del 3/12/98, y nuestro comentario “La protección
jurídica de los programas de ordenador (a propósito de un reciente fallo
de la Corte Suprema de Justicia de la Nación)”, JA, 1998-III-319.
53 Ver un resumen en castellano en Electronic Frontier Foundation, “Las
consecuencias no deseadas: cinco años bajo la Digital Millennium
Copyright Act”, Revista Chilena de Derecho Informático, nº 4, mayo de
2004, pp. 17-35, disponible en www.derechoinformatico.uchile.cl. En la
doctrina extranjera, los siguientes autores han resaltado que las normas
antielusión de la DMCA no contienen un equitativo balance frente a los
derechos de fair use, y otros usos no infractores a las normas de derecho
de autor. Ver, entre otros: Armstrong, Timothy K., “Digital Rights
Management and the Process of Fair Use”, 20 Harv. J. L. & Tech. 49
(2006); Benkler, Yochai, “Free as the Air to Common Use: First
Amendment Constraints on Enclosure of the Public Domain”, 74 N.Y.U.
L. Rev. 354 (1999); Burk, Dan L. - Cohen, Julie E., “Fair Use
Infrastructure for Rights Management Systems”, 15 Harv. J. L. & Tech.
41 (2001); Cohen, Julie E., “Lochner in Cyberspace: The New Economic
Orthodoxy of ‘Rights Management’”, 97 Mich L. Rev. 462 (1997);
Lipton, Jacqueline D., “Solving the Digital Piracy Puzzle: Disaggregating
Fair Use from the DMCA’s Anti-Device Provisions”, 19 Harv. J. L. &
Tech. 111 (2005); Sadd, Tricia J., “Fair Use as a Defense Under the Digital
Millennium Copyright Act’s Anti-Circumvention Provisions”, 10 Geo.
Mason L. Rev. 321 (2001); Samuelson, Pamela, “Intellectual Property and
the Digital Economy: Why the Anti-Circumvention Rules Need to Be
Revised”, 14 Berkeley Tech. L. J. 519 (1999); Ginsburg, Jane C., “The
Pros and Cons of Strengthening Intellectual Property Protection:
Technological Protection Measures and Section 1201 of the U.S.
Copyright Act”, Columbia Law Sch. Pub. Law & Legal Theory Working
Paper Group, Paper nº 07-137, 1/2/07, disponible en
http://ssrn.com.ebook.21.edu.ar/.
54 Herman, Bill, “Breaking and Entering my Own Computer: The Contest
of Copyright Metaphors”, 13 Comm. L. & Pol’y 231 (2008).
55 Bibliografía: Robison, William Jeremy, Note, “Free at What Cost?:
Cloud Computing Privacy Under the Stored Communications Act”, 98
GEO. L.J. 1195, 1199-1203 (2010); Barnhill, David, “Cloud Computing
and Stored Communications”, 25 Berkeley Tech. L.J. 621, (2010);
65
Mather, Tim - Latif, “Shahed Cloud Security and Privacy: An Enterprise
Perspective on Risks and Compliance (Theory in Practice); PRC, he
Privacy Implications of Cloud Computing”, www.privacyrights.org y “Do
You Know Where Your Data is in the Cloud?”, Forrester Research
(www.forrester.com).
56 Idea de George Gilder en su artículo de octubre 2006 en la revista
Wired titulado “Las fábricas de información”.
1. Introducción -
Será reprimido con la pena de prisión de seis (6) meses a cuatro (4) años,
el que hallándose en posesión de imágenes de desnudez total o parcial y/o
videos de contenido sexual o erótico de una o más personas, las hiciere
públicas o difundiere por medio de comunicaciones electrónicas,
telecomunicaciones, o cualquier otro medio o tecnología de transmisión
de datos, sin el expreso consentimiento de la o de las mismas para tal fin,
aun habiendo existido acuerdo entre las partes involucradas para la
obtención o suministro de esas imágenes o video.
69
Algunos países ya están respondiendo a través de medidas penales a la
difusión no consentida de imágenes sexuales a través de las TIC. En una
reciente publicación del diario Clarín, aparecida en la edición del 20 de
noviembre de 2014, se informa de que en Japón el Parlamento aprobó una
ley llamada de “pornovenganza”, por medio de la cual se aplican penas de
prisión y multa a la difusión no consentida por Internet de imágenes o
videos de contenido sexual de las ex parejas. La ley también obliga a los
proveedores de Internet a eliminar los contenidos cuando se haya
confirmado que se trata de imágenes de tales características.
70
En España, a raíz de un caso que tomó estado público en 2012, en el que
se puede ver a una concejal de la localidad toledana de Los Yébenes,
Olvido Hormigos Carpio, en un video íntimo difundido sin su
consentimiento, difundido primero por Whatsapp y luego por Internet, se
impulsó una iniciativa gubernamental tendiente a sancionar una normativa
relacionada con este tipo de situaciones, en un nuevo proyecto de ley de
reformas al Código penal de 2010, concretándose en la LO 1/2015 de 30
de marzo, cuya entrada en vigor se produjo el 1 de julio de 2015, y por la
que se introdujo un nuevo artículo, el 197.7, con el siguiente texto: “Será
castigado con una pena de prisión de tres meses a un año o multa de seis
a doce meses el que, sin autorización de la persona afectada, difunda,
revele o ceda a terceros imágenes o grabaciones audiovisuales de aquella
que hubiera obtenido con su anuencia en un domicilio o en cualquier otro
lugar fuera del alcance de la mirada de terceros, cuando la divulgación
menoscabe gravemente la intimidad personal de esa persona. La pena se
impondrá en su mitad superior cuando los hechos hubieran sido cometidos
por el cónyuge o por persona que esté o haya estado unida a él por análoga
relación de afectividad, aun sin convivencia, la víctima fuera menor de
edad o una persona con discapacidad necesitada de especial protección, o
los hechos se hubieran cometido con una finalidad lucrativa”.
Con arreglo a lo dicho, se puede afirmar que el sexting tiene dos etapas.
Una comprende el circuito señalado anteriormente (fotografías de
contenido sexual, dispositivo electrónico y consentimiento del emisor), y
otra (que implica una etapa extendida de la primera, pues el sexting, en
sentido estricto, finaliza con el acto de remisión/recepción de la imagen),
que abarca el momento de la recepción de las imágenes por el destinatario
y su difusión no consentida por la red, exponiéndolas a un número
indeterminado de personas. Es en esta segunda etapa, en la que se
perfecciona el delito, se pueden perseguir distintos objetivos: humillar a
la víctima públicamente, denigrarla, mancillar su honor, molestarla,
extorsionarla para obtener algún provecho económico, amenazarla con
una finalidad sexual, etc.
En suma, el circuito de esta práctica sería del siguiente modo: una primera
etapa que abarca la captación de imágenes de contenido sexual entre dos
o más personas (también puede tratarse de un autorretrato o selfie) que
luego se envían por algún medio electrónico a otra persona (novio, pareja,
amigo, etc.). Sin el uso de Internet no puede darse un supuesto de sexting.
Esta es la modalidad de la práctica en sentido estricto, impune en nuestro
derecho. Después pueden derivarse otras etapas o formas de conducta
cuya realización puede o no ser punible, según cuál sea la modalidad
empleada y las finalidades –como tenemos dicho– que persiga el autor:
73
por ej., la difusión de las escenas íntimas sin autorización de la persona
afectada, sin más intención que la de subir la imagen a la red, o bien con
la finalidad de humillar, con ánimo de venganza (revenge porn) o para
extorsionar a la víctima (sextorsión).
74
3. Conveniencia de intervenir penalmente en casos de sexting -
El aumento de los casos que han saltado al dominio público, y que se han
dado a conocer por revelaciones periodísticas, en los que se encuentran
involucrados menores, especialmente en edad escolar, en la difusión de
imágenes de contenido erótico a través de Internet, contra la voluntad de
sus protagonistas, ha puesto al descubierto los daños –físicos y
psicológicos– que la divulgación no autorizada de tales imágenes produce
en sus víctimas, circunstancia que debe movilizarnos a preguntarnos si no
es hora de promover una intervención estatal más rigurosa a través de la
tipificación penal de estas conductas.
75
puede lograrse por otras vías menos estigmatizantes, la única opción
disponible es la vía punitiva.
Es más que evidente que este tipo de comportamientos van más allá del
mero conflicto (amoroso, familiar, etc.) autor-víctima, pues trascienden la
pura individualidad para poner en peligro un generalizado sector de la
sociedad, de la que forma parte, ciertamente, un grupo de riesgo que
requiere una protección adicional, como son los menores de edad, aun
cuando la práctica también es de frecuente uso por personas adultas. De
aquí que resulte conveniente, a la hora en que deba sancionarse una
normativa que castigue estas conductas, formular una distinción entre
mayores y menores de edad, incrementándose la penalidad cuando la
víctima sea una persona menor de edad, o se encuentre afectada de alguna
discapacidad, o los hechos sean cometidos con una finalidad lucrativa o
por venganza u odio derivados de una relación de afectividad.
76
La duda estaría fundada en que una buena parte de la responsabilidad por
estos hechos recae en la propia víctima, pues ella es la que consiente una
intromisión a su intimidad personal a través de la obtención de imágenes
en situaciones de sexualidad explícita o comprometedora, sea en forma
individual o bien con otra persona. Por lo que estas prácticas y la
consecuente cesión de las imágenes de contenido sexual a un tercero no
sólo implicaría una exposición voluntaria de la intimidad, sino también
una actitud imprudente, al depositar la confianza en una persona (el
receptor) de que las mantendrá en privado y no las hará públicas por medio
de su divulgación, supuestos en que se daría una hipótesis de puesta en
una situación de un riesgo libremente asumido15.
77
El riesgo jurídico-penalmente relevante no fue creado por la víctima al
tomarse las fotografías con su pareja, sino por la propia conducta de este
–o en su caso, de un tercero–, al difundirlas por la red. Si bien es verdad
que la víctima ha dispuesto libremente de su intimidad al consentir obtener
imágenes sexuales explícitas con su pareja, no quiere ello significar que
esa libre disponibilidad del bien jurídico se mantenga indefinidamente en
el tiempo, de modo tal que permita presumir que su ulterior difusión o
divulgación por la red no sea antijurídica, esto es, que es una acción
permitida.
Del literal del precepto, se puede colegir que el tipo penal propuesto no
responde exactamente a la figura del sexting, en el concepto estricto del
vocablo antes señalado, ni tampoco a la conducta ilegal conocida como
pornovenganza (o revenge porn)19, consistente en difundir imágenes o
videos de contenido sexual, a través de las redes sociales, sin el
consentimiento de la persona afectada, con la finalidad de humillarla, de
provocarle algún daño, por revanchismo o desquite por situaciones
pasadas conflictivas, venganza o, simplemente, para extorsionarla con la
finalidad de obtener alguna ventaja económica o de otra índole (chantaje,
sextorsión).
El nuevo art. 155 bis del Proyecto en modo alguno guarda equivalencia
con los fundamentos dados por la legisladora impulsora del mismo, en los
que se apunta, casi exclusivamente, a los casos de “pornovenganza”, como
se puede deducir claramente de las siguientes expresiones: “El desarrollo
de las nuevas Tecnologías de la Información y la Comunicación (TIC),
sumadas a los dispositivos electrónicos para la producción de material
audiovisual inmediato, ha favorecido el uso de nuevas prácticas y
conductas en los espacios de la intimidad sexual, de las que resultan
imágenes o videos que son el resultado de un acuerdo entre las partes
involucradas pero reducidas al espacio de confianza/privacidad en que
fueron obtenidas. Muchas de estas conductas devienen en situaciones
impensadas para quienes la produjeron o consintieron. Tal es el caso de
algunas personas que motivas por represalia, resentimiento, extorsión,
venganza o sentimientos de animosidad respecto de ex parejas o
relaciones ocasionales de intimidad (destacado nuestro), suben al
ciberespacio imágenes y/o videos que atentan directamente contra la
libertad, la privacidad y dignidad de las personas. A esta práctica se la
conoce con el nombre de ‘pornografía de venganza’”.
79
En efecto, el tenor del precepto que se propone comprende dos
modalidades de conducta (en ambas hipótesis como un delito de peligro
concreto), que lo convierte en un tipo mixto de carácter alternativo: hacer
públicas imágenes de desnudez total o parcial y/o videos de contenido
sexual o erótico, o difundir dichas imágenes o videos mediante el uso de
las TIC o “cualquier otro medio o tecnología de transmisión de datos”. En
ambos casos, se requiere como presupuesto que una persona se halle en
posesión de tales imágenes y/o videos, sin importar la forma o el medio
que pudo haber utilizado para obtener y mantener en su poder dichas
cosas, inclusive en aquellos casos en que se haya empleado para la captura
de las imágenes un medio ilícito20.
Vale decir que, en una de sus modalidades típicas, es suficiente para tener
por perfeccionado el delito que una persona haya difundido la imagen o el
video de contenido sexual, por cualquier medio, inclusive a través de
medios electrónicos o telemáticos. Pues, lo que esta conducta exige es que
el poseedor de las cosas las haya hecho llegar (“las hiciere públicas”, dice
la norma en proyecto), por cualquier medio (prensa escrita, oral, vía postal
o electrónica, etc.), a un número determinado o indeterminado de
personas, situación que se podría confundir con algunas de las figuras
descriptas en los arts. 153, 154, 155, del Código penal. Pero, de lo que no
puede haber dudas es de que no se trata de un supuesto de sexting (ni en
su primera ni en su segunda etapa extendida), pues, además de la no
exigencia del empleo de Internet o de cualquier otro medio tecnológico de
transmisión de datos, tampoco se requiere que la captación de las
imágenes o videos se haya llevado a cabo con el consentimiento de las
partes implicadas en la relación íntima (“aun habiendo existido acuerdo
80
entre las partes involucradas para la obtención o suministro de esas
imágenes o video”, dice la norma), circunstancia que podría plantear
alguna cuestión relativa a la disponibilidad del bien jurídico protegido –la
intimidad personal–, especialmente en aquellos casos en que el
consentimiento para la grabación haya sido prestado por una persona
mayor de edad, con lo cual podría discutirse su posterior difusión como
delito contra la intimidad.
81
Otro aspecto preocupante de la norma proyectada reside en que no
formula ninguna distinción de edad entre los sujetos envueltos en la
relación sexual, especialmente en aquellos casos en que el consentimiento
para la grabación fue prestado por un menor de edad, circunstancia en la
que podría plantearse la validez de dicho consentimiento, lo cual obligaría
a analizar cada caso en concreto a fin de verificar no sólo el aspecto
cronológico relacionado con la edad de la persona, sino su grado de
madurez para otorgar un consentimiento válido.
82
Por último, nos parece que el segundo párrafo del artículo, cuando
establece: “La persona condenada será obligada a arbitrar los mecanismos
necesarios para retirar de circulación, bloquear, eliminar o suprimir, el
material de que se tratare, a su costa y en un plazo a determinar por el
juez”, carece de todo sentido lógico, pues, si la víctima debe esperar a que
el autor de la revelación o difusión no consentida de las imágenes o videos
de contenido sexual sea condenado mediante sentencia firme para que las
retire o elimine de la red, entonces en todo ese “largo” tiempo de duración
del proceso penal su derecho fundamental a la intimidad personal habrá
quedado pisoteado por una suerte de perpetuo linchamiento digital y, ¡qué
duda cabe!, por el propio sistema judicial. Claro que se podrá responder:
para esto están las medidas cautelares, pero frente a esto se podría alegar:
el precepto se refiere a “persona condenada”, de manera que la sentencia
firme es necesaria para la implementación de la medida. A esta dificultad
hay que añadir otra: la difusión del material por vía digital seguramente
implicará una real imposibilidad no sólo de cumplir con la sentencia (lo
que ingresa al mundo digital no tiene vuelta atrás), sino de evitar un daño
que ya fue consumado.
Notas -
1 Ver https://tn.com.ar.
2 Ver informe de Infobae del 4/5/18. Hemos puesto el foco en los menores
de edad –dice un representante de la ONG Argentina Cibersegura–. No
son exclusivamente para quienes trabajamos, pero sí a quienes dedicamos
la mayor parte del tiempo, contó Sebastián Bortnik, presidente de la ONG,
referente nacional en la materia. El líder de la organización manifestó
cuáles son los tres factores de riesgos que hoy se distinguen en la red: la
privacidad –el sexting–, el ciberbullying y el grooming. “Estas
problemáticas están pasando cada vez más, a edades mucho más
tempranas. Nuestra intención es llegar a charlar estos temas antes de que
los chicos sean víctimas, y no después”, asumió el máximo dirigente de
Argentina Cibersegura.
3 Conf. Miró Llinares, Fernando, El cibercrimen. Fenomenología y
83
criminología de la delincuencia en el ciberespacio, Marcial Pons, Madrid,
2012, p. 92.
4 S-21119/16, presentado por las senadoras Marina R. Riofrio, Beatriz G.
Mirkin y Norma H. Durango.
5 La palabra sexting es el producto de una fusión de dos términos ingleses:
sex (sexo) y texting (envío de mensajes de texto). Según la Guía sobre
Adolescencia y Sexting: qué es y cómo prevenirlo, Madrid, 2011, cit. por
Martínez Otero, Juan María, en “La difusión de sexting sin consentimiento
del protagonista un análisis jurídico”, Derecom, nº 12, Nueva Época,
Valencia, 2013, son cuatro las peculiaridades que le dan a esta práctica
sus perfiles específicos: la voluntariedad en la producción y envío del
material, la utilización de dispositivos tecnológicos que facilitan la
captación de las imágenes y su posterior envío, el carácter sexual o erótico
de los contenidos y la naturaleza privada y casera de las imágenes
(fotografías o videos).
6 Buompadre, Jorge Eduardo, La violencia de género en la era digital, pp.
1 y ss., Astrea, Buenos Aires, 2016.
7 Disponible en http://bullyings infrontera s.blogsp ot.com.ar.
8 Un análisis detallado de esta figura en Tovani, Stefano y Trinci,
Alessandro, Lo Stalking. Il reato di atti persecutori: aspetti sostnziali e
processuali, Dike Giuridica Editrice, Roma, 2013.
9 Barrios, Andrés Moisés, Ciberdelitos, amenazas criminales del
ciberespacio, Reus, Madrid, 2017, p. 51 y ss.
10 Citado por Agustina, José R., en “¿Menores infractores o víctimas de
pornografía infantil? Respuestas legales e hipótesis criminológicas ante el
sexting”, RECPC, nº 12-11, 2010.
11 Leary, M. G., cit. por Miró Llinares, El cibercrimen… cit., p. 96.
Destaca este autor que en algunos estudios se han ampliado los límites de
la definición de sexting, abarcando el intercambio de mensajes de
contenido sexual explícitamente provocativos que no incorporen
imágenes, siempre que se pueda deducir de ellos una clara intencionalidad
provocativa de acuerdo con los usos sociales.
12 Fernández Escobedo, Guadalupe, Pornovenganza, cuando la violencia
se viraliza, disponible en http://grafem a.com .mx.
13 http://www.pan tallasa migas.net, cit. por Casado Caballero, Vanessa,
Violencia de género y nuevas tecnologías, disponible en nanopdf.com.
14 Martínez Otero, Juan María, “El nuevo tipo delictivo del artículo 197.4
bis: la difusión no autorizada de imágenes íntimas obtenidas con
consentimiento”, La Ley, nº 8234, 22/1/14, año XXXV, Madrid, 2014.
15 Con esta idea, Martínez Otero, “El nuevo tipo delictivo…”, cit., quien
dice que el que revela facetas de la propia intimidad a un tercero realiza
84
un acto libre, y como tal, un acto responsable. Se sitúa voluntariamente en
una situación de riesgo, y debe asumir las consecuencias de sus actos,
máxime cuando estas consecuencias son tan indeseadas como previsibles.
Y la posibilidad de que el sujeto que recibe los contenidos íntimos pueda
posteriormente reenviarlos es una posibilidad cierta y real, que debió tener
en cuenta antes de hacerle entrega de dichas imágenes. Por ello –
concluye– no parece lo más adecuado acudir al Derecho penal cuando
dicha posibilidad se materializa y se produce el atentado contra la
intimidad.
16 Rodríguez Ruiz, Blanca, El secreto de las comunicaciones: tecnología
e intimidad, McGraw-Hill, Madrid, 1997, pp. 163 y ss.
17 Ídem, p. 164.
18 Roxin, Claus, “El injusto penal en el campo de tensiones entre la
protección de bienes jurídicos y la libertad individual”, La Teoría del
Delito en la discusión actual, Grijley, Lima, 2007, p. 93.
19 Para mayores detalles sobre esta conducta, véase Palazzi, Pablo A.,
“Difusión no autorizada de imágenes íntimas (revenge porn)”, El
Derecho, nº 13.906, año LIV, 2/3/2016. Del mismo, “Consideraciones
sobre la aprobación por el Senado de un proyecto de ley para penalizar la
publicación de imágenes íntimas (revenge porn)”, disponible en
www.researchgate.net.
20 Un sector de la doctrina entiende que la conducta del tipo penal
propuesto en el proyecto del Senado describe dos acciones que deben
darse conjuntamente: 1) estar en posesión de las imágenes íntimas y 2)
difundirlas por cualquier medio (Palazzi, “Consideraciones sobre la
aprobación…”, cit. La opinión de este autor puede ser discutible, pues
introduce un problema aún no definitivamente resuelto sobre los llamados
delitos de posesión, esto es, si configuran o no un comportamiento
humano que pudiere criminalizarse (para algunos no es ni una acción ni
una omisión) y, además, si se tratare de un obrar humano habría que
justificar –o fundamentar– la legitimidad del castigo de estos
comportamientos. En nuestra opinión, la “posesión” de la imagen íntima
no es la acción típica, sino un presupuesto de las dos acciones previstas:
hacerla pública o difundirla por cualquier medio. Cfr. sobre esta temática,
Pastor Muñoz, Nuria, Los delitos de posesión y los delitos de estatus: una
proximación político-criminal y dogmática, Atelier Libros Juridicos,
Barcelona, 2005.
21 Art. 1770 CCCN. Protección de la vida privada. El que arbitrariamente
se entromete en la vida ajena y publica retratos, difunde correspondencia,
mortifica a otros en sus costumbres o sentimientos, o perturba de cualquier
modo su intimidad, debe ser obligado a cesar en tales actividades, si antes
85
no cesaron, y a pagar una indemnización que debe fijar el juez, de acuerdo
con las circunstancias. Además, a pedido del agraviado, puede ordenarse
la publicación de la sentencia en un diario o periódicos del lugar, si esta
medida es procedente para una adecuada reparación.
22 Una información proveniente del sitio DiarioJudicial.com, de 5 de abril
de 2018, da cuenta de que la Comisión encargada de elaborar el
anteproyeto de Reforma del Código penal decidió incluir el delito de
“pornovenganza”, cuyo texto prevé una agravante cuando los hechos
hubieren sido cometidos por personas que estén o hayan estado casadas,
o en una relación afectiva estable, aun sin convivencia, o cuando la
persona fuera menor de edad o hubiera fin de lucro. El texto propuesto en
el anteproyecto, como se puede apreciar, es similar al del art. 197.7 del
Código penal español, pero es muy diferente con el proyecto que se
encuentra en trámite parlamentario en el Congreso y que analizamos en
esta nota.
Romina S. Iannello
J. Darío Veltani
1. Introducción -
86
Las posibilidades que brinda la tecnología en este campo son asombrosas,
ya que no sólo sirven para resguardar recuerdos, sino que se ha propuesto
su utilidad para ayudar a quienes sufren enfermedades como el
Alzheimer1.
Pero existe una contracara de esta realidad, que puede afectar severamente
la vida de las personas, y que se da cuando terceros acceden
ilegítimamente a esos registros y los hacen públicos, o bien cuando ciertos
momentos de la vida privada son captados sin autorización. La casuística
es muy rica, por lo que en el presente trabajo nos limitaremos a analizar
una conducta específica, denominada genéricamente “pornovenganza”.
87
Luego, distinguiremos la pornovenganza de otras conductas similares que
se encuentran expresamente tipificadas en el Código Penal argentino, a fin
de determinar si alguno de los tipos penales existentes resulta adecuado
para su persecución o si, por el contrario, es necesario una reforma
legislativa que introduzca un tipo penal específico.
88
Habitualmente, el acceso al material íntimo con contenido sexual se da en
el marco de una relación previa existente entre el autor y la víctima,
aunque puede ocurrir una vez terminada la relación.
Puede ser que el material haya sido grabado por el propio autor, con el
consentimiento de la víctima o sin él, o bien que se trate de material al que
el autor accedió como consecuencia de la confianza de la víctima (sea que
la víctima le hubiera facilitado el material, o que el autor lo hubiera
obtenido sin su consentimiento).
89
En la pornovenganza, el autor quiere identificar a la víctima para generar
el efecto humillante y el daño propio de esta conducta. Dado que no en
todos los casos el material permitirá identificar inequívocamente a la
víctima (por ejemplo, puede ocurrir que en un video no resulte clara la
imagen), el autor procurará incorporar elementos al difundirlo que
permitan hacerlo. Esto puede implicar incorporar el nombre y/o
información de contacto de la víctima, o bien otros datos que,
interpretados en su ámbito social y familiar, permitan identificarla
fácilmente.
91
3.1. Distribución de pornografía infantil
Para nuestro análisis, tuvimos especialmente en cuenta que el art. 153 del
CP fue modificado por la Ley de Delitos Informáticos 26.388 (en adelante,
la LDI)18, que también modificó el art. 77 del CP. Este último, en su
redacción actual, dispone que “el término documento comprende toda
representación de actos o hechos, con independencia del soporte utilizado
para su fijación, almacenamiento, archivo o transmisión” y que “el
término instrumento privado19 y certificado comprenden el documento
digital firmado digitalmente”20.
Ahora bien, estamos ante un delito cuya pena es una multa, que resulta
absolutamente insuficiente con relación al menoscabo que sufre la víctima
de pornovenganza. Por lo tanto, teniendo en cuenta que sólo resultaría de
aplicación en ciertos casos (cuando el autor accedió legítimamente al
contenido y lo publicó) que no resultan representativos de la mayoría de
los supuestos, y que la pena es irrisoria, consideramos que no resulta una
norma adecuada para perseguir la pornovenganza.
En aquellos casos en los cuales el autor amenaza a la víctima para que esta
le entregue una cosa o realice un acto para evitar la publicación del
material íntimo, podemos estar ante un supuesto de extorsión.
Dado que el contenido íntimo podría ser considerado una “obra” protegida
por la Ley de Propiedad Intelectual 11.723 (en adelante, la LPI)29, su
distribución sin el consentimiento de la víctima podría ser considerado un
supuesto de defraudación previsto en esa normativa.
Con relación a esta cuestión, los problemas que surgen son varios: i) que
existen discusiones respecto de la norma genérica de defraudación de la
LPI que determinan que en muchos casos su aplicación sea difícil (porque
se trata de un tipo penal abierto, que utiliza el término “defraudar” y remite
al tipo penal de la defraudación del CP, aunque la doctrina es conteste en
que la palabra defraudar no se utilizó en su sentido técnico jurídico sino
genéricamente); ii) que el contenido íntimo no siempre podrá ser
calificado como obra (aspecto que se hace más difícil, por ejemplo, en el
caso de las imágenes, que requieren un cierto grado de originalidad), y iii)
que si el contenido es una “obra”, en algunos casos podría ocurrir que el
autor del delito también tenga derechos sobre esa “obra” (por ejemplo, si
es quien tomó las imágenes o filmó el video)30.
3.7. Injurias
El art. 157 bis, inc. 3, del CP reprime con prisión de 1 mes a dos años a
quien “ilegítimamente insertare o hiciera insertar datos en un archivo de
datos personales”34. Se trata de una figura relativamente nueva,
incorporada en el CP por la Ley de Hábeas Data 25.326 (en adelante,
LPDP), y luego modificada por la LDI.
97
Al respecto, se ha dicho que “también constituyen “datos personales”,
según nuestra interpretación, los comentarios que las personas puedan
incorporar en redes sociales (v.gr. Facebook), como así también en blogs
y/o cualquier otro sitio en que dichos comentarios estén vinculados con
un usuario que permita, aunque sea de modo indirecto, identificar a su
autor. Y también son “datos personales” la dirección de correo
electrónico, las imágenes y/o videos incorporados por las personas en
redes sociales y/u otras plataformas tecnológicas para compartir
contenidos”37.
El tipo penal es más amplio aún que lo que se requeriría para calificar a la
pornovenganza, ya que no exige un dolo especial vinculado con la
deshonra o humillación de la víctima. Lo comete quien “sin autorización
y en forma indebida, asiente en tales registros una información que no
haya sido autorizada por la persona afectada, o que no haya respetado los
procedimientos y mecanismos legales establecidos para su debida
incorporación”40.
98
4. Conclusiones -
Con relación al resto de los delitos que repasamos y que podrían resultar
aplicables, (i) el intrusismo informático es una figura residual y con una
pena muy baja, que no resulta razonable para la pornovenganza; (ii) la
violación de correspondencia y papeles privados sólo resultará de
aplicación indiscutible cuando el material haya sido remitido a través de
una comunicación electrónica, por lo que en el resto de los casos su
aplicación podría ser cuestionada; (iii) la publicación indebida de
correspondencia y papeles privados comparte la misma debilidad que el
delito anterior, pero, además, tiene una pena que resulta irrisoria para la
pornovenganza, y (iv) el delito de injurias, si bien resultaría claramente de
aplicación, tiene una pena que no resulta adecuada para la pornovenganza.
Sin embargo, existe un tipo penal que entendemos permite encuadrar casi
a la perfección la pornovenganza: el delito de inserción ilegítima de datos
en una base de datos personales. Es que, como explicamos, la imagen,
audio o video de una persona constituyen datos personales en los términos
de la LPDP en la medida en que dicha persona esté determinada o sea
determinable. Y como también señalamos, cualquier plataforma
tecnológica (sitio de Internet, red social, etc.) que funcione como
repositorio de este tipo de contenidos, los clasifique y permita que terceros
accedan a ellos, constituye una base de datos para la LPDP. En la
pornovenganza, la viralización del material íntimo con contenido sexual
se realiza a través de alguna o varias de estas plataformas tecnológicas,
por lo que prácticamente siempre constituirá el delito de inserción
ilegítima de datos en una base de datos personales.
Ahora bien, este tipo penal tiene dos grandes problemas que determinan
que no resulte eficaz, en la práctica, para perseguir la pornovenganza.
100
El segundo es que podrían generarse discusiones respecto de la
competencia, porque la LPDP dispone que están sujetas a jurisdicción
federal las bases de datos interconectadas en redes interjurisdiccionales42.
Dado que en el caso de la pornovenganza se tratará, en general, de bases
de datos interconectadas (Internet lo es), podrían suscitarse conflictos de
competencia.
Notas -
101
1 Al respecto, puede leerse el trabajo publicado con relación a la “Sense
Cam” de Microsoft, en www.microsoft.com.
2 El término proviene de la voz inglesa “revenge porn”, que tampoco tiene
una definición unívoca y ha sido objeto de discusiones en cuanto a su
definición. Al respecto, ver Palazzi, Pablo A., “Difusión no autorizada de
imágenes íntimas (revenge porn)”, ED, 2/3/16.
3 Existen sitios en los cuales los usuarios suben sus propios videos íntimos
y los comparten, mediando consentimiento de todos los involucrados. En
esos sitios, habitualmente, los usuarios pueden “compartir” materiales que
han sido subidos por otros usuarios. Por lo tanto, cuando un video ha sido
subido a uno de estos sitios, otro usuario del sitio podría compartirlo en el
entendimiento de que está realizando una acción consentida por quien
subió el video.
4 No se nos escapa que podría darse que el autor acceda de modo casual
al material antes de conocer a la víctima. En este supuesto, si luego entabla
una relación con la víctima y difunde el material íntimo con el dolo
especial que describimos en el presente, también se configuraría un caso
de pornovenganza.
5 Respecto del concepto de “red social”, se ha dicho que “con él se alude,
genéricamente, a las plataformas tecnológicas que permiten compartir
información personal y acceder a información de otras personas e
interactuar con dicha información. Las plataformas tecnológicas han
avanzado vertiginosamente (en la actualidad se puede acceder a ‘redes
sociales’ prácticamente desde cualquier dispositivo móvil con conexión a
Internet), y también la cantidad y calidad de información que puede
compartirse (entre la que se incluyen textos, fotografías, audio y video
incluso en tiempo real). Ambos parámetros pareciera ser que no detendrán
su evolución, por lo que cualquier definición de ‘red social’ debe
ensayarse en términos genéricos para no resultar anacrónica a poco de ser
formulada. Una característica distintiva de las ‘redes sociales’ respecto de
otras plataformas tecnológicas que permiten compartir información es el
hecho de que, en términos generales, en las ‘redes sociales’ el titular de la
información ‘elige’ con quién la comparte. Es decir, para poder acceder a
información de una persona es necesario estar ‘autorizado’ por dicha
persona. Esta autorización puede ser ‘general’ (es decir, puede ser que la
persona que publica su información personal decida que cualquiera pueda
verla) o bien ‘particular’ (en cuyo caso, la persona que publica su
información personal debe autorizar en forma expresa a cada persona que
pretenda acceder a ella). Teniendo en cuenta la definición ensayada
precedentemente, podemos decir que, desde el punto de vista jurídico, las
‘redes sociales’ son sistemas de bases de datos que permiten acceder,
102
compartir y tratar datos personales de sus usuarios. Pero, además, las redes
sociales también pueden ser entendidas como sistemas de mensajería o
comunicación, dado que en general permiten el intercambio de
información (v.gr. mensajes, audio y/o video) entre dos o más usuarios,
en forma privada” (Veltani, Juan Darío, “El uso de las redes sociales en el
ámbito laboral”, LL, 2012-A-760).
6 La “viralización” de un contenido ocurre cuando este es subido a
diversas plataformas que lo reproducen y que permiten a sus usuarios
descargarlo y reproducirlo también. Entonces, aun cuando el contenido
pueda ser eliminado de la plataforma a la que fue subido en primer lugar,
los usuarios de esa plataforma pueden volver a subirlo, a esa o a otras,
tornando casi imposible –por la atomización de los usuarios y su
dispersión en el mundo– poder eliminarlo completamente de Internet.
7 A los fines de la pornovenganza, el concepto de acto sexual debe ser
interpretado de modo amplio. Esto significa que podrían quedar
comprendidas ciertas prácticas como el fotografiarse en poses sugerentes
o realizando acciones que no necesariamente impliquen sexo explícito.
8 En el caso de la pornovenganza, el material íntimo que se difunde
siempre es audiovisual (es decir, imágenes, sonidos o video). Si se tratase
únicamente de un relato, aunque hiciera referencia a un acto sexual del
cual participase la víctima, estaríamos ante otro tipo de figura (como por
ejemplo, las injurias, que veremos más adelante).
9 La violencia de género, entendida como violencia hacia la mujer, tiene
dos denominadores comunes. Por un lado, la existencia de una mujer
como objeto del maltrato y un hombre agresor. Y, por otro lado, un
componente subjetivo que es el que guía la conducta del agresor: causar
un daño por el hecho de ser mujer. Por lo tanto, no todo ejercicio de
violencia contra la mujer es violencia de género y, por ende, no todos los
casos de pornovenganza podrían catalogarse como actos de violencia de
género (Buompadre, Jorge E., Violencia de género en la era digital,
Astrea, Buenos Aires, 2016).
10 El error o el actuar negligente generalmente consiste en no adoptar las
medidas de seguridad necesarias para proteger la confidencialidad del
contenido.
11 Hemos dejado al hostigamiento fuera de nuestro análisis por no tratarse
de un delito. El hostigamiento es una conducta que, sin llegar a constituir
una amenaza, coarta la libertad de las personas. La víctima es molestada
en su vida privada, mediante una injerencia arbitraria y constante, que
puede darse por distintos medios (llamadas telefónicas, contactos por
correo electrónico, publicaciones en redes sociales, etc.). En la Ciudad de
Buenos Aires constituye una contravención, y en muchos casos ha servido
103
–ante la falta de un delito específico– para perseguir acciones de
pornovenganza.
12 Como puede apreciarse, los verbos típicos no se limitan a la
distribución, sino que se trata de una figura compleja en la que quedan
comprendidas diversas acciones. Esta norma fue reformada recientemente
(ley 27.436 del 23/4/18) a fin de incluir como delito a la mera tenencia de
pornografía infantil, que en la redacción original sólo estaba penada
cuando existían fines inequívocos de distribución. La norma completa, en
la actualidad, establece lo siguiente: “Será reprimido con prisión de tres
(3) a seis (6) años el que produjere, financiare, ofreciere, comerciare,
publicare, facilitare, divulgare o distribuyere, por cualquier medio, toda
representación de un menor de dieciocho (18) años dedicado a actividades
sexuales explícitas o toda representación de sus partes genitales con fines
predominantemente sexuales, al igual que el que organizare espectáculos
en vivo de representaciones sexuales explícitas en que participaren dichos
menores. Será reprimido con prisión de cuatro (4) meses a un (1) año el
que a sabiendas tuviere en su poder representaciones de las descriptas en
el párrafo anterior. Será reprimido con prisión de seis (6) meses a dos (2)
años el que tuviere en su poder representaciones de las descriptas en el
primer párrafo con fines inequívocos de distribución o comercialización.
Será reprimido con prisión de un (1) mes a tres (3) años el que facilitare
el acceso a espectáculos pornográficos o suministrare material
pornográfico a menores de catorce (14) años. Todas las escalas penales
previstas en este artículo se elevarán en un tercio en su mínimo y en su
máximo cuando la víctima fuere menor de trece (13) años”.
13 En el caso “Damonte Ruiz, Santiago Martín s/extorsión por chantaje”
(C. Penal Trenque Lauquen, 26/5/15, LL, 2016-C-123), por ejemplo, en
el que se condenó al autor por extorsión por chantaje, la pornovenganza
se dio con relación a dos videos íntimos, uno de los cuales había sido
filmado por el propio autor. Pero el segundo video había sido accedido
ilegítimamente por dicho autor cuando la víctima le dio acceso a su
computadora.
14 La norma establece que “será reprimido con prisión de quince (15) días
a seis (6) meses el que abriere o accediere indebidamente a una
comunicación electrónica, una carta, un pliego cerrado, un despacho
telegráfico, telefónico o de otra naturaleza, que no le esté dirigido; o se
apoderare indebidamente de una comunicación electrónica, una carta, un
pliego, un despacho u otro papel privado, aunque no esté cerrado; o
indebidamente suprimiere o desviare de su destino una correspondencia o
una comunicación electrónica que no le esté dirigida. En la misma pena
incurrirá el que indebidamente interceptare o captare comunicaciones
104
electrónicas o telecomunicaciones provenientes de cualquier sistema de
carácter privado o de acceso restringido. La pena será de prisión de un (1)
mes a un (1) año, si el autor además comunicare a otro o publicare el
contenido de la carta, escrito, despacho o comunicación electrónica. Si el
hecho lo cometiere un funcionario público que abusare de sus funciones,
sufrirá además, inhabilitación especial por el doble del tiempo de la
condena”.
15 D’Alessio, Andrés José (dir.) - Divito, Mauro A. (coord.), Código
Penal de la Nación comentado y anotado, 2ª ed. actualizada y ampliada,
La Ley, BuenosAires, 2011.
16 Siguiendo una posición similar, Palazzi explica que por papeles
privados debe entenderse aquellos que están reservados a la esfera privada
de alguien y no están destinados a ser conocidos. Es importante remarcar
que la naturaleza de “papel privado” no se altera porque su soporte sea
magnético o informático (Palazzi, Pablo, Los delitos informáticos en el
Código Penal, Abeledo-Perrot, Buenos Aires, 2009, pp. 75-76); en similar
sentido en cuanto a la amplitud que debe darse al concepto de papel
privado, puede verse Fillia, Leonardo César - Sueiro, Carlos Christian -
Monteleone, Romina - Nager Horacio Santiago - Rosende, Eduardo E.,
“Análisis a la reforma en materia de criminalidad informática al Código
Penal de la Nación (ley 26.388)”, LL, 2008-E-938). Con anterioridad a la
reforma de la LDI, en los casos “Giménez, Marcelo D. y otro
s/procesamiento” (CNCrim. y Correc. de la Cap. Fed., Sala de feria B,
15/1/02, elDial.com AAF64) y “Lanata, Jorge” (CNCrim. y Correc., Sala
VI, 4/3/99, elDial.com AA4E0) se aplicó un criterio como el que
propiciamos, algo más flexible en cuanto a las reglas de interpretación
penal.
17 Antes de la LDI se dictaron diversos pronunciamientos que, aplicando
un criterio estricto en materia de interpretación de las normas penales,
consideraron que ciertas conductas cometidas a través de medios
informáticos no podían ser encuadradas en los tipos penales tradicionales.
El más conocido, por su trascendencia institucional, fue el fallo que
consideró que el hacking a la página web de la Corte Suprema de Justicia
de la Nación no podía considerarse “daño” porque la página web no podía
considerarse como una cosa (causa 48, “Giménez, Marcelo D. y otro
s/procesamiento”, cit.). Si se aplicara un criterio similar con relación al
concepto de “papeles privados”, no podrían considerarse comprendidas en
dicho concepto las imágenes, audio o video digitales.
18 Con la modificación se introdujo expresamente el término
“comunicación electrónica”. Si bien la jurisprudencia ya había equiparado
el correo electrónico con el tradicional (inicialmente en el caso “Lanata”
105
cit., y luego en los casos “Grimberg, Alfredo H. s/sobreseimiento”,
CNCrim. y Correc., Sala I, 11/2/03, elDial, AA1B4F y “Falik, Flavia
Débora”, CNCrim. y Correc., Sala VII, 7/4/08, elDial, AA495B, entre
otros), esta inclusión despejó cualquier duda sobre el alcance del tipo
penal.
19 Si bien el CP mantiene la referencia al instrumento privado, en el
ámbito civil existe una nueva categoría, reconocida expresamente por el
Código Civil y Comercial de la Nación (en adelante, CCCN), que es la de
instrumento particular no firmado, en la que en algunos casos también
quedarán comprendidos los registros audiovisuales o auditivos de cosas o
hechos y todo registro de palabra y de información. En efecto, el art. 287
del CCCN dispone que “los instrumentos particulares pueden estar
firmados o no. Si lo están, se llaman instrumentos privados. Si no lo están,
se los denomina instrumentos particulares no firmados; esta categoría
comprende todo escrito no firmado, entre otros, los impresos, los registros
visuales o auditivos de cosas o hechos y, cualquiera que sea el medio
empleado, los registros de la palabra y de información”.
20 El término “comunicación electrónica” también debe interpretarse en
sentido amplio, entendiendo por tal todo “mensaje enviado por un
individuo a otra persona por medio de un sistema electrónico. Este
concepto es tan amplio que se incluye el clásico mensaje de correo
electrónico, un chat, un fax, una llamada a través de VOIP o un mensaje
de texto enviado de celular a celular” (Palazzi, Los delitos informáticos
en el Código Penal, p. 75).
21 La norma dispone que “será reprimido con multa de pesos un mil
quinientos ($ 1.500) a pesos cien mil ($ 100.000), el que hallándose en
posesión de una correspondencia, una comunicación electrónica, un
pliego cerrado, un despacho telegráfico, telefónico o de otra naturaleza,
no destinados a la publicidad, los hiciere publicar indebidamente, si el
hecho causare o pudiere causar perjuicios a terceros. Está exento de
responsabilidad penal el que hubiere obrado con el propósito inequívoco
de proteger un interés público”.
22 Un aspecto problemático de esta norma, cuyo análisis excede el marco
del presente trabajo, es la solución que cabría dar en aquellos casos en que
el material es reenviado por su legítimo destinatario a una única persona,
quien a su vez lo reenvía a otra y así se forma una cadena de reenvíos. Es
que si bien cada uno de estos reenvíos punto a punto, analizados
individualmente, no constituirían el delito previsto por la norma, el efecto
viralizador que se genere es equiparable a la publicación.
23 Nager, Horacio Santiago, “Protección penal de la privacidad en la
‘sociedad de la información’. Análisis dogmático de los delitos
106
informáticos introducidos en el Código Penal por la ley 26.388”, elDial,
DC1529).
24 Actualmente, existe una tendencia mundial relacionada con el envío de
imágenes de contenido sexual a través de sistemas de mensajería
instantánea que se conoce como “sexting”. La particularidad de esta
práctica es que tanto la captación de las imágenes como su envío es
consentida. Y las características del contenido y del medio a través del
cual se envía determinan que su publicación y viralización sean simples y
puedan realizarse en pocos segundos con un alcance devastador. Si bien
el sexting en sí mismo no es una conducta ilegítima, porque se trata de un
envío consentido, su práctica puede ser el puntapié inicial para la comisión
de otros actos que sí resultan delictivos (Buompadre, Violencia de género
en la era digital, cit.).
25 El art. 168 del CP establece que “será reprimido con reclusión o prisión
de cinco a diez años, el que con intimidación o simulando autoridad
pública o falsa orden de la misma, obligue a otro a entregar, enviar,
depositar o poner a su disposición o a la de un tercero, cosas, dinero o
documentos que produzcan efectos jurídicos. Incurrirá en la misma pena
el que por los mismos medios o con violencia, obligue a otro a suscribir o
destruir documentos de obligación o de crédito”. El art. 169 del CP, por
su parte, dispone que “será reprimido con prisión o reclusión de tres a
ocho años, el que, por amenaza de imputaciones contra el honor o de
violación de secretos, cometiere alguno de los hechos expresados en el
artículo precedente”.
26 Para una corriente doctrinaria, deben ser documentos cuyos efectos
jurídicos importen una lesión patrimonial. Pero otra corriente, a la que
adherimos, entiende que comprende toda especie de documentos que, sin
producir efectos jurídicos, tienen un valor en sí mismos. De este modo, el
material íntimo podría considerarse dentro de esta categoría de
documentos (D’Alessio –dir.– - Divito –coord.–, Código Penal de la
Nación comentado y anotado, cit.).
27 Es importante destacar que la intimidación o amenaza debe ser una
compulsión moral, sin violencia física. De existir violencia física,
estaríamos dentro de otro tipo penal (D’Alessio –dir.– - Divito –coord.–,
Código Penal de la Nación comentado y anotado, cit.).
28 Nos estamos refiriendo a la causa “Damonte Ruiz, Santiago Martín
s/extorsión por chantaje” cit. En dicho precedente se consideró que el
hecho de difundir un video íntimo, editado especialmente para
desacreditar a la víctima y con la específica intención de que llegue a
conocimiento de su entorno, constituía violencia de género. Como en este
caso el autor le pidió dinero a la víctima a cambio de no difundir el video,
107
la causa quedó encuadrada como extorsión por chantaje.
29 El art. 1 de la LPI dispone que se encuentran comprendidas en el ámbito
de aplicación de dicha norma “las obras científicas, literarias y artísticas
comprenden los escritos de toda naturaleza y extensión, entre ellos los
programas de computación fuente y objeto; las compilaciones de datos o
de otros materiales; las obras dramáticas, composiciones musicales,
dramático-musicales; las cinematográficas, coreográficas y
pantomímicas; las obras de dibujo, pintura, escultura, arquitectura;
modelos y obras de arte o ciencia aplicadas al comercio o a la industria;
los impresos, planos y mapas; los plásticos, fotografías, grabados y
fonogramas, en fin, toda producción científica, literaria, artística o
didáctica sea cual fuere el procedimiento de reproducción. La protección
del derecho de autor abarcará la expresión de ideas, procedimientos,
métodos de operación y conceptos matemáticos pero no esas ideas,
procedimientos, métodos y conceptos en sí”. En la doctrina de derecho de
autor existe una opinión unánime en el sentido de que el listado de obras
es meramente enunciativo y que cualquier creación del intelecto humano
dotada de cierta originalidad constituye una obra protegible (Emery,
Miguel Ángel, Propiedad Intelectual. Ley 11.723 comentada, anotada y
concorada con los tratados internacionales, Astrea, Buenos Aires, 1999;
Villalba, Carlos A. – Lipszyc, Delia, El Derecho de Autor en la Argentina,
2ª ed., La Ley, Buenos Aires, 2009).
30 Respecto de los dos últimos aspectos, puede verse Palazzi, Pablo,
Introducción al problema del Revenge Porn, DITC Working Paper Series
nº 1, Universidad de San Andrés y “Difusión no autorizada de imágenes
íntimas (revenge porn)”, cit., p. 1.
31 La norma dispone que “el que intencionalmente deshonrare o
desacreditare a una persona física determinada será reprimido con multa
de pesos mil quinientos ($ 1.500) a pesos veinte mil ($ 20.000). En ningún
caso configurarán delito de injurias las expresiones referidas a asuntos de
interés público o las que no sean asertivas. Tampoco configurarán delito
de injurias los calificativos lesivos del honor cuando guardasen relación
con un asunto de interés público”.
32 D’Alessio (dir.) - Divito (coord.), Código Penal de la Nación
comentado y anotado, cit.
33 Es importante aclarar que el material podría no ser objetivamente
injurioso u ofensivo, pero el contexto en el que se divulga, la persona que
lo hace y otras circunstancias pueden determinar que lo sea.
34 El art. 157 bis del CP dispone que “será reprimido con la pena de
prisión de un (1) mes a dos (2) años el que: 1. A sabiendas e
ilegítimamente, o violando sistemas de confidencialidad y seguridad de
108
datos, accediere, de cualquier forma, a un banco de datos personales; 2.
Ilegítimamente proporcionare o revelare a otro información registrada en
un archivo o en un banco de datos personales cuyo secreto estuviere
obligado a preservar por disposición de la ley. 3. Ilegítimamente insertare
o hiciere insertar datos en un archivo de datos personales. Cuando el autor
sea funcionario público sufrirá, además, pena de inhabilitación especial de
un (1) a cuatro (4) años”.
35 Veltani, J. Darío, “La habilitación de la instancia judicial en la acción
de hábeas data. Análisis del procedimiento extrajudicial previsto en la ley
25.326 y de los conceptos de ‘dato personal’ y ‘base de datos’ a la luz de
los avances tecnológicos”, en Travieso, Juan Antonio (dir.), Régimen
Jurídico de los Datos Personales, Abeledo-Perrot, Buenos Aires, 2014, t.
1, p. 261.
36 Masciotra, Mario, “La voz y la imagen y el ámbito de aplicación de la
Ley de Protección de Datos Personales”, JA, número especial “Hábeas
Data y Protección de Datos Personales”, 28/4/04, p. 23.
37 Veltani, “La habilitación de…” cit.
38 El concepto de tratamiento también está definido en la norma, como
las “operaciones y procedimientos sistemáticos, electrónicos o no, que
permitan la recolección, conservación, ordenación, almacenamiento,
modificación, relacionamiento, evaluación, bloqueo, destrucción y en
general el procesamiento de datos personales, así como también su cesión
a terceros a través de comunicaciones, consultas, interconexiones o
transferencias”.
39 La situación es incluso más compleja porque el material íntimo con
contenido sexual podría ser considerado, en ciertos casos, como dato
sensible en los términos de la LPDP. La categoría de dato sensible se
encuentra definida en el art. 2 de la LPDP, que los define como “datos
personales que revelan origen racial y étnico, opiniones políticas,
convicciones religiosas, filosóficas o morales, afiliación sindical e
información referente a la salud o a la vida sexual”. Respecto de este tipo
de datos, la LPDP es clara en cuanto a que, como regla general “queda
prohibida la formación de archivos, bancos o registros que almacenen
información que directa o indirectamente revele datos sensibles” (art. 7
LPDP).
40 Tazza, Alejandro O. - Carreras, Eduardo, “La protección del banco de
datos personales y otros objetos de tutela penal”, LL, 2008-E-869).
41 Cuando la LPDP incluyó al art. 157 bis en el CP, podía discutirse si se
trataba de un delito de acción pública o de acción privada. Ello así porque
el art. 73 del CP establecía –en esa época– que los delitos vinculados con
la violación de secretos eran de acción privada, con excepción de los
109
previstos en los arts. 154 y 157. Esto podía hacer suponer que el art. 157
bis –introducido por la LPDP– debería correr la misma suerte que el art.
157. Sin embargo, con posterioridad a la inclusión del art. 157 bis del CP,
la ley 27.147 reformó el art. 73 del CP y no incluyó al art. 157 bis como
una excepción a la regla general para los delitos vinculados con la
violación de secretos, que indica que son delitos de acción privada.
42 Conf. art. 44, que establece que “Las normas de la presente ley
contenidas en los Capítulos I, II, III y IV, y art. 32 son de orden público y
de aplicación en lo pertinente en todo el territorio nacional. Se invita a las
provincias a adherir a las normas de esta ley que fueren de aplicación
exclusiva en jurisdicción nacional. La jurisdicción federal regirá respecto
de los registros, archivos, bases o bancos de datos interconectados en
redes de alcance interjurisdiccional, nacional o internacional”.
Fernando Tomeo
111
afectando uno de los pilares de la organización: su imagen, principal
activo intangible.
Para el planteo del tema partimos del siguiente ejemplo. Supongamos que
un individuo crea un perfil en Twitter con una identidad falsa y utiliza la
red social para manifestar que una determinada persona ha estafado a sus
clientes en la venta de vehículos. El tweet, que ha sufrido varios retweets,
es indexado por Google como resultado de búsqueda que pueden apreciar
los hijos, amigos y parientes de la víctima. ¿Podrá accionar la víctima en
el ámbito penal por calumnias e injurias y en el ámbito civil por daños y
perjuicios por afectación a su honor?
113
Siguiendo la misma línea de pensamiento, el honor reconoce dos
dimensiones: subjetiva y objetiva. La primera es la estimación que toda
persona posee de sus cualidades o atributos, que se refleja en la conciencia
del propio sujeto y en la certeza o seguridad en su propia estima y
prestigio. Este concepto del honor, en cuanto corolario de la personalidad,
se exterioriza y ofrece un ámbito que los terceros deben respetar. Desde
el punto de vista objetivo, es la suma de las cualidades que los terceros
atribuyen a una persona, que se encuentran íntimamente ligadas a los roles
que cumple en el aspecto familiar, social y profesional2.
Sin perjuicio de ello, tanto la protección legal en el ámbito civil como las
dos figuras delictivas descriptas deben ponderarse en forma adecuada y
razonable a la luz del derecho a la libertad de expresión, garantía
primordial para el mantenimiento del sistema democrático y republicano
de gobierno.
117
En el caso “Bandana” la sentencia de primera instancia fue dictada por la
Dra. Virginia Simari, titular del Juzgado Nacional de Primera Instancia en
lo Civil no 75, en los autos caratulados “Da Cunha, Virginia c/Yahoo! de
Argentina S.R.L. y otro” (Expte. 99.620/06) a mediados del año 2009. La
magistrada hizo lugar parcialmente a la demanda de daños y perjuicios
promovida por la referida modelo, pero el 10 de agosto de 2010 la Sala D
de la Cámara Nacional en lo Civil revocó la sentencia de grado, aplicó las
normas de responsabilidad subjetiva para eximir de responsabilidad a los
buscadores y sentó el primer precedente de Cámara en el fuero4.
118
En esta misma línea de ideas, la Corte Suprema de Justicia de la Nación
estableció la siguiente doctrina: (a) Los derechos en conflicto eran la
libertad de expresión e información, por un lado, y el derecho al honor y
la imagen personal, por el otro. (b) No corresponde juzgar la
responsabilidad de los buscadores de Internet aplicando las normas de
responsabilidad objetiva (art. 1113 y conc. Código Civil). Corresponde
hacerlo a la luz de las normas de responsabilidad subjetiva (arts. 512, 1109
y conc del Código Civil). Los buscadores no están sujetos a la obligación
de monitorear los contenidos que se suben a la web. (c) Los buscadores
responden por contenidos publicados por terceros cuando hayan tomado
efectivo conocimiento de la ilicitud del contenido y no actúan
diligentemente para bloquear el acceso al mismo. (d) A partir del
momento del “efectivo conocimiento” de la existencia del contenido
ilícito de una página web, la “ajenidad” del buscador desaparece, y de no
procurar el bloqueo del resultado, sería responsable por culpa. (e) El
buscador toma “efectivo conocimiento” de la existencia de un contenido
ilícito y debe bloquear el resultado de búsqueda, cuando el damnificado le
remita una simple notificación privada, siempre que el contenido sea
manifiestamente ilícito (daño manifiesto y grosero a diferencia de otros
casos en que es opinable, dudoso o exige esclarecimiento). (f) La ilicitud
del contenido es manifiesta en los casos de “…pornografía infantil, datos
que faciliten la comisión de delitos, que instruyan acerca de éstos, que
pongan en peligro la vida o la integridad física de algunas o muchas
personas, que hagan apología del genocidio, del racismo o de otra
discriminación con manifiesta perversidad o incitación a la violencia, que
desbaraten o adviertan acerca de investigaciones judiciales en curso y que
deban quedar secretas, como también los que importen lesiones
contumeliosas al honor, montajes de imágenes notoriamente falsos o que,
en forma clara e indiscutible, importen violaciones graves a la privacidad,
exhibiendo imágenes de actos que por su naturaleza deben ser
incuestionablemente privados, aunque no sean necesariamente de
contenido sexual…”. (g) En los casos en que el contenido dañoso importe
eventuales lesiones al honor (o de otra naturaleza), pero que exija un
esclarecimiento que deba debatirse o precisarse en sede judicial o
administrativa para su efectiva determinación, se requiere una orden
judicial o administrativa para su bloqueo, no bastando la simple
comunicación del particular que se considere perjudicado.
120
En otro fallo dictado por la Sala I de la Cámara Nacional de Apelaciones
en lo Civil y Comercial Federal, en la cual el actor solicitada que se ordene
a los buscadores “…que se elimine de sus motores de búsqueda la página
identificada como www.ferrobairescorrupta.com, toda vez que allí se
difunde información sobre su persona que considera agraviante (…) lo
que afecta su buen nombre y honor…”, el Tribunal entendió que no se
encontraba acreditada en autos la verosimilud del derecho invocado
poniendo el acento en la libertad de expresión al manifestar que “….cabe
destacar que no es procedente una prohibición en los términos en que fue
solicitada, que supone la imposibilidad de acceder a una página de Internet
que contiene –entre otras– información relativa a conductas que se
atribuyen al actor en ocasión de su desempeño como funcionario público
y que según aquel ha sido volcada en forma de ‘entradas’ en un blog (cfr.
anexos I y II a fs. 2/17) a través de la herramienta denominada ‘buscador’
de las destinatarias, toda vez que, en principio, encuentra como
impedimento los alcances de la ley 26.032 –B.O. 17/6/05– que establece
que ‘la búsqueda, recepción y difusión de información e ideas de toda
índole, a través del servicio de Internet, se considera comprendido dentro
de la garantía constitucional que ampara la libertad de expresión’ (cfr. art.
1º)...”8.
122
ganancias y en la distribución de dividendos. Y las redes sociales juegan
un importante papel11.
123
El otro ejemplo clásico data del año 2009, cuando dos empleados de
“Domino’s Pizza” decidieron filmarse en un local de Carolina del Norte.
El video incluía imágenes de un compañero de trabajo que se colocaba
tiras de queso en la nariz y estornudaba sobre una pizza mientras paseaba
su masa por distintas partes del cuerpo.
Frente a este escenario que plantean los blogs y las redes sociales y su
efecto “boca a boca”, la protección de la imagen corporativa registra una
doble vía:
b) Por otro lado, también es necesaria una respuesta legal a cada situación
en particular. La acción pasa por identificar el contenido difamatorio (lo
que en muchos casos requiere contratar los servicios de agencias de
monitoreo de medios on line) y a su autor, para luego constatar
notarialmente la existencia de dicho contenido. Luego de identificado el
autor o el grupo de opinión que afecta la imagen de la empresa y luego de
realizadas, sin éxito, las acciones de comunicación pertinentes, se impone
una notificación que tiene por objeto eliminar el contenido difamatorio. Si
el procedimiento de notificación no tiene feliz acogida se deberá recurrir
a las acciones legales necesarias para obtener la remoción del contenido
difamatorio y reparación del daño causado.
124
4. El honor y el derecho al olvido -
126
Entiendo razonable también su aplicación a cualquier persona (física o
jurídica), ya que todos somos ciudadanos digitales y guardamos igualdad
de tratamiento ante la ley. No resulta lógico que el buscador prevea
solución vía formulario a los ciudadanos europeos y no aplique la misma
solución para ciudadanos de Latinoamérica.
127
Frente a esta realidad aparece la tarea de limpieza de reputación on line.
Entiendo por cleaning digital al conjunto de acciones técnicas,
extrajudiciales y/o judiciales necesarias para obtener la baja y/o
eliminación de un contenido en internet o el bloqueo de acceso al mismo
por el buscador. Ello implica identificar, constatar y limpiar contenido.
Existen algunas compañías que ofrecen servicios para preservar la
reputación y muy pocos abogados que practicamos profesionalmente la
tarea de cleaning digital.
Es evidente que nuestras vidas transitan dos caminos: una vida off line y
otra on line. Ello nos permite hablar de una identidad real que camina por
la calle todos los días y otra identidad digital que transita por la senda
virtual. Ambas identidades convergen en una misma persona.
128
Notas -
Reforma Fiscal
Rodolfo R. Flórez
1. Introducción -
Sin perjuicio de que una parte de la doctrina realiza una diferencia entre
las monedas virtuales y las monedas digitales, lo cierto que para el
130
presente asimilaré ambos conceptos, pues la ley 20.628 modificada por la
ley 27.430 grava ambas indistintamente.
Sentado ello, como primera medida cabe mencionar que dentro del
universo de este tipo de monedas, el bitcoin es la que más repercusión y
expansión ha experimentado desde su creación1; es por ello que los
actores de la delincuencia económica comenzaron a usarla. De hecho,
131
podría considerarse una de las técnicas más sofisticadas y complejas para
lavar activos ilícitos2 e incluso, en un futuro, podría ser usado como medio
para evadir impuestos.
El bitcoin no sólo es la moneda digital más conocida y usada, sino que fue
la primera moneda virtual descentralizada. En otras palabras, es una
unidad de cuenta compuesta de cadenas únicas de números y letras, que
constituye una unidad de moneda, y su valor está dado solamente por lo
que los usuarios están dispuestos a pagar por ella3. Lo interesante de esta
moneda viene a ser el cambio de los parámetros respecto a que su
cotización no está dada por el respaldo en divisas sino por cuánto quieran
pagar los usuarios por ella.
132
usuarios– que recoge todas y cada una de las transacciones de BTC
realizadas hasta la fecha.
133
”2. Los rendimientos, rentas, beneficios o enriquecimientos que cumplan
o no las condiciones del apartado anterior, obtenidos por los responsables
incluidos en el art. 69 y todos los que deriven de las demás sociedades o
de empresas o explotaciones unipersonales, excepto que, no tratándose de
los contribuyentes comprendidos en el art. 69, se desarrollaran actividades
indicadas en los incs. f) y g) del art. 79 y estas no se complementaran con
una explotación comercial, en cuyo caso será de aplicación lo dispuesto
en el apartado anterior.
134
Ahora bien, un problema que puede presentarse es el momento en el cual
se considera configurado el hecho imponible mediante el que se gravan
las operaciones efectuadas con la moneda virtual, pues el art. 3 de la norma
mencionada indica que “…a los fines indicados en esta ley se entenderá
por enajenación la venta, permuta, cambio, expropiación aporte a
sociedades y en general, todo acto de disposición por el que se transmita
el dominio a título oneroso…”.
Sentado ello, una vez definido que los rendimientos obtenidos por la
enajenación de monedas digitales se encuentra alcanzada por el Impuesto
a las Ganancias, corresponde establecer dentro de cuáles de las cuatro
categorías previstas por el tributo en cuestión deberán tributar.
136
”e) Los rescates netos de aportes no deducibles, por desistimiento de los
planes de seguro de retiro a que alude el inciso anterior, excepto que sea
de aplicación lo normado en el art. 101.
”h) Los ingresos que en forma de uno o más pagos se perciban por la
transferencia definitiva de derechos de llave, marcas, patentes de
invención, regalías y similares, aun cuando no se efectúen habitualmente
esta clase de operaciones.
138
”f) Las derivadas de loteos con fines de urbanización, las provenientes de
la edificación y enajenación de inmuebles bajo el régimen de propiedad
horizontal del Código Civil y Comercial de la Nación y del desarrollo y
enajenación de inmuebles bajo el régimen de conjuntos inmobiliarios
previsto en el mencionado código.
139
Al respecto, el inc. a del art. 18 señala: “…Las ganancias obtenidas como
dueño de empresas civiles, comerciales, industriales, agropecuarias o
mineras o como socios de las mismas, se imputarán al año fiscal en que
termine el ejercicio anual correspondiente.
”Este principio implica que todo tributo sea sancionado por una ley,
entendida esta como la disposición que emana del órgano constitucional
que tiene la potestad legislativa conforme a los procedimientos
establecidos por la Constitución para la sanción de las leyes y encuentra
su fundamento en la necesidad de proteger a los contribuyentes en su
derecho de propiedad. Los Tributos importan restricciones a ese derecho,
ya que en virtud de ellos se sustrae, a favor del Estado, algo del patrimonio
de los particulares. De allí que, en el Estado de derecho, esto no sea
legítimo si no se obtiene por decisión de los órganos representativos de la
soberanía popular”11.
3.1. Introducción
141
En primer lugar, cabe mencionar que la reforma fiscal introducida por la
ley 27.430 estableció un nuevo Régimen Penal Tributario y derogó la ley
24.769. Por ello, esta ley es el punto de partida mediante el cual se permite
investigar las posibles infracciones tributarias por el uso de monedas
digitales.
142
con aquellas y superen la condición objetiva de punibilidad, incurrirán en
la conducta de evasión tributaria simple.
Asimismo, la evasión del pago del Impuesto a las Ganancias podría darse
mediante la ocultación maliciosa de los rendimientos obtenidos por las
monedas digitales, ya sea por no registrarlas en la declaración jurada
correspondiente o directamente, por no presentar declaración jurada
alguna, lo que traería aparejado el ocultamiento de estas rentas. Entonces,
el desafío que se avecina respecto a las investigaciones penales tributarias
de este tipo será el de encontrar los medios idóneos para detectar a los
titulares de las operaciones realizadas, por ejemplo, mediante bitcoins, lo
cual sería susceptible de producir renta gravada –conforme se explicara
anteriormente– por aplicación del art. 2, inc. d, de la Ley de Impuesto a
las Ganancias.
Por lo tanto, será importantísimo poder llegar a crear sistemas que puedan
identificar la titularidad de las billeteras digitales o, por qué no, regímenes
de información que permitan identificar las operaciones realizadas por
este tipo de monedas y, de esta manera, detectar el movimiento de dinero
y combatir las posibles evasiones al Impuesto a las Ganancias por este
medio.
“1) Será reprimido con prisión de tres (3) a diez (10) años y multa de dos
(2) a diez (10) veces del monto de la operación, el que convirtiere,
transfiriere, administrare, vendiere, gravare, disimulare o de cualquier otro
modo pusiere en circulación en el mercado, bienes provenientes de un
ilícito penal, con la consecuencia posible de que el origen de los bienes
originarios o los subrogantes adquieran la apariencia de un origen lícito,
y siempre que su valor supere la suma de pesos trescientos mil ($
300.000), sea en un solo acto o por la reiteración de hechos diversos
vinculados entre sí.
144
”2) La pena prevista en el inciso 1 será aumentada en un tercio del máximo
y en la mitad del mínimo, en los siguientes casos:
”5) Las disposiciones de este artículo regirán aún cuando el ilícito penal
precedente hubiera sido cometido fuera del ámbito de aplicación espacial
de este Código, en tanto el hecho que lo tipificara también hubiera estado
sancionado con pena en el lugar de su comisión”.
146
permiten transacciones de persona a persona, de manera anónima, parecen
existir en un universo digital totalmente fuera del alcance de cualquier país
en particular…”14.
147
El Departamento de Justicia de los Estados Unidos, en septiembre de
2013, acusó a Ross Ulbricht, creador de Silk Road, un cíber-bazar global
de la Deep Web17 diseñado para permitir a sus usuarios comprar y vender
bienes y servicios ilegales de forma anónima, y fuera del alcance de las
agencias de orden público. La aceptación de bitcoins como único medio
de pago permitió a los compradores y vendedores ocultar su identidad,
pues los remitentes y destinatarios de transacciones P2P son identificados
sólo por la dirección/cuenta de bitcoins. Además, los usuarios pueden
obtener un número ilimitado de direcciones BTC y utilizar una diferente
para cada operación, obstaculizando aún más el rastro de los activos
ilícitos. Incluso, aquellos podían emplear adicionales anonymisers, al
margen del servicio de mezclador que utilizaba Silk Road18. El sistema
de pago funcionaba como un banco interno, donde cada usuario debía
tener una cuenta para realizar transacciones. Estos poseían, al menos, una
dirección/cuenta de Silk Road de esa moneda asociada a su cuenta de Silk
Road, almacenada en una cartera virtual o wallet, mantenida en servidores
controlados por el sitio web. Para realizar una compra, el usuario los
obtenía –normalmente por medio de un cambiador de bitcoins– y enviaba
a una dirección/cuenta BTC asociada a su cuenta de Silk Road para
financiarla. Silk Road los transfería temporalmente del usuario/comprador
a una cuenta de fideicomiso, para luego, y una vez confirmada la
operación, transferirlos a la dirección/cuenta de Silk Road del vendedor.
148
manera anónima, parecen existir en un universo digital totalmente fuera
del alcance de cualquier país en particular.
”No aparece razonable que así se transfiera casi medio millón de dólares
si no es porque representaba una necesidad, asumir ese riesgo aparece
como menor ante la posibilidad que, de usar canales legales de
transferencia de dinero, ello pudiera ser impedido en razón de tener que
dar explicaciones sobre el origen de la plata que, es evidente, tenía que
llegar al país para seguir financiando la actividad delictiva que aquí se
estaba llevando a cabo…”19.
4.3. Conclusiones
149
El uso de estas monedas, por ende, puede ser aprovechado por
delincuentes para disfrazar el dinero obtenido de forma ilícita, razón por
la que una de las principales preocupaciones que ha suscitado este
fenómeno radica en el lavado de activos, por las razones que a
continuación enunciaré20.
150
4. El congelamiento, decomiso e incautación de activos e instrumentos del
delito son sumamente complejos, pues el correspondiente valor monetario
se encuentra codificado a través de claves asimétricas21.
Notas -
152
moneda de curso legal e ingresarla en la cuenta que el juzgado designe,
evitando que el sospechoso de lavado quede al albur de la especulación.
Eduardo J. Riggi
1. Introducción. Casos -
Cuando un penalista piensa en las entradas que se ofrecen por internet para
este tipo de eventos y se cuestiona por la relevancia de la actividad de los
proveedores del servicio de alojamiento (hosting) que intermedian por
internet la reventa de entradas en CABA, lo primero que se le viene a la
cabeza es la noción de “conducta neutral” [neutrale Handlung]1.
A pesar de que este concepto suene algo novedoso, incluso los manuales
más comunes de Parte General del Derecho Penal no suelen examinarlo,
las reflexiones sobre este tipo de conductas en los últimos años han dado
lugar a la aparición de importantes tesis doctorales y trabajos científicos,
hoy en día casi inabarcables2. Por tanto, esta cuestión que la doctrina y
jurisprudencia alemanas –con la repercusión que tienen en los países
hispanoparlantes– vienen observando con especial interés ha sido
153
abordada por la dogmática y se puede decir que constituye en la actualidad
el fenómeno de moda de la participación delictiva3.
Caso del burdel (Alemania, sentencia del 14/6/1906 RGSt 39, p. 44)
154
Caso del buen deudor
Lo que caracteriza a estos casos es que los delitos fueron cometidos sin
duda alguna por un autor, a saber: el dueño del burdel que explota el
ejercicio de la prostitución de las chicas que viven en su local; los
desconocidos que tomaron el taxi y perpetraron el robo; el acreedor que
mata a su enemigo, y Juan Veneno que envenena a su mujer. No obstante,
junto a estas personas, que claramente pueden ser consideradas autores,
existen otros sujetos que han favorecido directamente el hecho típico, en
concreto: el repartidor de vinos, el taxista, el deudor y el panadero. Sin
perjuicio de ello, no resulta para nada evidente que estos intervinientes
puedan ser considerados partícipes en sentido estricto7. Ello tiene lugar
cuando las aportaciones provienen del ejercicio de una actividad
socialmente estereotipada que se entrecruza con los planes delictivos de
terceros8.
155
Se afirma que todo obrar neutral o adecuado a un oficio o profesión tiene
per se la garantía de no ser punible, aun cuando, en algunos casos, puede
en sí mismo coincidir fácticamente con una colaboración o favorecimiento
a un delito cometido por otra persona10.
Acá no acogeré el tratamiento que las teorías subjetivas les otorgan a las
conductas neutrales, cuyo máximo exponente es Roxin, porque entiendo
que el fundamento de la participación no puede depender, por ejemplo,
del grado de conocimiento del comerciante sobre los usos delictivos que
pueden recibir los productos que vende11. Jakobs afirma con razón que
“si en todo contacto social todos hubiesen de considerar todas las
consecuencias posibles desde el punto de vista cognitivo, la sociedad
quedaría paralizada. No se construiría ni se matricularía ningún
automóvil, no se produciría ni se serviría alcohol, etc., y ello hasta el
extremo de que, a la hora de pagar sus deudas, todo el mundo debería
prestar atención a que el acreedor no planease realizar algo ilícito con el
dinero recibido. En conclusión, la interacción social se vería asfixiada por
funciones de supervisión y otras auxiliares”12.
156
Su irrelevancia se debe interpretar en el contexto social de actuación
comprobando si el actuante obró conforme a los deberes que tiene que
cumplir, con independencia de si la conducta es activa u omisiva, y
también al margen de los datos psíquicos que pueda tener en mente.
159
En principio, parece razonable que los proveedores de estos servicios de
alojamiento de contenidos no sean responsables por los datos que
almacenan sus usuarios ni por las actividades ilícitas que estos pudieran
desarrollar con ello.
En efecto, muchos sitios web ofrecen una plataforma que pone en contacto
a personas que quieren vender sus objetos en alguna parte del mundo con
el público interesado en comprarlos. El sitio web les permite a los usuarios
almacenar sus datos y publicarlos para que sean vistos por gente
interesada en su compra y venta. La firma se mantiene al margen de la
relación contractual y cada usuario debe responder por sus ventas y
compras. Si los usuarios abusan de dicho servicio deben cargar con las
consecuencias lesivas.
Por lo general, las personas responden únicamente por las conductas que
se encuentran dentro del propio ámbito de competencia, porque no forma
parte del rol de un ciudadano controlar todos los posibles peligros que se
puedan originar en las conductas de terceros. Se podría afirmar entonces
que los hosting no son, por regla general, competentes de las conductas
que desarrollan libremente las personas que recurren a sus servicios.
Ahora bien, volviendo al tema que nos ocupa, si una persona con fines de
lucro revende a través de uno de estos sitios web una o más entradas para
un espectáculo masivo, de carácter artístico o deportivo, en CABA incurre
en la contravención que castiga la reventa de entradas. Si bien no cabe
duda alguna acerca de la autoría de la persona que revende la entrada, se
plantea, no obstante, el interrogante acerca de la responsabilidad del sitio
web por su favorecimiento directo en el hecho típico, puesto que su
aportación proviene del ejercicio de una actividad profesional –inocua,
habitual, estereotipada– que se entrecruza con los planes delictivos de un
tercero. En otras palabras, queda claro que pueden emprenderse
160
actividades (interacciones sociales) que pueden ser riesgosas, pero en la
medida en que se mantengan dentro de su marco de actuación no
defraudan expectativas normativas aun cuando acarreen malas
consecuencias para terceros. Esta autorización a emprender interacciones
sociales con cierto grado de riesgo –en tanto se sacrifican algunos bienes
jurídicos y, a la vez, ayudan a mantener o crear otros– es una forma de
organización del propio ámbito de competencias que concede un mayor
grado de libertad (ello, por oposición a la prescripción de la máxima
seguridad de bienes, que conduciría a una paralización de los contactos
sociales).
Estas apreciaciones, si bien fueron sostenidas hace ya casi una década, han
perdido, a mi juicio, virtualidad frente a la vertiginosidad constante de los
cambios tecnológicos. Ello, por cuanto hace tiempo que no resulta
162
complejo monitorear el comportamiento de los usuarios online al existir
mecanismos tecnológicos a disposición de los proveedores de servicios de
internet en general que pueden utilizar para hacer inaccesible o evitar la
publicación de contenidos de comportamientos ilícitos33. Obviamente, no
puede dejar de señalarse que la capacidad técnica constituye un requisito
de la omisión impropia, porque junto a la capacidad de realizar la acción
debida es que precisa la posibilidad de evitación del resultado de haberse
interpuesto la acción debida y aquello depende de la capacidad de
actuación de quien se encuentra obligado a ello34.
164
Por otro lado, como enseña el profesor Robles Planas, no puede hablarse
de una conducta neutral cuando el sujeto ha recortado su conducta de tal
manera que encaje en el proyecto delictivo del autor (casos de adaptación
de la aportación al hecho ilícito)38. Eso es lo que ocurre con varios
prestadores de servicio de alojamiento que ofrecen una plataforma que te
lleva –a través del proceso de carga de datos para la publicación– a
seleccionar distintos filtros que satisfacen justamente las necesidades del
autor, esto es, a publicar la venta de este tipo de entradas en el ámbito de
la Ciudad Autónoma de Buenos Aires. En efecto, si uno quiere realizar
este comportamiento ilícito, la plataforma te va ofreciendo los títulos a
elegir que conducen necesariamente a la co-configuración de esa conducta
prohibida (cuando podría disponer de mecanismos tecnológicos existentes
para evitar publicar o hacer inaccesible su contenido)39.
Notas -
166
9 Sobre ello véase, por todos, Robles Planas, La participación en el delito:
fundamentos y límites, cit., pp. 31-32.
10 Así, Yacobucci, “Algunos criterios de imputación en la empresa” en
La responsabilidad de las personas jurídicas, órganos y representantes,
coord. Percy García Cavero, Ediciones Jurídicas de Cuyo, Mendoza,
2004, p. 412, dice que “(l)a idea de una prestación estereotipada, es decir
por regla inocua, neutral o reglada, por principio impide la imputación
objetiva aun sin considerar los aspectos del conocimiento.
11 Sobre las fuertes críticas al planteamiento subjetivista, véase la obra de
Robles Planas, La participación en el delito: fundamentos y límites, cit.,
pp. 64-71.
12 Jakobs, La imputación objetiva en el Derecho Penal, Ad-Hoc, Buenos
Aires, 1997, p. 20.
13 Así, Silva Sánchez “Zur Gestaltung des strafrechtlich missbilligten
Risikos beim Mitveranwortung im Strafrecht”, en Eser, Hurber y Cornils,
Einzelverantwortung und Mitveranwortung im Strafrecht, Freiburg, 1998,
p. 207, sostiene que “el criterio para la fundamentación de la imputación
en caso de concurrencia de aportaciones de varias personas no es, por
consiguiente, ni de carácter causal-naturalístico ni psicológico, sino un
criterio normativo y, fundamentalmente, objetivo-normativo”.
14 Cfr., por todos, Roxin, Strafrecht Allgemeiner Teil, Band I,
Grundlagen. Der Aufbau der Verbrechenslehre, 4. Auflage, Verlag C. H.
Beck, München, 2006, § 7 C, n.m. 8, p. 206.
15 Ídem, p. 373.
16 Jakobs, La imputación objetiva en el Derecho Penal, cit., p. 28.
17 Así, Kindhäuser, Strafrecht Allgemeiner Teil, § 11, n.m. 44, p. 99.
18 Jakobs, La imputación objetiva en el Derecho Penal, cit., p. 26.
19 En ese orden de ideas, Robles Planas, La participación en el delito:
fundamentos y límites, cit., p. 278, sostiene que “El criterio relativo a la
no punibilidad como principio general de las conductas que, pese a acabar
favoreciendo un delito ajeno, no están desaprobadas por no configurar un
riesgo especial, no se ve modificado en absoluto por el hecho de que tal
favorecimiento sea conocido o cognoscible por el sujeto que lo presta”.
20 Jakobs, La imputación objetiva en el Derecho Penal, cit., p. 64, señala
que “los conocimientos especiales constituyen algo que no hay obligación
de adquirir o mantener; se trata de pura subjetividad, y nada más (...) un
conocimiento sin deber de conocer sería un elemento ajurídico del delito,
al estar definido de manera totalmente psicológica”.
21 Jakobs, La imputación objetiva en el Derecho Penal, p. 63.
22 En esa línea de pensamiento, Robles Planas, La participación en el
delito: fundamentos y límites, cit., pp. 305-306, señala que “no se está
167
afirmando que el cumplimiento de un rol profesional libere, sin más, de
responsabilidad penal, sino que teniendo en cuenta el contexto en el que
se verifican estas conductas, no habrá, por regla general, razones para
afirmar que contienen un riesgo especial de que sean continuadas hacia lo
delictivo. En efecto, como en todos los ámbitos, en los contextos de
intercambio de objetos disponibles por cualquiera o de prestaciones
profesionales estándar el mero dato del favorecimiento o el conocimiento
del mismo no convierten tampoco en relevante el riesgo de intervención
en el delito. Por el contrario, deberá exigirse la presencia de otros factores
que permitan fundamentar la responsabilidad por la posible continuación
delictiva del objeto o de la prestación por parte de un tercero (...). Para
poder afirmar la imputación será necesario exigir que el sujeto configure
su conducta de tal manera que esta pase a formar parte inequívoca del
hecho delictivo, o con otras palabras, será necesario que realice una
conducta de adaptación al hecho delictivo posterior. Sólo así surge el
riesgo especial de continuación delictiva que fundamenta el injusto de la
intervención en el delito”.
23 Cfr. Jakobs, “Beteiligung”, en Festschrift für Lampe, Berlin, 2003, p.
566, nota 41; Lesch, Das Problem der sukzessiven Beihilfe, Frankfurt,
1992, pp. 278 y ss.
24 Jakobs, La imputación objetiva en el Derecho Penal, cit., p. 66.
25 Ídem, p. 63.
26 Cfr. Lesch, “Strafbare Beteiligung durch ‘berufstypisches’ Verhalten”,
en Juristische Arbeitsblätter, p. 990, 13.
27 Cfr. Hilgendorf/Valerius, Computer- und Internetstrafrecht. Ein
Grundriss, 2. Auflage, Springer Verlag, Berlin-Heidelberg, 2012, p. 56.
28 Cfr. Hilgendorf/Valerius, Computer- und Internetstrafrecht. Ein
Grundriss, 2. Auflage, Springer Verlag, Berlin-Heidelberg, 2012, pp. 56-
57.
29 En igual sentido se pronunciaron, a modo de obiter dictum, los jueces
de la Sala II de la Cámara de Apelaciones en lo Penal, Contravencional y
de Faltas CABA en la causa nº 11277-00-CC/2015, “NN s/art. 91,
Revender entradas para un espectáculo masivo, de carácter artístico o
deportivo, CC”, al señalar que “Si se tomara en cuenta una participación
activa –por ofrecer la plataforma digital para la reventa de entradas–, nos
encontraríamos ante un caso de conducta neutral. Esto es, un caso de
complicidad mediante una conducta cotidiana o profesional que persigue
un fin propio o independiente del autor del delito y del delito en sí, y que
no está jurídicamente reprobada (cfr. Ambos, Kai, “La complicidad a
través de acciones cotidianas o externamente neutrales”, Revista de
Derecho Penal y Criminología, vol. 8, 2001, p. 196). Así, quien se
168
comporta de un modo socialmente adecuado –en este caso, proveyendo
una plataforma digital que permita la transacción legal de entradas– no
responde por el giro nocivo que un tercero le dé al suceso. En efecto, es
cierto que la firma no podría alegar que nada tiene en común con los
autores de la reventa, pero lo que tienen en común se limita a una
prestación que puede obtenerse en cualquier lado y que no entraña riesgo
especial alguno, es decir, carece de todo significado delictivo (cf. Jakobs,
Günther, La imputación objetiva en Derecho penal, Ed. Ad Hoc, Buenos
Aires, 1997, p. 82).
30 Cfr. Sieber, “Die Verantwortlichkeit von Internet-Providern im
Rechtsvergleich”, ZUM 1999, 196, p. 199.
31 Ídem, p. 212.
32 Ídem, p. 213.
33 Al respecto, Chernavsky en “¿Es posible responsabilizar penalmente a
los proveedores de servicios de internet?”, en Cibercrimen, dir. Daniela
Dupuy, BdeF, Montevideo-Buenos Aires, 2017, p. 595, señala que
“existen herramientas tecnológicas a disposición, tanto de los gobiernos
como del sector privado, que hacen que no sea complejo registrar,
procesar y monitorear la actividad en línea de los usuarios…”.
34 Cfr., en general, Mir Puig, Derecho Penal, Parte General, 8ª ed.,
Reppertor, Barcelona2008, Lección 12, n.m. 77, p. 330; y, en particular,
Morales García, “Criterios de atribución de responsabilidad penal a los
prestadores de servicios e intermediarios de la sociedad de la
información”, disponible en www.uoc.edu.
35 En igual sentido, Morales García, “Criterios de atribución de
responsabilidad penal a los prestadores de servicios e intermediarios de la
sociedad de la información”, disponible en www.uoc.edu, luego de
explicar la inexistencia de un deber de supervisión o búsqueda activa de
contenidos ilícitos, reconoce que es posible que el intermediario cuya
misión consiste en el alojamiento de datos asuma la obligación fáctica de
actuar a modo de barrera de contención del riesgo.
36 www.m ercadolibre.co m.ar
37 § 10 Almacenamiento de información.
Los proveedores de servicios no son responsables de información ajena
que almacenan para un usuario:
1. Si no tienen conocimiento de la actividad ilegal o información y no hay
hechos o circunstancias conocidas por ellos en el caso de las
reclamaciones por daños y perjuicios a que la actividad o la información
revele su carácter ilícito.
2. Siempre que hayan actuado con prontitud para retirar o para impedir el
acceso a la misma una vez que hayan obtenido dicho conocimiento.
169
La frase 1 no se aplicará si el usuario está subordinado al proveedor de
servicios o supervisado por él.
38 Tal como explica Robles Planas, La participación en el delito:
fundamentos y límites, cit., p. 305, “aunque no existan riesgos especiales
de vigilancia o control de terceros o de objetos peligrosos puede suceder
que el sujeto configure su conducta como parte del proyecto delictivo del
segundo intervinientes, de tal manera que contenga un riesgo especial de
continuación delictiva”.
39 Como enseña Robles Planas, La participación en el delito:
fundamentos y límites, cit., p. 306, “para poder afirmar la imputación será
necesario exigir que el sujeto configure su conducta de tal manera que esta
pase a formar parte inequívoca del hecho delictivo, o con otras palabras,
será necesario que realice una conducta de adaptación al hecho delictivo
posterior. Sólo así surge el riesgo especial de continuación delictiva que
fundamenta el injusto de la intervención en el delito”. Asimismo, sobre
las posibilidades técnicas para monitorear a los usuarios online, véase
Chernavsky, “¿Es posible responsabilizar penalmente a los proveedores
de servicios de internet?”, cit., p. 595.
Allanamiento remoto
Marcos G. Salt
Como veremos, el tema no sólo tiene interés académico, sino también gran
importancia práctica, y su discusión ocupa un lugar destacado en la agenda
actual de la problemática de la evidencia digital, tanto en el derecho
comparado como en nuestro país. Ha generado importantes debates
académicos y jurisprudenciales en organismos internacionales y en los
países más avanzados sobre la materia. En nuestro país, los obstáculos que
generan para las investigación penal los desarrollos de tecnologías
informáticas y de las comunicaciones que facilitan el anonimato en
internet, las monedas digitales en las transacciones ilícitas4, el
alojamiento de información en la nube, la encriptación de información5 y
otras técnicas que impiden o dificultan el análisis forense, han puesto en
evidencia también la necesidad de regular este tipo de medios de
investigación y, como contracara, la necesidad de prever las garantías y
controles adecuados para que su uso no implique una afectación
desproporcionada de los derechos fundamentales de los ciudadanos.
- Los expertos en informática forense señalan que al obtener los datos pero
al no acceder al soporte físico, pueden surgir problemas forenses y de
cadena de custodia16.
173
3. El registro y secuestro de datos como medio de prueba
trascendental en el proceso penal moderno. La necesidad de nuevas
normas procesales -
175
avanzados se trasladará a los países de la región y a nuestro país en
particular.
4.1. EE.UU.
Así, luego de un proceso de debate que comenzó con una iniciativa del
Departamento de Estado presentada en el año 2013 y que incluyó la
participación del Comité de reglas y procedimientos de la Conferencia
Judicial de EE.UU. que dictaminó favorablemente en el año 201428, la
Corte Suprema aprobó la modificación de la Regla 41 del procedimiento
penal federal en abril de 201629. Esta nueva norma empezó a regir
automáticamente el 1 de diciembre de 2016 al no ser objetada por el
Congreso30.
177
La nueva redacción de la Regla 41 autoriza a un juez de una jurisdicción
en la que ocurrió un delito a emitir una orden de acceso remoto que podría
alcanzar a sistemas informáticos en otras jurisdicciones en dos supuestos:
Cuando no se conozca el lugar en el que la información está alojada por
la utilización de algún software especial que permite la utilización de
internet de manera anónima y en los casos de ataques a sistemas
informáticos (18 U.S.C 1030 (a) 5) que afecten a computadoras ubicadas
geográficamente en cinco o más distritos.
4.2. España
4.3. Alemania
181
5. Antecedentes nacionales -
Es fácil imaginar supuestos concretos en los que resulte más eficiente para
la investigación realizar un “allanamiento remoto” en vez de utilizar las
vías tradicionales que implican allanar un domicilio (o efectuar una
requisa) para secuestrar los dispositivos de almacenamiento informáticos
y proceder posteriormente al registro y secuestro de datos de interés para
la investigación65. Supongamos que en una causa en la que se investiga
una maniobra de fraude contra la administración pública y posible
cohecho a funcionarios conocemos que en el sistema informático de un
contador están alojados archivos informáticos que contienen datos sobre
los autores, planillas sobre los sobreprecios acordados en una licitación y
documentos vinculados a transacciones bancarias realizadas para
concretar las maniobras.
185
puede ser objeto de un allanamiento o que los archivos buscados están
encriptados con claves que no podrán vulnerarse.
186
8. Una propuesta superadora de regulación procesal -
Tal como hemos visto en el punto 2 del presente trabajo, este tipo de
programas permiten al Estado dos formas claramente diferenciables de
acceder a evidencia digital. Por un lado, como medio de investigación “en
línea”70, más parecido a medidas de tecnovigilancia71. Por el otro,
búsqueda de datos almacenados “previamente” que no están asociados a
una actividad actual o futura del investigado, sino a datos informáticos
almacenados antes de que se disponga la medida de investigación (tema
al que está dedicado el presente trabajo). O sea, el uso de estos programas
para obtener datos informáticos desvinculados de una actividad actual de
la persona, dispositivo de almacenamiento o sistema que es objeto de la
medida (investigación de actividad pasada y, por tanto, con características
más asimilables a un registro y secuestro de datos).
187
En este sentido, entiendo que es posible regular la utilización de este tipo
de programas como una opción diferente de concretar un allanamiento con
fines de registrar sistemas informáticos y secuestrar datos. O sea, una
variante en la forma en que se ejecuta un “registro y secuestro de datos”,
sea como fuere que esté regulada en cada CPP72. La medida quedaría, de
esta forma, limitada al uso de estos programas informáticos con la sola
finalidad de obtener elementos de prueba almacenados en el sistema
informático ya existentes al momento en que se emite la orden judicial
que autoriza la medida. Este único objetivo habilitado por la norma debe
limitar también la duración y alcance de los elementos de prueba que se
pueden obtener. Aun con estas limitaciones, que impide que el programa
sea utilizado con fines de vigilancia continua sobre la actividad de una
persona en su entorno digital, entiendo que la utilización de técnicas de
acceso remoto para realizar el registro y secuestro de datos implica un
grado mayor de injerencia que la medida de incautación de datos realizada
de forma tradicional. Ello justifica la necesidad de una aplicación más
restrictiva por el Estado, que debe reflejarse en la regulación de los
supuestos en que se habilita, las condiciones y formas de ejecución, el
control de la ejecución de la medida y la revisión de la validez de los
elementos de prueba obtenidos.
Norma habilitante
Los llamados encuentros casuales también deben tener una regulación que
atienda a las características diferenciales del registro y secuestro realizado
utilizando estas técnicas especiales de investigación.
Notas -
191
y secreto de las comunicaciones. Al mismo tiempo, un escollo cada vez
más difícil para los organismos de persecución penal del Estado. El tema
ha generado debates en todos los países y discusiones jurisprudenciales.
Incluso tendencias normativas a facilitar la actividad de los Estados para
permitir el acceso a la información en el marco de las investigaciones
generando obligaciones al sector privado. Quizá la más actual, se produce
en el debate en Australia por una ley que obligaría al sector privado a
cooperar con el Estado para destrabar claves de encriptación. Ver el
informe de 9news del 14 de agosto de 2018 disponible en
www.9news.com.au.
6 La propuesta tuvo su origen en un Proyecto presentado por el Poder
Ejecutivo el 28 de septiembre del año 2016 PE165/16PL, “Mensaje n°
111/16: Proyecto de Ley modificando el Código Procesal Penal de la
Nación –ley 27.063–, respecto de la investigación y el juzgamiento de los
delitos de competencia de la justicia federal”. El proyecto del Poder
Ejecutivo modificando el texto del Código Procesal Penal federal (ley
27.063) que si bien está aprobada no está aún vigente. El texto de Proyecto
de Ley está disponible en la plataforma del programa Justicia 2020 del
gobierno argentino. Ver www.justicia2020.gob.ar. Posteriormente fue
tomado con modificaciones por el proyecto presentado por los senadores
del bloque justicialista Rodolfo Urtubey y Guastavino el 2 de marzo de
2018 –nº S-18/18–. Puede resultar de interés la discusión de los
legisladores y los argumentos del dictamen “desfavorable” respecto a las
medidas especiales de investigación –orden día 35/18 anexo, del 25 de
abril de 2018–. Textos disponibles en www.senado.gov.ar. Ver punto 6
del presente trabajo para un análisis de la regulación que proponía el
proyecto.
7 La negativa de la Cámara de Senadores no significa que el debate esté
agotado. Antes bien, entiendo que exige un trabajo de mejora de la
normativa propuesta y de búsqueda de consensos tanto sobre su necesidad
de un sistema penal eficiente como de las garantías necesarias para que la
sociedad no vea amenazado su derecho a la intimidad en el ámbito
informático. Como veremos, el proceso legislativo en países como
Alemania y España también estuvo signado por avances y retrocesos hasta
la aceptación de una regulación en el código procesal penal. Incluso hoy,
en los países que cuentan con una norma expresa de habilitación de su
uso, sigue siendo una medida constantemente controvertida.
8 La doctrina lo ha denominado “allanamiento remoto”, ya que se refiere
a un uso de este tipo de programas limitado “a registrar y secuestrar” datos
informáticos almacenados en un sistema o dispositivo informático (me
refiero a datos existentes al momento de la medida, o sea, generados en el
192
“pasado”, diferenciando la medida de cualquier vigilancia o intervención
de comunicaciones o archivos generados con posterioridad). El
allanamiento remoto permite buscar y obtener (ya sea mediante copia o
secuestro) todo tipo de datos o archivos almacenados en la memoria de un
dispositivo o sistema informático que es objeto de la medida de
investigación.
9 Supongamos que en una investigación de un secuestro extorsivo los
mensajes pidiendo rescate son enviados por mail utilizando técnicas que
impiden identificar la dirección IP utilizada (por ejemplo, mediante la red
TOR). Es posible, con las normas procesales vigentes, que el fiscal o el
juez dispongan el envío al secuestrador de un mail conteniendo un
programa malicioso para intentar determinar la dirección IP desde la que
se envían los mensajes ¿Qué norma del CPPN sería aplicable?
10 Para un análisis más exhaustivo del tema y comprensivo de las
diferentes posibilidades de uso de los programas maliciosos por el Estado
en el marco de las investigaciones penales, cfr. Salt, Nuevos desafíos de
la evidencia digital… cit.
11 Por ejemplo, una persona que tiene acceso a una computadora de la
persona que es objeto de investigación –un empleado, investigador, etc.–
instala el programa malicioso utilizando un pendrive. O sea que carga el
virus mediante un acceso físico al dispositivo o sistema informático.
12 Por ejemplo, a través de un mail que contiene el código malicioso. Otro
supuesto que se ha utilizado especialmente para identificar computadoras
que utilizan técnicas de navegación anónima –como TOR– es que el
programa malicioso se infecte en las computadoras o dispositivos que
acceden a un determinado sitio (por ejemplo a un sitio de intercambio de
pornografía infantil o un foro de apoyo a actividades terroristas).
13 Por ejemplo, un empleado o algún agente estatal inserta un pendrive
con el programa en la computadora que va a ser objeto de registro u
observación.
14 En nuestro país, la medida podría encuadrar en un acceso ilegítimo a
un sistema informático ajeno. Conducta prevista en el CP, art. 153 bis:
“…el que a sabiendas accediere por cualquier medio, sin la debida
autorización o excediendo la que posea, a un sistema o dato informático
de acceso restringido”. El hecho de que el uso de programas maliciosos
por el Estado esté autorizado en algunos estados y en otros no, sumado a
la movilidad de los programas a través de internet que posibilita que un
programa usado con orden judicial en un país se traslade de manera
transfronteriza y obtenga información en otros países en los que la medida
no está prevista o incluso constituye un ilícito penal, genera importantes
problemas jurídicos que exceden los límites de este trabajo. A modo de
193
ejemplo, supongamos que un juez de EE.UU. en el marco de una
investigación penal, autoriza la utilización de un programa malicioso para
obtener las direcciones IP de las computadoras que se conectan a una red
de intercambio de pornografía infantil. Si el programa malicioso infecta
una computadora en la Argentina y de esta manera logra obtener datos
informáticos, ¿constituirá un acceso ilegítimo prohibido por el art. 153 bis
del CP?
15 Ver caso propuesto en la nota anterior.
16 En este sentido, la ventaja que en general otorga el que el imputado no
conozca que está siendo investigado (y en esto tiene una similitud con la
intervención de comunicaciones), se contrapone con la desventaja que
puede generar en términos de garantizar la seguridad de la evidencia
(cadena de custodia), el no contar con el acceso al soporte físico que
permitiría un estudio forense más preciso e, incluso, la posibilidad de
resguardo seguro de la evidencia para que resulte un “acto reproducible”
en términos de la legislación procesal.
17 Según creo, este proceso terminará con un “cambio de paradigma” en
términos de la prueba en el proceso penal: La evidencia digital pasará a
ser la prueba principal y la prueba física a la que estamos acostumbrados
(fundamentalmente la prueba testimonial) actuará como evidencia
complementaria o confirmatoria de elementos de prueba digital. Ello
acrecienta la necesidad de incorporar a los códigos procesales normas
pergeñadas para la prueba digital abandonando la perniciosa tendencia a
aplicar las normas de la evidencia física por analogía sobre una aplicación
errada del principio de libertad probatoria.
18 Computadoras, discos, GPS de un automóvil, consolas de juegos,
teléfonos celulares, etc.
19 La importancia de esta distinción es que una orden judicial para
habilitar el secuestro de dispositivos informáticos no implica la
habilitación para registrar y secuestrar los datos contenidos en él. Antes
bien, si no fue previsto en la orden original se requiere una nueva
autorización judicial. Ello ha llevado a la nulidad de registro de datos
ordenados por la fiscalía sin la correspondiente orden judicial previa. Así
lo aclara expresamente el CPP de España en el art. 588 sexies a) que regula
el secuestro de dispositivos informáticos: “…2. La simple incautación de
cualquiera de los dispositivos a los que se refiere el apartado anterior,
practicada durante el transcurso de la diligencia de registro domiciliario,
no legitima el acceso a su contenido, sin perjuicio de que dicho acceso
pueda ser autorizado ulteriormente por el juez competente”.
20 Esta es precisamente una de las principales diferencias entre los medios
de registro y secuestro de cosas materiales y de datos informáticos. De
194
hecho, es clara la falta de diferenciación entre las normas del registro y las
del peritaje lo que genera innumerables problemas que exceden el objeto
de este trabajo. Ver el trabajo de Kerr, Orin, “Searches and Seizures in a
Digital World”, publicado en Harvard Law Review, nº 119, 2005, pp. 531-
585, y en la doctrina local, Rubinska, Julián, “El hallazgo casual en la
prueba digital. Estudio de derecho comparado y jurisprudencial, Editorial
Estudio, Buenos Aires, 2017.
21 Para un análisis más pormenorizado del estado de la discusión en el
derecho comparado, tanto a nivel de los organismos internacionales como
del derecho procesal vigente y la jurisprudencia en países centrales, cfr.
Salt, Nuevos desafíos de la evidencia digital… cit., pp. 73-113, trabajo del
que he tomado la información que sintetizo en este punto.
22 Cfr. especialmente los trabajos de Brener, Susan, “Remote computer
search and the use of virtual force”, 81 Mississippi Law Journal, 2012;
“Law Dissonance and Remote Computer Searches”, cit., p. 4. Señala en
este último trabajo: “…esto significa que los investigadores de Estados
Unidos pueden, de manera remota y subrepticia, explorar los contenidos
de las computadoras de los ciudadanos y utilizar lo que encuentren como
evidencia en un proceso penal, aun cuando la búsqueda dinámica difiera
fuertemente de los registros que tuvieron en cuenta los redactores de la
cuarta enmienda…” (traducción propia). Un tema importante que trata la
autora en este trabajo, especialmente teniendo en cuenta la estructura y
características del sistema federal argentino que delega la regulación del
sistema procesal a las diferentes provincias, es el de la discordancia que
puede darse entre los diferentes regímenes procesales de diferentes
jurisdicciones dentro del mismo país. Así Brener resalta que discordancias
entre los diferentes estados y el Estado federal: (i) La Corte Federal ha
resuelto que este tipo de registros es válido en la medida en que se
cumplan con los requisitos de la Cuarta enmienda; (ii) doce Cortes
estaduales han resuelto en el mismo sentido que resultan válidos siempre
y cuando cumpla con los estándares de la Cuarta enmienda de la
Constitución Federal y, además, con los requisitos propios de la
Constitución estadual y (iii) dieciséis Cortes supremas estaduales han
establecido de manera categórica que los registros remotos de
computadoras resultan ilegales frente a las normas de su constitución
local. El trabajo trata de determinar de qué manera influyen estas
diferencias cuando el acceso remoto significa también un acceso
interjurisdiccional entre estados con estándares diferentes. (Véase un
análisis de este tema con ribetes internacionales en el artículo siguiente,
pp. 183 y ss.).
23 United States v Scarfo, decisión de agosto del año 2001, ver texto del
195
fallo en http://caselaw.findlaw.com.
24 Corresponde a su denominación en inglés, Computer and Internet
Protocol Address Verifier.
25 Para una descripción de las características técnicas y los datos que
permite obtener el programa espía, cfr. Keizer, Gregg, “Insider info on the
FBIs spyware”, Computerworld, 30 de julio de 2007, disponible en
www.pcworld.com. Cfr. también, del mismo autor, “El spyware utilizado
por el FBI para detener a un extorsionador”, PC World, México, 20 de
abril de 2009. El autor describe la utilización del programa en un caso:
“FBI obtuvo permiso para emplear un programa llamado Computer &
Internet Protocol Address Verifier (CIPAV) para identificar la
computadora de Kelly como el que accedió a las páginas web creadas por
las operadoras para comunicarse con el extorsionador. CIPAV permite,
según los agentes del FBI, ‘que cualquier computadora,
independientemente de dónde esté, envíe mensajes que contienen la
dirección IP activa de la computadora y/o la dirección MAC, así como
otras variables y determinada información de registro, a una computadora
que está controlada por el FBI’. Sin embargo, no se especifica si el CIPAV
es también capaz de capturar contraseñas o de inyectar código en la
computadora comprometida al que accede, tal y como hacen la mayoría
de los troyanos. ‘La naturaleza exacta de los comandos de CIPAV, de sus
procesos, posibilidades y su configuración es material clasificado y
protegido por las leyes’ sentencia este documento.
”Sea como fuere, lo cierto es que en el caso de Kelly el FBI fue autorizado
a utilizar CIPAV y, un año después, Kelly fue encontrado culpable de
extorsión y condenado a pagar uno 378.000 dólares a Verizon por los
daños causados…”.
26 Así quedó evidenciado que el programa permite obtener de manera
remota datos tales como la dirección IP, dirección MAC, lista de puertos
TCP y UDP abiertos, lista de programas en ejecución, tipo de sistema
operativo utilizado y su versión y número de serie, navegador de Internet
utilizado y su versión, usuario registrado en el sistema operativo y el
nombre de empresas registradas, en su caso el nombre del usuario que ha
iniciado la sesión y la última URL visitada. Según lo informado por el
FBI, el programa informático no copia el contenido de las
comunicaciones, lo que implicaría una afectación menor a la expectativa
de privacidad.
27 Más allá de los límites territoriales que delimitan la jurisdicción del
juez que ordena la medida.
28 Preliminary Draft of Proposed Amendments to the Federal Rules of
Appellate, Bankruptcy, civil, and Criminal Procedure, preparado por el
196
Committee on Rules of Practice and Procedure of the Judicial Conference
of the United States, agosto 2014, pp. 339 y ss.
29 Cfr. la norma con sus modificaciones y notas, en idioma original en
www.law.cornell.edu.
30 El Poder Legislativo tenía 180 días para rechazar o modificar la norma
propuesta por la Corte Suprema antes de que entre en efecto.
31 Por sus características el caso tiene similitudes con el caso “Freedom
Hosting” antes relatado, aunque en este supuesto con la vigencia de la
nueva Regla 41. Un análisis interesante de todas las características
técnicas del caso en: Cox, Joseph, “The FBI’s ‘Unprecedented’ Hacking
Campaign Targeted Over a Thousand Computers”, publicado en
Motherboard, enero de 2016, disponible en https://motherboard.vice.com.
32 Véase sobre la operación y sus discusiones jurídicas el trabajo de Siino,
Nicola, “The FBI’s ‘Operation Pacifier’ Attempted to Catch Child
Pornography Viewers But Courts Inquire Into the Validity of the Search
Warrant”, 2016, disponible en https://sites.suffolk.edu.
33 De acuerdo al informe sobre el caso de la Electronic Frontier
Foudation, el término NIT fue utilizado por el FBI para intentar desviar la
atención de que se trataba de la utilización de un programa malicioso. Ver
el informe “The Play pen Cases: Frequently Asked Questions”, disponible
en www.eff.org/es.
34 Los debates, que exceden el objetivo de este trabajo, abarcan
cuestiones éticas y jurídicas. Desde un punto de vista ético se discutió
sobre el rol del Estado que, en aras de la investigación, mantuvo en
funcionamiento la página por un período de tiempo permitiendo que
continuara el ilícito. Jurídicamente, fueron analizadas cuestiones diversas
como la validez de la orden extraterritorial, el carácter de “dato” privado
que significa la IP de un usuario, o si el envío del programa implica un
registro domiciliario y debe tener las mismas garantías. Ver Kerr, Orin,
“Government hacking and the Playpen search warrant”, The Washington
Post, 27 de septiembre de 2016, y “Remotely accessing an IP address
inside a target computer is a search”, The Washington Post, 7 de octubre
de 2016. Resulta interesante la decisión de la Corte de Apelaciones del
Octavo Circuito (United States Court of Appeals for the Eigth Circuit) nº
16-3976 en el caso United States v. Steven Shane Horton. Disponible en
http://media.c a8.uscour ts.gov.
35 En el caso se explicitó que un grupo de direcciones IP investigadas
pertenecían a Austria. Cfr. sobre el tema, Paganini, Pierluigi, “Operation
Pacifier is the massive hacking campaign against computers world wide
launched by the FBI in early 2015 to track criminals on the dark web”,
agosto de 2016, disponible en http://securi tyaffa irs.co.
197
36 El tema puede tener importancia práctica en nuestro país. Supongamos
que EE.UU. comunica a la Argentina mediante alguno de los mecanismos
de cooperación existentes que ha detectado una dirección IP
correspondiente a un usuario de nuestro país desde la que se ha cometido
un delito. ¿Sería válida esta prueba si hubiera sido obtenida mediante estas
técnicas? ¿Constituiría un delito por parte de las autoridades de EE.UU.
el acceso a un sistema informático en la argentina?
37 Ley Orgánica 13/2015, de 5 de octubre, de modificación de la Ley de
Enjuiciamiento Criminal para el fortalecimiento de las garantías
procesales y la regulación de las medidas de investigación tecnológica,
publicada en el Boletín Oficial del Estado nº 239, 6 de octubre de 2015.
38 Ver preámbulo BOE nº 239, p. 90.197: “…Por lo que afecta al registro
remoto (diligencia ya presente en buena parte de las legislaciones
europeas) el intenso grado de injerencia que implica su adopción justifica
que incluso se refuerce el ámbito objetivo de la medida, para lo que se han
acotado con un listado numerus clausus los delitos que la pueden habilitar,
y a que se limite la duración temporal…”.
39 Art. 588 septies a). “Presupuestos. 1. El juez competente podrá
autorizar la utilización de datos de identificación y códigos, así como la
instalación de un software, que permitan, de forma remota y telemática, el
examen a distancia y sin conocimiento de su titular o usuario del contenido
de un ordenador, dispositivo electrónico, sistema informático,
instrumento de almacenamiento masivo de datos informáticos o base de
datos, siempre que persiga la investigación de alguno de los siguientes
delitos: a) Delitos cometidos en el seno de organizaciones criminales. b)
Delitos de terrorismo. c) Delitos cometidos contra menores o personas con
capacidad modificada judicialmente. d) Delitos contra la Constitución, de
traición y relativos a la defensa nacional. e) Delitos cometidos a través de
instrumentos informáticos o de cualquier otra tecnología de la
información o la telecomunicación o servicio de comunicación”.
40 Art. 588 septies a) 2: “La resolución judicial que autorice el registro
deberá especificar: a) Los ordenadores, dispositivos electrónicos, sistemas
informáticos o parte de los mismos, medios informáticos de
almacenamiento de datos o bases de datos, datos u otros contenidos
digitales objeto de la medida. b) El alcance de la misma, la forma en la
que se procederá al acceso y aprehensión de los datos o archivos
informáticos relevantes para la causa y el software mediante el que se
ejecutará el control de la información. c) Los agentes autorizados para la
ejecución de la medida. d) La autorización, en su caso, para la realización
y conservación de copias de los datos informáticos. e) Las medidas
precisas para la preservación de la integridad de los datos almacenados,
198
así como para la inaccesibilidad o supresión de dichos datos del sistema
informático al que se ha tenido acceso”.
41 Cfr. Hofmann, Manfred, “Die Online-Durchsuchung – staatliches
Hacken oder zulässige Ermittlungsmaßnahme?” (Registros en Línea,
piratería gubernamental o medida de investigación legítima), en NStZ
2005, S. 121 ff.; Gercke, Marco, “Heimliche Online-Durchsuchung:
Anspruchund Wirklichkeit” (Vigilancia secreta en línea: expectativas y
realidades), publicada en CR 2007, S. 245; Juez Ulf Buermeyer, Berlin,
“Online-Durchsuchung. Technischer Hintergrund des
verdecktenhoheitlichen Zugriffs auf Computersysteme” (Las búsquedas
en línea. Antecedentes técnicos del procesode acceso por parte del Estado
a los sistemas informáticos), publicado en Online zeitschrift für
Höchstrichterliche Rechtsprechung zum Strafrecht HRRS, nº 4, 2007, pp.
155 y ss. Y “Online-Durchsuchung. Verfassungs rechtliche Grenzen des
verdecktenhoheitlichen Zugriffs auf Computersysteme” (Las búsquedas
en línea. Límites constitucionales al acceso a sistemas informáticos por
parte del Estado), publicado en HRRS, nº 8, 2007, pp. 329 y ss.
42 Bundesgerichtshof. Corte Federal de Justicia de Karlshrue. Cfr.
www.bundesgerichtshof.de, BGH, NJW, 2007, 930.
43 Cabe destacar que el caso en el que la Corte emitió esta resolución se
refería a una investigación por terrorismo (delito considerado
especialmente grave en todas las legislaciones). La solicitud del fiscal
pretendía realizar un registro y secuestro de datos de una computadora sin
que sea necesario un allanamiento del domicilio en que la computadora se
encontrara físicamente aplicando por analogía las normas del registro y
secuestro y de intervención de comunicaciones.
44 Corte Federal Constitucional alemana, 27 de febrero de 2008 BVerfG,
NJW 2008, 822.
45 En su idioma original, “Verfassungsschutzgesetz”. La modificación de
la ley se sancionó el 30 de diciembre de 2006.
46 El texto original en alemán disponible en www.dejure.org, NJW 2008,
822 Cfr. El reporte de prensa de la Corte constitucional 22/2008 del 27 de
febrero de 2008, en su idioma original y en ingles: Federal Constitutional
Court –Press Office–, “Previsions in the North-Rhine Westphalia
Constitution Protection Act (Verfassungsschutzgesetz Nordrhein-
Westfalen) on online searches and o there connaissance of the Internet null
and void”, disponible en www.bundesverfassungsgericht.de. El texto
completo del fallo en inglés disponible en www.bunde sverfass ungs
gericht.de.
47 Ley sancionada el 25 de diciembre de 2008.
48 El 24 de agosto de 2017 entró en vigor la enmienda al Código Procesal
199
Penal alemán que amplió las facultades de los organismos encargados de
hacer cumplir la ley para realizar búsquedas en línea y vigilar las
telecomunicaciones (Gesetz zur effektiveren und praxis tauglicheren
Ausgestaltung des Strafverfahrens [Ley para hacer procedimientos
penales más efectivos y prácticos], sancionada por el parlamento el 17 de
agosto de 2017.
49 La modificación a la norma procesal habilita ahora de manera expresa
la posibilidad de usar medios de acceso remoto para interceptar
comunicaciones cuando se producen usando técnicas de encriptación. Ello
permitiría, por ejemplo, interceptar comunicaciones orales usando
programas como whatsap o telegram, en los que la comunicación no puede
ser interceptada, salvo en el dispositivo de origen o el de destino, ya que
durante el proceso de envío de paquetes de datos de un equipo a otro está
protegida por técnicas de encriptación. Rigen las mismas normas de la
interceptación tradicional de comunicaciones, o sea, que la medida se
restringe a los supuestos en que una interceptación hubiera sido posible si
no estuviera encriptado. Cabe aclarar que los datos relativos a
comunicaciones sucedidas previamente no pueden ser obtenidas mediante
esta habilitación legal, sino solamente usando la norma prevista para el
registro y secuestro de datos. O sea que la norma sólo se aplica a la
obtención de paquetes de datos vinculados a comunicaciones presentes. Si
se refiere a comunicaciones pasadas que pueden haber dejado registros de
datos en un sistema informático, rigen las normas de registro y secuestro.
50 La definición de los delitos para los cuales habilita la medida ha sido
criticada por sectores de la doctrina y organizaciones preocupadas de la
protección de la intimidad y los datos personales. Especialmente han
resaltado que abarca conductas no alcanzadas por la decisión
jurisprudencial del Tribunal Constitucional a la que hicimos referencia
anteriormente, que fija un criterio sumamente restrictivo.
51 Cfr. art. 100 d, StPO. Ejemplo de análisis ex post de la prueba obtenida
para determinar su posible incorporación al proceso.
52 En el caso de la intercepción de comunicaciones, el plazo de
notificación al acusado es dentro del año.
53 Proyecto de Ley de Reforma puntual del Código Procesal Penal de la
Nación. Modificación del Título III “Medios de prueba”, presentado en
octubre del año 2013, elaborado por la Comisión Técnica Asesora en
Materia de Cibercrimen creada en el ámbito de la Jefatura de Gabinete de
Ministros y el Ministerio de Justicia con el objetivo de proponer normas
procesales referidas al tratamiento de las pruebas digitales y la adecuación
de la legislación nacional a los postulados de la Convención de Budapest
(Jefatura de Gabinete de Ministros y el Ministerio de Justicia y Derechos
200
Humanos, por resolución conjunta 866/2011 y 1500/2011). La comisión
fue continuadora de una anterior encargada de la redacción de un proyecto
de ley en materia de delitos informáticos y la adecuación de la legislación
argentina a las recomendaciones y convenciones internacionales
(resoluciones MJyDH nº 164 y MRECIyC nº 339 del 10 de marzo de
2005). Cabe mencionar que participé activamente del proceso de
elaboración de la norma como miembro de ambas comisiones citadas.
54 “…En el caso de que en la diligencia se hallaran dispositivos de
almacenamiento informático y hubiere motivos suficientes para presumir
que estos pudieren contener datos relativos a la investigación, el juez
ordenará que se obtenga una copia forense de tal dispositivo. Para el caso
en que fuera imposible, ordenará el secuestro del dispositivo o, en su caso,
que se conserven los datos en él contenidos de conformidad con las
disposiciones contenidas en el art. 232 ter, tercer párrafo. El registro de él
o los dispositivos hallados no podrá extenderse más allá del objeto de la
orden respectiva, bajo pena de nulidad”.
55 La crítica me alcanza a mí también como miembro integrante de la
comisión redactora. Lo cierto es que para la época de elaboración del
proyecto no había profundizado aún lo suficiente tanto sobre las
especificaciones técnicas de estos medios de investigación como sobre sus
implicancias jurídicas, estudios que formaron parte de la preparación de
esta tesis.
56 Ley 2784 del año 2011.
57 Ver nota 7.
58 Tal como he señalado en anteriores trabajos, entiendo que resultaba
conveniente y de una mejor técnica legislativa tratar estos medios de
investigación en el capítulo especial dedicado a los delitos complejos. Así
se simplificaría la interpretación del análisis de “proporcionalidad” que
exigen tanto estos medios de investigación especiales como las
excepciones que se prevén en el capítulo dedicado a los denominados
delitos complejos. Tal como queda ahora el texto de la ley, no queda claro
este doble sistema de medios de investigación para delitos de “especial
gravedad” y el contenido del capítulo de delitos complejos, que subsiste
de manera separada en el mismo CPPN.
59 El proyecto contenía un catálogo de medios de investigación
tecnológica que incluía además vigilancia acústica, vigilancia de las
comunicaciones y vigilancia a través de dispositivos de seguimiento y de
localización.
60 Art. 175 bis. “Necesidad. Razonabilidad. Proporcionalidad. Las
herramientas y facultades establecidas en este Título para la investigación
de las conductas delictivas serán de aplicación bajo estricta observancia
201
de los principios de necesidad, razonabilidad y proporcionalidad”. El art.
175 concreta qué debe valorar el juez para el otorgamiento de la medida:
“…La autorización estará supeditada a un examen realizado conforme los
principios del art. 175 bis, en el que el juez deberá: a) Comprobar que la
medida a adoptarse esté relacionada con la investigación de un delito
concreto de especial gravedad, b) Evaluar la verosimilitud de la sospecha
de que alguien, como autor o partícipe, haya cometido, o intentado
cometer, el delito objeto de la investigación; c) Descartar que no existen
otras medidas menos gravosas para el investigado que resulten igualmente
útiles para el esclarecimiento de los hechos o para averiguar el paradero
de los imputados, d) Acreditar la existencia de una probabilidad
suficientemente motivada de que una o varias de las medidas a adoptar
proporcionarán elementos de prueba significativos para el avance de la
investigación; e) Ponderar que el beneficio para el interés público que
espera obtenerse guarde adecuada relación de proporcionalidad con la
afectación de los derechos e intereses involucrados”.
61 El texto del proyecto de PE establecía mayores garantías y precisaba
mejor los alcances de la medida: “Podrá autorizarse la utilización no
ostensible de un software que permita o facilite el acceso remoto al
contenido de ordenadores, dispositivos electrónicos, sistemas
informáticos, bases de datos o instrumentos de almacenamiento masivo
de datos informáticos. El juez deberá exigir al fiscal que precise los datos
o archivos informáticos que se procura obtener con la medida y la forma
en la que se procederá a su acceso y captación; la identificación del
software mediante el cual se ejecutará el control de la información; la
individualización de los ordenadores, dispositivos electrónicos, sistemas
informáticos, bases de datos o instrumentos de almacenamiento masivo
de datos informáticos que serán objeto de la vigilancia; y la duración
estimada de la medida. El fiscal deberá solicitar al juez la ampliación de
la medida de registro si advirtiera que los datos buscados están
almacenados en otro dispositivo informático al que se tiene acceso desde
el sistema originariamente autorizado”.
62 Ver carta enviada por un grupo de organizaciones de la sociedad civil
–Asociación por los Derechos Civiles (ADC); Asociación Civil por la
Igualdad y la Justicia (ACIJ); Asociación Pensamiento Penal (APP);
Centro de Estudios Legales y Sociales (CELS), e Instituto de Estudios
Comparados en Ciencias Penales y Sociales (INECIP)– al Senado el 17
de abril de 2018 disponible en www.cels.org.ar y, especialmente, el
informe de la ADC, “Código Procesal Penal Federal. Reforma Espía.
Comentarios a la regulación de nuevas técnicas de vigilancia en el
proyecto de reforma”, abril de 2018: “El aspecto problemático de la
202
iniciativa es que no contempla todas las garantías adecuadas para evitar
un abuso de herramientas que en otros países han dado lugar a casos de
espionaje invasivo y sistemático. De este modo, los derechos humanos de
las personas pueden verse seriamente amenazados por este proyecto, si no
se toman los recaudos necesarios para protegerlos…”.
63 “El art. 30 de la reforma agrega a la primera parte del código vigente
un título sobre técnicas especiales de investigación, que legaliza la
utilización de variadas medidas de vigilancia acústica, de comunicaciones,
vigilancia remota sobre equipos informáticos y vigilancia a través de
dispositivos de seguimiento y localización, medidas todas que implican
una injerencia arbitraria o abusiva en la vida privada de las personas, en
los términos en los que lo prevé el art. 11.2 de la Convención Americana
de Derechos Humanos (…). A ello se le suma, que entre los distintos
incisos del art. 30 del proyecto, se permite mantener esas medidas lesivas,
durante un año antes de que el juez de revisión ‘deba controlar los motivos
que fundamenten su continuidad’, lo cual se observa claramente abusivo
y debe ser necesariamente sometido a consideración de especialistas y a
debate público. No se puede soslayar, además, que se trata de un tema
extremadamente sensible en nuestro tiempo (…). En este sentido, este
tema y su incorporación en el ordenamiento ritual, exige un análisis y un
debate minucioso antes que se consolide en una norma jurídica, habida
cuenta los bienes jurídicos en juego…”. Del Dictamen de Minoría de la
Comisión de Legislación Penal, disponible en www.senado.gov.ar.
64 Cfr. una crónica periodística de la discusión en el recinto y el resultado
final en www.ambito.com.
65 Ya sea que la medida de búsqueda y secuestro de datos se realice en el
lugar del allanamiento o requisa, o posteriormente en laboratorio en el
marco de una pericia informática sobre los dispositivos informáticos
secuestrados.
66 Una condición que prevén todos los CPP vigentes es la obligación de
informar de la medida de intrusión domiciliaria a quien posee o es titular
del domicilio. Los CPP prevén que la autoridad realice todos los esfuerzos
necesarios para anoticiar a quien se ve afectado en su ámbito de intimidad,
que deberá poder leer la orden escrita y podrá presenciar la ejecución de
la medida. Se prevé también que todo lo sucedido quede plasmado en actas
formales. Estas normas tienden a garantizar tanto la intimidad como el
derecho de defensa. A modo de ejemplo, CPPN, leyes 23.984, art. 228;
27.063, art. 138; CPP CABA, art. 111.
67 A modo de ejemplo, CPPN ley 27.063, art. 136, inc. d: “…en su caso,
los motivos que fundamentan la necesidad de efectuar la diligencia fuera
del horario diurno”.
203
68 Por ejemplo, la sede del Poder Legislativo o un estudio jurídico. A
modo de ejemplo, CPPCABA, art. 110: “Si el lugar fuera sede de la
Legislatura o del Congreso Nacional, deberá requerirse la autorización del
Presidente de la Legislatura o de la Cámara del Congreso Nacional donde
deba practicarse el allanamiento”.
69 Una solución diferente podría recibir el caso de programas o técnicas
utilizadas para obtener solamente los datos de conexión de una
comunicación determinada que se produjo utilizando técnicas de
anonimato para la comisión de conductas ilícitas. Por ejemplo, un caso de
grooming (CP, art. 131) o amenazas generadas desde conexiones
utilizando sistemas de anonimato como TOR. El envío por las autoridades
de persecución penal de algún programa que permita obtener la dirección
IP real u otros datos del sistema sin acceder a contenido de información ni
copiar o secuestrar datos, dependerá de la naturaleza que le asignemos a
la dirección IP como dato. El debate sobre este tema está aún abierto y no
ha sido tratado por nuestra jurisprudencia. Ver el análisis del caso Playpen
en EE.UU. en el punto 4 del presente trabajo.
70 Implica vigilar en tiempo real la actividad actual y futura del imputado
en su entorno virtual (en términos probatorios, permite obtener datos tales
como páginas abiertas o búsquedas de información por parte del
sospechoso, confección o envíos de archivos en el momento en que
suceden, obtención de claves o contraseñas, para acceder a información o
cifrar archivos, utilizar las cámaras y micrófonos de los dispositivos
informáticos para conocer qué sucede en un lugar determinado,
monitorear comunicaciones escritas o escuchar o ver comunicaciones de
audio y voz en el momento en que suceden).
71 Por este motivo, algún sector de la doctrina y la jurisprudencia en el
derecho comparado ha intentado asimilarlo o utilizar como norma
habilitante para el uso de estos programas con estos fines, las previsiones
de la intervención de comunicaciones.
72 Ya sea que la medida esté prevista en la misma norma que regula el
registro y secuestro de elementos físicos, o en códigos con mejor técnica
legislativa, que regulan un supuesto especial para el registro y secuestro
de datos.
73 Entiendo que las normas sugeridas pueden servir como modelo para
sistemas procesales de corte acusatorio tanto a nivel federal como de la
justicia de CABA y provinciales.
74 Carácter subrepticio al momento de la realización de la medida.
75 Esta parte de la norma pretende aclarar que la medida solamente puede
autorizarse en el marco de la investigación de un hecho delictivo concreto
previamente determinado y no como una investigación tecnológica
204
prospectiva. Este límite adquiere especial importancia con el crecimiento
en el mercado de técnicas de investigación y rastrillaje informático que
permiten obtener gran cantidad de datos utilizando programas en redes
abiertas e, incluso, con técnicas de inteligencia artificial. A modo de
ejemplo, los novedosos desarrollos que permiten detectar en redes p2p
posibles violaciones a la propiedad intelectual que pueden en algunos
casos significar accesos remotos a datos.
76 Trato de acentuar de esta manera la idea de proporcionalidad. Es
posible pensar en sistemas más estrictos o que acoten la discrecionalidad
en la apreciación o ponderación del juez fijando legalmente criterios
rígidos, ya sea sobre la base de la escala penal de los delitos investigados
o estableciendo un numerus clausus de delitos en los que se autoriza la
utilización de la medida.
77 El párrafo tiende a afianzar la idea de excepcionalidad de la medida y
la obligación de acreditar su necesidad en el caso concreto.
78 En este supuesto, la habilitación está justificada por una idea de
“necesidad” que proviene no solamente de la gravedad del delito
investigado, sino también de su forma de comisión a través de
mecanismos tecnológicos que hacen imposibles otras formas de
investigación tradicionales. Un análisis de proporcionalidad “doble” en el
que debe valorarse la imposibilidad de vías alternativas de investigación
por las características del medio comisivo empleado y la ponderación de
la gravedad del delito investigado, siguiendo los criterios tradicionales
sobre el tema desarrollados por la jurisprudencia de la CSJN y los
organismos de DD.HH., adaptados a esta nueva realidad tecnológica.
79 Este párrafo es una modificación al artículo propuesto en la tesis
original. Cfr. Salt, Nuevos desafíos de la evidencia digital… cit., p. 180.
Responde a inquietudes surgidas a partir de la nueva legislación alemana
(ver punto 4 del presente trabajo) y las observaciones de las
organizaciones de la sociedad civil al proyecto rechazado por la Cámara
de Senadores (ver nota 62).
80 El párrafo está destinado a habilitar que sea posible extender el registro
y secuestro remoto cuando los datos están alojados externamente al
dispositivo que es objeto de la medida pero que están conectados al
sistema original.
81 Este último aspecto resulta de fundamental importancia para
diferenciar esta medida que procura la copia o incautación de archivos
determinados de la utilización de programas maliciosos con la finalidad
más amplia de mantener una vigilancia en el tiempo de un sistema
informático. Si la intención es la incautación de datos determinados, la
medida debe agotarse en el tiempo necesario para obtenerlos. Es posible
205
que en algunos supuestos pueda ser un proceso rápido que se inicie y
culmine rápidamente y hasta en presencia del juez.
Maximiliano Hairabedián
1. Introducción -
3. Propiedades abiertas -
5. Residencias -
Si para saber lo que ocurre dentro de una morada –aun sin entrar en ella–
es necesario valerse de artificios tecnológicos que den un conocimiento
ampliado de lo que acontece muros adentro, y con ello se logra trasponer
las defensas de la intimidad doméstica, se impone la misma autorización
jurisdiccional que hace falta para el ingreso físico, ya sea que utilice un
medio visual o auditivo (como las escuchas electrónicas a distancia)37,
siempre que sea necesario vencer, mediante la técnica, un obstáculo
predispuesto por el morador para salvaguardar su intimidad38 (v. gr.,
vidrios refractarios o polarizados). Es que las técnicas bajo análisis pueden
tener un amplio poder vulnerante de la vida privada y al valerse de
adelantos tecnológicos, derriban las normales expectativas de privacidad
de la persona.
215
Retomando las modalidades de uso de drones, en el caso del segundo
supuesto (apoyo del allanamiento tradicional) no es necesario que la orden
jurisdiccional haya habilitado expresamente el uso del aparato, toda vez
que al haber dispuesto la invasión completa (por ingreso físico con
copamiento) de la inviolabilidad domiciliaria, la intimidad queda
legalmente desguarnecida y el uso del dron no significa un aumento o plus
en el nivel de intromisión. Podría argumentarse en contra de esta postura
que su empleo puede afectar viviendas aledañas no alcanzadas por la
orden judicial, pero cabe responder que en general la irrupción en una
vivienda para su registro implica la toma de posición en techos, tanques y
puntos de altura para el control de lo que ocurre, con lo cual también
pueden verse los locales colindantes.
216
Hay países que ya cuentan con una regulación procesal penal. En España
se incorporó el art. 588 quinquies a la ley de enjuiciamiento, por el cual
se permite a la policía obtener y grabar por cualquier medio técnico
imágenes de la persona investigada cuando se encuentre en un lugar o
espacio público, si fuera necesario para facilitar su identificación, para
localizar los instrumentos o efectos del delito u obtener datos relevantes
para el esclarecimiento de los hechos. La medida podrá ser llevada a cabo
aun cuando afecte a personas diferentes del investigado, siempre que de
otro modo se reduzca de forma relevante la utilidad de la vigilancia o
existan indicios fundados de la relación de dichas personas con el
investigado y los hechos objeto de la investigación. En comentario a esa
regulación, se ha señalado que “se hace necesario distinguir si la
utilización de tales medios se realiza en espacios abiertos o, por el
contrario, se lleva a cabo en espacios cerrados o en domicilios. Respecto
a la primera posibilidad, su utilización en lugares abiertos o públicos, el
Tribunal Supremo permite el uso de dispositivos de seguimiento GPS sin
necesidad de autorización judicial (STS 156/2008, de 8 de abril. Número
de Recurso: 1574/2007; STS 997/2001, de 1 de junio), por lo que, aplicado
dicho criterio, el seguimiento podría tener lugar mediante la utilización de
drones teledirigidos mientras que el Tribunal Constitucional no se
pronuncie en sentido contrario”45.
7. Conclusiones -
218
La ausencia de normativa específica de uso procesal no es impedimento
para que un juez ordene la indagación domiciliaria con drones mediante
la orden fundada de registro del domicilio prevista en las legislaciones
procesales, porque el registro no se limita al ingreso físico. Cuando se lo
emplea como elemento de apoyo de un allanamiento dispuesto
judicialmente, no es necesaria una estipulación expresa de uso, ya que la
intimidad doméstica ha sido desguarnecida por mandato judicial.
Notas -
220
adecuación, la necesidad, la proporcionalidad y la compatibilidad con el
orden democrático” (CFCP, Sala II, reg. nº 1788, 5/11/15, “Hinricksen”,
citando a “Díaz”, reg. nº 19.518 del 25/11/11).
8 El mayor interés en la protección de la privacidad surge por la capacidad
de los drones de operar como una ponderosa herramienta de vigilancia
autónoma. Justamente por los distintos accesorios permite obtener
información detallada sobre los individuos; equipados con cámaras, GPS
de rastreo, objetivos, filmadora de videos, infrarrojos, pueden obtener
imágenes y hacer transferencias tecnológicas veloces, todo sin el
conocimiento de la persona (Schlag, Chris, “The New Privacy Battle:
How the Expanding Use of Drones Continues to Erode Our Concept of
Privacy and Privacy Rights”, Journal of Technology Law & Policy, vol.
XIII, 2013). Por eso propicia que la legislación requiera orden judicial
basada en causa probable para su utilización.
9 Thompson, Richard M., “Domestic Drones and Privacy”, Congressional
Research Service, 30/3/15). Señala Thompson que el paradigma funciona
de distintas maneras, por ejemplo, cuando consentimos que la aplicación
para un smartphone rastree nuestra localización, podemos decidir la
compensación de nuestra privacidad con el valor del servicio que
recibiremos en contraprestación. Sin embargo, con los drones y la
vigilancia aérea esta teoría se desintegra. Se pregunta: ¿Cómo esperamos
ejercer el control sobre quiénes nos ven a nosotros o nuestra actividad?
¿Debería existir diferencia si la persona nos ve desde una aeronave
tradicional o si lo hace desde un dron?
10 Talai, Andrew, “Drones and Jones: The Fourth Amendment and Police
Discretion in the Digital Age”, California Law Review 102, 2014, p. 729.
11 Takahashi, Timothy T., “Drones and privacy”, The Columbia Science
& Technology Law Review, Vol. XIV, 7/4/2012, pp. 100-105.
12 Se refiere al fallo de 2012 de la Corte Suprema de Estados Unidos
reprobando los seguimientos sin orden judicial mediante GPS. Para
Takahashi si un dron está marcando visualmente a un sospechoso,
esencialmente está proveyendo a su operador con información parecida a
la que proporciona un GPS.
13 Por “Florida vs. Riley” (488 US 445 1989), en el cual la Corte aplicó
el test del precedente “Katz” (expectativa razonable de privacidad) para
sostener que la observación visual sin orden judicial de un invernadero
parcialmente abierto, practicada por un policía en una vista panorámica
desde un helicóptero circulando a 400 pies, no violaba la cuarta enmienda;
pero al mismo tiempo la mayoría advirtió que se hubiese requerido una
orden si la vigilancia ocurría en una altitud baja, donde la aeronave podría
haber estado volando de manera contraria a la ley o la regulación.
221
14 Se puede referir al caso “Illinois vs. Caballes” ( 543 US 405 2005), en
el cual se convalidó el empleo –sin que medie una sospecha razonable–
de un perro policía detector de drogas durante un control por infracción
de tránsito, porque no prolongó la duración ni comprometió un interés
legítimo de privacidad, ya que sólo puede detectar la presencia de la
sustancia ilícita. Citando el precedente “Place” (462 US 707), el fallo tuvo
en cuenta que no expone elementos distintos al que constituye el traslado
ilícito y que de otra manera permanecerían escondidos de la vista pública.
15 En alusión a “Arizona vs. Hicks” (480 US. 321 1987), cuando se
consideró una extralimitación la actividad policial realizada dentro de un
domicilio en exceso del fin perseguido inicialmente (habían entrado por
los disparos de un francotirador y no sólo secuestraron las armas y
municiones, sino que además manipularon partes de un equipo de audio
controlando su numeración, chequeando que era robado). Si bien en
Estados Unidos se conoce como “plain view doctrine” la teoría que
permite a la policía secuestrar elementos flagrantemente delictivos que
encuentre accidental e imprevistamente durante un registro domiciliario
legítimo, en el caso no surgía probable a simple vista el carácter delictivo
del estéreo y su indagación no guardaba relación con el objetivo inicial de
la irrupción. Para el autor cuando se usa tecnología altamente sofisticada
dotada de sensores remotos en una inspección sin orden, se vuelve
inevitable que la policía traspase el límite del precedente “Hicks”. Porque
usando tecnología que permite “ver a través de las paredes”, desdibuja la
frontera entre el acto previamente permitido de “mirar un objeto
sospechoso a simple o plena vista” y el no permitido de “moverlo” para el
propósito de la inspección. Remata que la tentación de una “redada
policial” (en nuestra jerga llamada “excursión de pesca”) es grande
(Takahashi, Timothy T., “Drones and privacy”, The Columbia Science &
Technology Law Review, Vol. XIV, 7/4/2012, pp. 106-107.).
16 Recuerdo un cartel colocado en una tranquera que advertía “Prohibidas
las visitas”. Por eso se ha sostenido que “es nuestro respeto por la libertad
de los dueños de las tierras para usar en alguna de las referidas formas
(466 U.S. 170, 193) sus ‘terrenos’ delimitados con carteles de ‘no
ingresar’, lo que explica parcialmente la seriedad con la que el derecho
positivo toma en cuenta las invasiones deliberadas a tales espacios, y
refuerza sustancialmente la posición de los propietarios de tierras en
cuanto a que sus expectativas de privacidad son razonables” (CS EE.UU.,
“Oliver”, 466 U.S. 170 1984).
17 La jurisprudencia norteamericana avaló el descubrimiento de una
plantación de marihuana desde una aeronave detectada por un policía
especialista tras recibir un dato anónimo; con la confirmación se expidió
222
la orden de allanamiento (“California vs. Ciraolo” 476 US 207 1986). La
decisión fue controvertida, y tomada por una apretada mayoría, porque el
sitio estaba protegido por cercos que impedían la visión desde la superficie
y el sector del cultivo estaba próximo a la residencia del imputado.
Sostuvieron que el mero hecho de que un individuo haya tomado medidas
para restringir la visual de sus actividades no impide la observación
policial desde un punto en el que tiene derecho a estar y desde el que se
puede ver claramente, puesto que tuvieron lugar dentro del espacio aéreo
públicamente navegable y de una manera no invasiva. “La Cuarta
Enmienda simplemente no requiere que la policía viaje por las rutas aéreas
públicas a 1000 pies para obtener una orden de registro a fin de observar
lo que es visible a ojo desnudo”. En cambio, para la minoría, la situación
no era analogable a la actividad aérea común porque los viajeros de vuelos
comerciales, como así también los aviones privados usados para negocios
o razones personales, normalmente obtienen como mucho un vistazo
fugaz, anónimo e indiscriminado del paisaje y edificaciones sobre las que
pasan. El riesgo de que un pasajero pueda observar actividades privadas y
conectarlas con personas en particular es simplemente tan trivial como
pretender una protección en contra”.
18 En un artículo en el que se analiza el derecho a repeler una invasión
doméstica con un dron derribándolo, anota que “el principio cuius est
solum, eius est coelum (de quien es el suelo, es el cielo), tiene su origen
en el Derecho romano y que ya se recogía en la Partida VII de Alfonso X
el Sabio” (López, Javier, “Tiro al dron, ¿derecho o delito?”, 9/5/16,
https://confi legal.com).
19 Claro está que las actividades investigativas con drones se hacen
volando a muy baja altura en comparación con otras aeronaves, lo que
constituye otro factor de dificultad en el análisis. La doctrina comparada
reconoce la necesidad de dar mayor precisión en los derechos del espacio
aéreo a baja altitud para fijar los casos de exclusión de drones. Se ha
señalado que antes del advenimiento de los drones no había presión ni
necesidad de definir el alcance de los intereses de propiedad en baja altitud
y, desafortunadamente, a medida que crece una bandada de drones
domésticos listos para el despegue, las ambiguas leyes sobre derechos del
espacio aéreo amenazan ahora con impedir el crecimiento de una nueva
industria importante, quedando al medio de estas presiones los principios
de microeconomía y propiedad (Rule, Troy A., “Airspace in an age of
drones”, Boston University Law Review, vol. 95, pp. 207 y 208, 2015).
20 El magistrado hizo hincapié en que un propietario es dueño del espacio
superior a la superficie que pueda ocupar o usar y que las invasiones en
ese espacio son de la misma categoría que las terrestres (Ortiz Mussenden,
223
Rubén -Gómez, Héctor L. - Gómez, Santiago - Torres Báez, Josué, “La
privacidad y los aparatos voladores a control remoto recreacionales
drones”, Facultad de Derecho, Universidad Interamericana de Puerto
Rico, 2017, www.informatica-juridica.com.
21 “Una oficina o local comercial carecen de la protección que otorgan
los apartados 1 y 2 del art. 18 CE al no constituir, de modo evidente, un
espacio de privacidad necesario para el libre desarrollo de la personalidad,
de ahí que no puedan considerárselos incluidos dentro del ámbito de
protección de la inviolabilidad del domicilio –SSTS 27/7/01, 3/10/95,
27/10/93–” (TSE., S. 1219, 17/10/05). En cambio, la jurisprudencia
constitucional de otros países acertadamente reconoce el fuerte impacto
de los derechos de propiedad (CSCostaRica, Sala III, S. 980, 17/9/10) e
intimidad. En Estados Unidos los tribunales declaran que “un hombre de
negocios, al igual que el ocupante de una residencia, goza del derecho
constitucional de estar en su empresa libre de ingresos oficiales
irrazonables bajo su propiedad comercial privada” (“See vs. Seattle”, 387
US 541 –1967–).
22 En “Dow Chemical Co. vs. US” (476 US 227 –1986–), la Corte de
Estados Unidos, en fallo dividido, entendió que el uso de cámaras desde
un avión no fue invasivo a la intimidad individual ya que el lugar
inspeccionado era una planta industrial. La empresa había denegado a la
Agencia de Protección Ambiental una inspección de seguimiento in situ
de sus instalaciones y en respuesta hizo la observación aérea. Dow
Chemical demandó alegando violación a la Cuarta Enmienda. Luego de
fallos opuestos en instancias inferiores, la Corte consideró que las áreas
abiertas de un complejo industrial son más comparables a un “campo
abierto” en el que un individuo no puede legítimamente exigir privacidad;
y el hecho de que la EPA tomara fotografías desde el espacio aéreo público
con el equipo estándar empleado por los cartógrafos para hacer mapas,
confirmaba que el área no estaba sujeta a una estricta protección contra la
observación. Burger advirtió que usando equipamiento de vigilancia
altamente sofisticado deber ser proscripta la ausencia de orden.
23 Cafferata Nores, José I. – Hairabedián, Maximiliano, La prueba en el
proceso penal, 6ª ed., Lexis Nexis, Buenos Aires, 2008. En esta línea se
ha resuelto que si bien el art. 13, segundo párrafo, de la ley 25.761 tipifica
y establece una pena por el solo hecho de no cumplir con los deberes
administrativos establecidos por la mencionada ley, para quienes su
actividad principal, secundaria o accesoria sea el desarmadero y/o
comercialización, transporte o almacenamiento de repuestos usados, no
puede utilizarse este recurso con fines penales. “Si por vía del registro
domiciliario en el marco de un procedimiento administrativo se pretendió
224
legitimar lo que en realidad era un allanamiento con fines punitivos, se
concluye que en el caso se habilitó mediante una decisión del poder
ejecutivo –decretos reglamentarios de la ley 25.761 que otorgan
competencias específicas a la DNRNPA–, la intromisión a la privacidad
de los particulares con fines de iniciar un proceso penal y recabar prueba
acusatoria” (CNCC, Sala V, 9/9/11, “S., E. G.”). Un buen comentario de
la citada ley nacional 25.761 y del decreto reglamentario 744/04 puede
consultarse en Agost Carreño, Oscar, Análisis práctico del régimen
jurídico automotor, Advocatus, Córdoba, 2011, pp. 206 y ss.
24 Por ser lugares dependientes de la voluntad de su titular a efectos de la
privacidad y de la exclusión de terceros (TCE, 27/9/99, S 171). En el
mismo sentido se han expedido los tribunales locales respecto a la cochera
(CNFCC, Sala I, 3/9/07, “Mizraji”, La Ley, 2/11/07, p. 6).
25 Al no constituir una causal de allanamiento sin orden ni haber mediado
razones de urgencias atendibles, se consideró inválido el allanamiento de
la terraza de una vivienda vecina (CNCP, Sala II, 13/11/09, “Salinas”). En
la misma línea, se dijo que “la terraza debe considerarse incluida en el
ámbito de privacidad referenciado, para el caso de que exista directa
conexión con el departamento habitado. Se argumentó que para llegar a la
terraza había que pasar por el departamento allanado (CNCC, Sala VII,
24/9/10, “A., E.”).
26 Núñez, Código Procesal Penal de Córdoba Comentado, Lerner,
Córdoba, 1986, pp. 203 y 204, especificando que el lugar habitado abarca
lo que el art. 150 del Código Penal distingue: la morada propiamente dicha
(donde la persona desenvuelve habitualmente su vida íntima) y el recinto
habitado (albergue eventual o momentáneo de las personas).
27 Cierta jurisprudencia ha considerado que no están comprendidos en el
concepto de domicilio los pasillos, palieres, halls, azoteas, cocheras y
jardines cuando no es “interna la conexión con el recinto de la morada”
(CFed. Apel. La Plata, Sala III, 5/3/98, JA, 1999-III-669, cit. por Funes -
Plo, Código Procesal Penal de la Nación, dirigido por Almeyra, t. II, p.
238).
28 La Fave, Wayne R. - Israel, Jerold H., Criminal procedure, 2ª ed., West
Publishing Co., Minessota, 1992, pp. 130 y ss.
29 Ibidem.
30 “Florida vs. Jardines” (2013), traducción de Pablo Bernardini,
Actualidad Jurídica nº 207, Córdoba, marzo 2015.
31 TSE, S. 18/2/99, criterio que aparece ratificado en la sent. 1709 del
20/4/16.
32 “Nada se opone a que los funcionarios de Policía hagan labores de
seguimiento y observación de personas sospechosas, sin tomar ninguna
225
otra medida restrictiva de derechos, mediante la percepción visual y
directa de las acciones que realiza en la vía pública o en cualquier otro
espacio abierto. No existe inconveniente para que pueda transferir esas
percepciones a un instrumento mecánico de grabación de imágenes que
complemente y tome constancia de lo que sucede ante la presencia de los
agentes de la autoridad. La captación de imágenes se encuentra autorizada
por la ley en el curso de una investigación criminal siempre que se limiten
a la grabación de lo que ocurre en espacios públicos fuera del recinto
inviolable del domicilio donde tiene lugar el ejercicio de la intimidad. Y
en la S 1207/1999, de 23 de julio, en un recurso en el que fue alegada la
nulidad de la prueba consistente en la filmación en video realizada por la
Policía se expresa que la jurisprudencia de esta Sala (cfr. S 188/199, de 15
feb.) ha estimado legítima y no vulneradora de derechos fundamentales la
actividad de filmación de escenas presuntamente delictivas, que sucedían
en vías o espacios públicos, y ha considerado que únicamente se necesita
autorización judicial para la captación clandestina de imágenes o de
sonidos en domicilios o lugares privados (así se ha reconocido por esta
Sala, en las SS de 6 may. 1993, 7 feb., 6 abr. y 21 may. 1994, 18 dic. 1995,
27 Feb. 1996, 5 may. 1997 y 968/98 de 17 jul. entre otras)” (TS español,
Sala II, Sent. nº 354 del 13/3/03, La Ley España, Actualidad Penal nº 27
del 30/7/03).
33 En esta línea, no fue cuestionada la práctica de mirar por el hueco de
una persiana, en un caso que de esta manera se constató que estaban
desarmando un vehículo adentro del local –aunque se invalidó el
allanamiento físico posterior por haber sido hecho por orden verbal del
fiscal– (CNCC, Sala VI, 8/10/09, “Dickel”, La Ley, Supl. Penal, marzo
2010, p. 76). De todas formas reconozco que la solución es polémica,
porque bien puede argumentarse que nadie se imagina que lo están
mirando por el hueco de la cerradura, o que una humilde vivienda de
maderas y chapas llena de rendijas está sujeta al escrutinio público.
Inclusive, en contra se ha pronunciado la doctrina norteamericana, que
refiriéndose al leading case sobre privacidad (“Katz”), afirma que no
debería leerse como el permiso irrestricto de espiar a través de los agujeros
de puertas y marcos (La Fave - Israel, Criminal procedure, cit., p. 130).
34 La jurisprudencia ha convalidado la observación de ventas de droga en
un bar (TSE, S. 6886, res. 1121, 5/11/09); y las averiguaciones sobre
prostitución en una whiskería a la que policías ingresaron disimulando su
condición, puesto que al ser un lugar abierto al público no era necesaria
orden judicial, en tanto que la medida quedó limitada a los espacios
destinados a la clientela en general, no involucrando intromisión alguna
en un ámbito de privacidad. Se agregó que “el actuar no puede ser
226
encuadrado como el de un agente encubierto, calidad que supone
infiltrarse en forma subrepticia en una organización delictiva y participar
de las actividades que ella realiza” (CNCC, Sala VII, “P. P. de V.
s/nulidad”, Diario Judicial, 18/10/11).
35 “Observar la finca que habitaba el imputado y en la confección de un
croquis, sin haber procedido a la realización de cualquier otro acto que
afectase alguna garantía constitucional, resulta ajustado a derecho porque
no exceden las tareas de inteligencia autorizadas por el art. 183 del CPPN.
Resultan válidas las filmaciones realizadas desde el exterior de la vivienda
del imputado por personal policial en el marco propio de sus tareas de
inteligencia y en las que se registraron movimientos típicamente
reveladores de los actos de comercio del material estupefaciente, si a partir
de ellas se procedió a la inmediata puesta en conocimiento del juez
competente” (CNCP, Sala IV, 12/5/05 en “Barrios”). También en la
misma línea, el Tribunal Supremo español sostuvo en el pasado (más
recientemente ha cambiado el criterio, según se expondrá más adelante)
que “la filmación de ventanas de edificios desde los que sus moradores
desarrollaban actividades delictivas se ha estimado válida (...) (porque) en
principio la autorización judicial siempre será necesaria cuando sea
imprescindible vencer un obstáculo que haya sido predispuesto para
salvaguardar la intimidad, no siendo en cambio preciso el Placet judicial
para ver lo que el titular de la vivienda no quiere ocultar a los demás” (S.
1733 del 14/2/02, Pensamiento Penal y Criminológico nº 7, Mediterránea,
2003; idénticamente la S. 354 del 13/3/03, LL España, Actualidad Penal
nº 27 del 30/7/03). Asimismo, convalidó la observación externa en la que
se pudo ver en el interior de la vivienda –porque tenía la puerta abierta–
“pequeños envoltorios, dinero y un bolso encima de la mesa, viendo
además cómo la acusada recibía dinero de una persona a cambio de unas
papelinas que fueron posteriormente intervenidas” (TSE, Sala II, S. 605,
15/3/07).
36 La Fave - Israel, Criminal procedure, cit., p. 130. Señalan que en un
caso en que un policía se trepó a una ventana que daba a un alojamiento
conjunto, parándose sobre una silla para poder mirar el interior de la pieza
del imputado, la Corte rechazó el resultado, aunque sin demasiadas
consideraciones sobre los argumentos de la fiscalía a favor de la
valoración. También consideran que es válido observar el terreno que un
vecino podría ver fácilmente, pero ya sería un registro recurrir a esfuerzos
extraordinarios para superar los intentos razonables de mantener la
privacidad del terreno circundante de la casa (p. 131).
37 Cafferata Nores - Tarditti, Código Procesal Penal comentado,
Mediterránea, 2003, t. I, p. 518.
227
38 En igual sentido la jurisprudencia española (TC, Sent. nº 22 del
17/2/84; TS, Sent. 1733, 14/2/02, Pensamiento Penal y Criminológico nº
7, Mediterránea, 2003).
39 TSE, S. 1709, 20/4/16. Agregó que la expectativa de intimidad no
desaparece por el hecho de que el titular o usuario de la vivienda no
refuerce los elementos de exclusión asociados a cualquier inmueble.
“Interpretar que unas persianas no bajadas o unas cortinas no corridas por
el morador transmiten una autorización implícita para la observación del
interior del inmueble, encierra el riesgo de debilitar de forma irreparable
el contenido material del derecho a la inviolabilidad domiciliaria”.
Concluye así que “la protección constitucional frente a la incursión en un
domicilio debe abarcar, ahora más que nunca, tanto la entrada física del
intruso como la intromisión virtual. La revolución tecnológica ofrece
sofisticados instrumentos de intrusión que obligan a una interpretación
funcional del art. 18.2 de la CE. La existencia de drones, cuya tripulación
a distancia permite una ilimitada capacidad de intromisión en recintos
domiciliarios abiertos, es sólo uno de los múltiples ejemplos
imaginables”.
40 La Corte Suprema de Estados Unidos tiene dicho que el tránsito
personal por vías públicas no goza de expectativa de privacidad en sus
movimientos (U.S. vs. Knotts, 460 U.S. 276, 281–1983–). Ejemplo
práctico es la investigación en la que terminó detenido “Reynaldo el
paraguayo” y varios miembros de su banda en González Catán, a raíz de
tareas de inteligencia previas que incluyeron cámaras ocultas y espionaje
desde un dron, dadas las dificultades investigativas (amenazaban con
armas a los vecinos para que no delataran). “Las cámaras ocultas y el dron
espía pudieron comprobar que ‘Reynaldo’ no sólo era apoyado por otros
integrantes de la banda, sino que también contaba con un grupo de los
denominados ‘satélites’, que vigilaban los bunkers de venta de droga para
evitar ser descubiertos por la policía” (Infobae, 7/5/16).
41 Como sucede con el “Walabot”, aplicación con “sensores que convierte
a cualquier teléfono inteligente en un instrumento capaz de recrear
imágenes 3D traspasando muros y otros obstáculos” (Balbi, Muriel,
“Tecnología israelí para ver a través de las paredes”, Infobae, 8/9/17).
42 “Kyllo vs. U.S.”, 11/6/01, traducido en Pensamiento Penal y
Criminológico nº 7, Mediterránea, Córdoba, 2003, y Hairabedián,
Maximiliano, Jurisprudencia penal comparada, Mediterránea, 2004.
43 Voto del juez Scalia. En cambio, para la disidencia representada en el
voto de Stevens, “las observaciones fueron hechas con un equitativo y
primitivo aparato captador de imágenes térmicas que reunieron datos
expuestos sobre el exterior del hogar del peticionante pero no invadió
228
ningún interés de privacidad constitucionalmente protegido. Todo lo que
hizo la cámara infrarroja en este caso fue medir pasivamente el calor
emitido desde las superficies exteriores de la casa del peticionante, todo
lo que aquellas mediciones mostraron fueron relativas diferencias en
niveles de emisión, indicando vagamente que algunas áreas del techo y
paredes exteriores estaban más calientes que otras. Aun cuando las
imágenes de los registros infrarrojos aparecen, ningún detalle con respecto
al interior del hogar del peticionante fue revelado”.
44 Se ha señalado que “dentro de este contexto, si bien en nuestro país los
VANT pueden ser englobados dentro del concepto que establece el art. 36
del Código Aeronáutico, cuando considera aeronaves a ‘los aparatos o
mecanismos que puedan circular en el espacio aéreo y que sean aptos para
transportar personas o cosas, aún prevé, sin embargo, para ser
consideradas como tales, que toda aeronave debe tener a bordo un piloto
habilitado para conducirla, investido de las funciones de comandante’ (art.
79), siendo que en los VANT no hay piloto sino un operador en tierra”
(Vaninetti, Hugo A., “Responsabilidad jurídica por daños ocasionados por
drones”, SJA, 30/11/16, p. 6, JA, 2016-IV).
45 Amer Martín, Alicia, “El derecho a la intimidad y la prueba obtenida
mediante drones”, 22/6/16, http://noticias.juridicas.com.
46 Se pueden citar los procesamientos confirmados en apelación por la
CNCC, Sala I, 20/3/17, “F., S.”, y Sala VII, 24/4/17, “B. A., S.”.
229
Joana Fusalba
Javier Martín López Zavaleta
1. Introducción -
Dentro del Capítulo II, en la Sección II, entre los arts. 14 y 21, se regulan
diversas medidas procesales4. En concreto, el art. 16 contempla la
conservación rápida de datos informáticos almacenados por medio de un
sistema informático, mientras que el art. 17 –con el objeto de garantizar la
conservación de los datos de tráfico, en aplicación del anterior artículo–
regula la conservación y revelación parcial rápidas de datos relativos al
tráfico. Ambas medidas deben ser entendidas como una manera de
asegurar ciertos datos que debido a su volatilidad se pueden perder o
modificar; justamente, a eso refiere el término “conservar”, es decir, algo
con lo que cuenta determinada persona o empresa y se debe mantener5.
232
minimizar el impacto que la medida pueda causar en los sujetos
involucrados.
Todo proceso acusatorio fija los parámetros y las causales para solicitar y
ordenar el allanamiento de un inmueble; concretamente, establece que
ante un pedido fundamentado del fiscal, el juez podrá decretar por auto el
ingreso o el registro de un lugar, siempre y cuando existan motivos para
presumir que allí se encuentran cosas pertenecientes al hecho o que se
podrá realizar la aprehensión del encausado/a o de alguna persona
requerida, o fuere necesario el ingreso a la finca para aplicar alguna
medida precautoria.
233
Sentado lo anterior, se pueden mencionar al menos tres supuestos en que
la fiscalía –conforme al caso concreto y las circunstancias del hecho–
podría optar por el análisis en el lugar del hecho bajo ciertas modalidades:
Por otro lado, existen otras circunstancias en las cuales sólo se conoce el
lugar donde se podrían encontrar elementos de interés para la pesquisa,
sin embargo, no es posible determinar qué dispositivo electrónico fue el
utilizado por el posible autor. En estos casos, se analizan todos los efectos
electrónicos que se hallen en el sitio, con el objeto de constatar cuál es el
que contiene el material probatorio, a través de las técnicas forenses
correspondientes.
En todos los casos, además del registro con análisis en el lugar –dadas las
características de los dispositivos que se pretenden analizar–, se debe
solicitar la requisa personal de quienes se encuentren en el lugar, toda vez
que pueden portar en sus prendas o adheridos a su cuerpo diversos
dispositivos electrónicos susceptibles de ser analizados, como pendrives,
celulares, memorias extraíbles, etc., para determinar si son de interés o no.
En primer lugar, es preciso señalar que la modificación del art. 128 del
Código Penal8 contempla, entre otras, la conducta de quien genere tráfico
de material pornográfico infantil utilizando las tecnologías de la
información y la comunicación (TIC).
235
También existe una penalidad para quien tenga en su poder material
pornográfico infantil con fines inequívocos de distribuirlo o
comercializarlo. Asimismo, la modificación del art. 128 CP, además de
tener un aumento significativo de todas las penas y una agravante en razón
de que la víctima sea menor de 13 años, introduce una nueva figura típica
que es la simple tenencia del material descrito anteriormente, el cual se
debe tener conocimiento previamente de que se tiene y puede ser
almacenado en cualquier tipo de dispositivo electrónico, como también
resguardado de manera impresa.
236
Ambos tipos penales se relacionan en su objeto de protección, que es la
integridad sexual de los menores de edad, y en su medio de comisión,
siendo el uso de cualquier medio de transmisión de datos para llevarlo a
cabo.
239
conocimiento sería un riesgo para la investigación ya que el sospechoso
podría deshacerse de toda probanza que dé cuenta del ilícito.
240
5. Ventajas y desventajas del procedimiento -
6. Reflexiones finales -
243
posibilidad de acceder a los dispositivos de manera remota, por ejemplo,
a través de la instalación de un software malicioso.
Notas -
245
Delitos informáticos y cibercrimen
Marcelo Temperini
1. Introducción -
246
estas medidas y técnicas, toda vez que su desarrollo implicaría una
extensión que excede la búsqueda de este trabajo. La finalidad más bien
consiste en la construcción de un decálogo o listado de las distintas
técnicas más utilizadas, a modo introductorio, para aquellos lectores que
recién se inician en el mundo de la investigación del ciberdelito.
247
El aspecto de fondo visibiliza una tensión (tan histórica como el derecho
mismo) entre la eficacia de la investigación y el avance sobre los derechos
y garantías constitucionales de la persona que está siendo investigada.
Tensión que, a nuestro criterio, se encuentra profundamente agravada por
las nuevas tecnologías, toda vez que, a diferencia de las medidas de
investigación penal tradicionales, las nuevas tecnologías permiten avanzar
sobre una esfera íntima de la persona de una forma mucho más
“transparente” y rápida, haciendo que esta falta de tangibilidad de las
barreras que delimitan estos bienes jurídicos tutelados
constitucionalmente, puedan superarse con extrema facilidad en cuestión
de segundos y, en muchos casos, sin dejar mayores rastros.
248
2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en
él sin consentimiento del titular o resolución judicial, salvo en caso de
flagrante delito.
Bajo esta interpretación, coincidente con una importante Sentencia del año
19843 y la sentencia de otro reconocido fallo, como el caso “Malone”4,
se sostuvo el criterio de interpretación amplia entendiendo que “el
concepto de secreto de la comunicación cubre no sólo el contenido de la
comunicación, sino también la identidad subjetiva de los interlocutores”,
y de esta forma el Tribunal otorgó el amparo al recurrente porque la
entrega por la compañía telefónica a la Policía de los listados de llamadas
del investigado no contaba con la preceptiva autorización judicial.
Precisando aún más esta nueva protección de índole genérica a este tipo
de información, sentencia: “Y es que, más allá del tratamiento
constitucional fragmentado de todos y cada uno de los derechos que
convergen en el momento del sacrificio, existe un derecho al propio
entorno virtual. En él se integraría, sin perder su genuina sustantividad
como manifestación de derechos constitucionales de nomen iuris propio,
toda la información en formato electrónico que, a través del uso de las
nuevas tecnologías, ya sea de forma consciente o inconsciente, con
voluntariedad o sin ella, va generando el usuario, hasta el punto de dejar
un rastro susceptible de seguimiento por los poderes públicos. Surge
entonces la necesidad de dispensar una protección jurisdiccional frente a
la necesidad del Estado de invadir, en las tareas de investigación y castigo
de los delitos, ese entorno digital”.
251
Art. 18. - La correspondencia de telecomunicaciones es inviolable. Su
interceptación solo procederá a requerimiento de juez competente.
252
decir, cuyo acceso sea posible de forma irrestricta y sin vulnerar ninguna
barrera técnica o jurídica.
Ante dicha situación, la defensa del condenado interpuso una queja que
sostenía que había que equiparar a la prueba informática por la que se
obtuvo el perfil de Facebook del encartado, con la correspondencia
epistolar. La defensa aseguró que debía existir orden judicial para obtener
la información del correo electrónico y las redes sociales.
“A los efectos del presente artículo, por «datos relativos a los abonados»
se entenderá toda información, en forma de datos informáticos o de
cualquier otra forma, que posea un proveedor de servicios y esté
relacionada con los abonados a dichos servicios, excluidos los datos sobre
el tráfico o sobre el contenido, y que permita determinar:
255
- Domicilios registrados.
Vale destacar que los datos identificatorios disponibles dependen del tipo
de servicio que estemos analizando, toda vez que dentro de la categoría
genérica de los CSP11 podemos incluir tanto los ISP12 como toda otra
plataforma de prestación de servicio de comunicaciones, como redes
sociales, sitios de comercio electrónico, hosting, etc.
256
Este primer escalón, como categoría inicial de datos que avanzan sobre un
ámbito de privacidad, presenta como característica que nos encontramos
ante datos identificatorios que gozan de la protección de los datos de
carácter personal, por lo que les serán aplicables todas aquellas normativas
relacionadas con la protección de datos personales, en la inteligencia de
que se trata de información que permitiría identificar o hacer identificable
a una persona13.
Una de las primeras discusiones clásicas que podría darse dentro de esta
categoría tenía relación con la naturaleza de la dirección IP: si esta podía
o no ser considerada un dato de carácter personal y, en consecuencia,
debía aplicarse todo el andamiaje protectorio correspondiente. En este
sentido, el Informe 327/200314 de la Agencia de Protección de Datos
Española (AGPD) ha señalado que “aunque no siempre sea posible para
todos los agentes de internet identificar a un usuario a partir de datos
tratados en la red, desde esta Agencia de Protección de Datos se parte de
la idea de que la posibilidad de identificar a un usuario de Internet existe
en muchos casos y, por lo tanto, las direcciones IP, tanto fijas como
dinámicas, con independencia del tipo de acceso, se consideran datos de
carácter personal resultando de aplicación la normativa sobre protección
de datos”.
En la parte final, el mismo informe nos deja una sencilla reflexión sobre
la interpretación de los datos personales, que es plenamente aplicable a los
demás datos identificatorios desarrollados en esta categoría. Sostiene la
AGPD que “En cuanto a la consideración de los log in de acceso a Internet
o a páginas personales como datos de carácter personal, resultarán de
aplicación las consideraciones que se realizan en párrafos anteriores. Si
identifica de forma directa al usuario, no hay duda de que estaremos ante
un dato de carácter personal; por el contrario si este es anónimo, en
principio no sería un dato de carácter personal, pero si, por ejemplo, el
proveedor de servicios de Internet a través de ese log in puede identificar
al usuario con el que tiene un contrato de acceso a Internet, sí será
considerado como un dato de carácter personal”.
Siguiendo con el voto del juez José Casás, afirma: “Sin embargo, lejos de
formular argumentación alguna que permita sostener dicha afirmación, los
magistrados omitieron explicar por qué razón correspondería equiparar, a
la luz de la expectativa de intimidad del individuo, los datos de contenido
y los datos de tráfico de una comunicación, con la simple identificación
de un usuario. Dicha circunstancia resultaba de vital trascendencia a los
fines de analizar la problemática constitucional planteada en el caso
concreto. En tercer lugar, tampoco la invocación de la ley de protección
de datos personales (ley 25.326) resulta dirimente para la solución del
caso, porque no está en discusión que la información requerida a las
empresas mencionadas en las resultas perseguía la obtención de ‘datos
258
personales’. Lo que no advierten los camaristas es que la propia ley prevé
que dicha información puede ser recabada, sin que se requiera el
consentimiento del titular, en el ejercicio de funciones propias de los
poderes del Estado (art. 5.2.b) y también cuando esos datos se limitan al
nombre, documento y domicilio de la persona en cuestión (art. 5.2.c). No
otra cosa se pretendió respecto del titular de la IP aportada a la
investigación cuando el fiscal, en el ejercicio de sus funciones de
instructor, formuló el cuestionado pedido de informes”.
259
Este interesante análisis establece con claridad las potestades
investigativas del fiscal, en el marco de un sistema acusatorio, donde la
norma procesal penal establece expresa reserva para determinadas
medidas, que el legislador ha considerado que afectan en mayor medida
las garantías constitucionales (allanamientos, requisas o interceptación de
comunicaciones o correspondencia).
260
parte de la cadena de comunicación, indicando origen, destino, ruta, hora,
fecha, tamaño, duración o tipo de servicio subyacente”.
261
Si bien algo ya se ha adelantado en el desarrollo del primer escalón,
veremos aquí con mayor profundidad el alcance y protección jurídica de
esta segunda categoría de datos. En relación a la primera pregunta, sobre
el nivel de afectación de las garantías a través de los datos de tráfico, ya
hemos citado uno de los antecedentes más importantes, como es el caso
“Malone”18, en el cual se debatió el alcance en el amparo al secreto de las
comunicaciones.
En el caso concreto se resolvió que “es patente que los datos cuyo
obtención se pretende por el Fiscal no tienen relación ni afectan ni
interceptan ni descubren ni tratan de descubrir una comunicación
concreta, sino que por ser preciso para la acción investigadora el
conocimiento del domicilio, número de teléfono o identidad del titular del
terminal informático que opera en la Red (I.P.), la solicita a la operadora,
al objeto de pedir del juez un mandameinto de entrada y registro con fines
indagatorios o de investigación de un posible delito, acerca del que se
conocen datos indiciarios”.
265
es una condición funcional elemental de una nación democrática libre,
fundada en la capacidad de sus ciudadanos para cooperar y actuar.
267
Hemos llegado al tercero y último escalón en nuestra construcción
jurídica, que consiste en los datos de contenido y que es, desde el punto
de vista de la afectación de los derechos, el nivel más alto de intromisión
en las garantías constitucionales.
269
los cuales se hace indispensable acceder al nivel más invasivo y crítico de
información de una persona.
270
b) cuando el descubrimiento o la comprobación del hecho investigado, la
determinación de su autor o autores, la averiguación de su paradero, o la
localización de los efectos del delito se vea gravemente dificultada sin el
recurso a esta medida.
Art. 588 bis e. Duración: Establece que la medida podrá ser prorrogada,
mediante auto motivado, por el juez competente, de oficio o previa
petición razonada del solicitante, siempre que subsistan las causas que la
motivaron.
Art. 588 bis j. Cese de la medida: Establece en qué casos podrá el juez
ordenar el cese de las medidas autorizadas.
272
Art. 588 bis k. Destrucción de registros: Establece las medidas que
deberán tomarse sobre la información una vez finalizada la utilidad en la
investigación.
Impecable abordaje y opinión sobre este tópico realiza el Dr. Marcos Salt
en el prólogo de un libro sobre prueba electrónica37, en el cual afirma “Es
por ello que desde hace tiempo venimos llamando la atención sobre la
urgente necesidad de analizar las implicancias jurídicas que el uso de la
tecnología informática tiene para el proceso penal. Especialmente, la
necesidad de regular en los códigos procesales penales ‘medios de prueba’
que tengan en cuenta las características especiales de las distintas formas
de evidencia digital y sus marcadas diferencias con la evidencia física.
Sólo de esta manera será posible dejar atrás la tendencia de nuestros
tribunales a utilizar acríticamente el principio de ‘libertad probatoria’ para
incorporar al proceso penal evidencia digital usando normas pensadas
para la prueba física. Resulta a esta altura evidente que la tecnología
informática aporta poderosas herramientas de investigación y prevención
del delito que difieren de manera sustancial de lo que las legislaciones
procesales vigentes en nuestro país previeron al regular los medios de
prueba tradicionales”.
Para evitar este tipo de excesos en el uso del poder coercitivo por el
Estado, es precisamente que desde la teoría dura del derecho penal
siempre ha existido la aplicación del principio nulla coactio sine lege. Este
principio, vinculado también al principio de legalidad o de reserva, refiere
a todas aquellas actividades del Estado –entre las que se encuentra la
actividad probatoria en el marco de los procesos penales– que impliquen
una injerencia en los derechos fundamentales de los ciudadanos, y tienen
como condición de validez una autorización legal previa.
275
Comparativamente, en estadísticas relacionadas al nivel de
normativización entre la regulación del derecho penal de fondo y el
derecho penal de forma, aquellas del primer grupo siempre son superiores
a las segundas, toda vez que es normal que en el proceso de regulación
primero se priorice la tipificación penal de la acción considerada
delictuosa, y posteriormente (y a veces demasiado posteriormente) se
piensa en las regulaciones de ajuste o adaptación de las normas procesales
penales necesarias para avanzar en la ejecución práctica de esas
investigaciones penales que permitan combatir los delitos anteriormente
tipificados.
Si bien el estudio es mucho más complejo, a los fines de este artículo sólo
citaremos los datos publicados en relación a las normativas
procedimentales sobre la evidencia electrónica, donde es posible observar
que los países americanos se encuentran en tercer lugar sobre los 5
continentes, siendo Europa la referencia con los países de mayor
desarrollo.
277
Con finalidad pedagógica de repaso sobre los aspectos ya analizados, y
con la intención de aportar un elemento gráfico que sea de utilidad al lector
para intentar resumir los niveles de afectación de los derechos de acuerdo
al tipo información accedida a través de las medidas de investigación
tecnológica, brindamos el siguiente gráfico y tabla comparativa, con la
clasificación que utilizaremos para esta etapa final del trabajo.
Categorías de información:
6.2. Ciberpatrullaje
279
La diferencia entre el ciberpatrullaje y el agente encubierto digital (otras
de las medidas listadas) es que en este último la fuerza de seguridad que
oculta su identidad lo hace con un objetivo concreto –la obtención de
información útil para una investigación ya en curso–. En cambio, en el
ciberpatrullaje es una etapa previa, donde ni siquiera es necesario ocultar
la identidad del agente de seguridad, toda vez que estamos ante casos cuya
exposición pública (sin límites de privacidad) permite un acceso irrestricto
a la información por cualquier usuario.
281
6.5. Acceso y análisis de datos provistos por fuentes cerradas
Vale destacar que desde un punto de vista técnico, es posible que las
comunicaciones capturadas en la red intervenida se encuentren cifradas –
por ejemplo, una llamada por whatsapp–, obstaculizando el acceso a los
contenidos de la comunicación en sí (en esos casos solamente habría
acceso a datos de tráfico). En el caso de comunicaciones no cifradas (como
las llamadas tradicionales), es posible el pleno acceso a los contenidos del
mensaje transmitido por la red.
284
Puede ser una medida de utilizada para casos en que, por la volatilidad de
la evidencia digital, al momento del allanamiento el agente de seguridad
se encuentre con una oportunidad única en relación a la obtención de
información de interés para la causa (por ejemplo, porque de secuestrarse
los dispositivos estos se encontraran cifrados, o bien el equipo encendido
permitiera el acceso a información en la nube).
285
A modo de resumen del listado realizado, acompañamos la siguiente tabla
con la enumeración de las medidas y técnicas de investigación
tecnológica, organizadas de acuerdo al nivel de afectación de derechos.
286
7. Conclusiones -
287
Nuestra postura adhiere a la de otros autores con respecto a la necesidad
de visibilizar y avanzar sobre una adecuada regulación del aspecto
procesal penal, que establezca una adecuada regulación de los medios de
prueba adaptados al escenario digital o electrónico, que permitan a los
funcionarios a cargo de la investigación contar con una adecuada “carta”
de opciones al momento de solicitar una medida.
Notas -
289
telefónicas. www.fiscal.es.
22 Sentencia nº 247/2010 de TS, Sala 2ª de lo Penal, 18 de marzo de 2010,
fallo completo: https://supremo.vlex.es.
23 Ídem, p. 16.
24 Directiva 2006/24/CE, de 15 de marzo de 2006, sobre la conservación
de datos generados o tratados en relación con la prestación de servicios de
comunicaciones electrónicas de acceso público o de redes públicas de
comunicaciones y por la que se modifica la directiva 2002/58/CE.
https://eur-lex-europa-eu.ebook.21.edu.ar
25 “Alemania prohíbe la retención de datos telefónicos y de internet”,
www.libertaddigital.com.
26 BverfG, 1 BvR 370/07, de 27 de febrero de 2008.
27 BVerfG, 1 BvR 256/08, que resuelve los procesos BvR 256/08, 263/08
y 586/08.
28 Ortiz Pradillo, Juan Carlos, “La investigación del delito en la era
digital: Los derechos fundamentales frente a las nuevas medidas
tecnológicas de investigación”, Estudios de Progreso, Fundación
Alternatives, www.falternativas.net.
29 El Dr. Luis Vázquez Seco es fiscal delegado de Criminalidad
Informática en la Fiscalía Provincial de La Coruña, España.
30 Vázquez Seco, Luis, “Retención obligatoria de datos de tráfico de las
comunicaciones telefónicas y/o electrónicas. Análisis de la sentencia del
tribunal de justicia de la unión europea de 8 de abril de 2014 en los asuntos
acumulados c-293/12 y c594/12 (Digital Rights Ireland y Seitlinger y
otros), www.fiscal.es.
31 The Social Engineering Unit, “Retención y privacidad de datos:
algunas lecciones derivadas de las diversas prácticas internacionales”,
http://the-siu.net.
32 Ídem, p. 12.
33 Texto extraído de la versión de la Constitución de Estados Unidos
traducida en www.constitutionfacts.com.
34 L.O. 13/2015, de 5 de octubre, de modificación de la Ley de
Enjuiciamiento Criminal para el fortalecimiento de las garantías
procesales y la regulación de las medidas de investigación tecnológica
(B.O.E. de 6 de octubre).
35 Cianciardo, Juan, El conflictivismo en los derechos fundamentales,
Eunsa, Pamplona, 2000.
36 Para ver los textos completos de los artículos citados, remitimos al
lector a acceder a la norma L.O. 13/2015, de 5 de octubre.
37 Salt, Marcos, Prólogo al libro Vigilancia electrónica y otros modernos
medios de prueba”, de Carlos Christian Sueiro, Hammurabi, Buenos
290
Aires, 2017. www.libreriahammurabi.com.
38 Bruzzone, Gustavo, “La nulla coactio sine lege como pauta de trabajo
en el proceso penal”, Estudios sobre Justicia Penal. Homenaje al Profesor
Julio B. J. Maier, Ed. Del Puerto, Buenos Aires, 2005.
39 Cybercrime: the state of legislation: UN Commission for Crime
Prevention and Criminal Justice, Side-event - Vienna International
Centre, 15 May 2018, Conference Room M3.
40 OSINT: Open Source Intelligence.
41 “Se relanzó la Policía Federal con su nueva función de
‘ciberpatrullaje’”, Clarín, www.clarin.com.
42 Electronic Frontier Foundation: Panopticlick.
https://panopticlick.eff.org.
43 Eckersley, Peter, “How Unique Is Your Web Browser?”, Electronic
Frontier Foundation. https://panopticlick.eff.org.
44 Temperini, Marcelo - Macedo, Maximiliano, “Nuevas herramientas
para la investigación penal: El agente encubierto digital”, Cibercrimen,
Daniela Dupuy ed., BdeF, Montevideo-Buenos Aires, 2017.
45 Anderson, Ross, Security engineering: a guide to building dependable
distributed systems, Wiley, New York, 2008.
46 “¿Se viene el ‘troyano judicial’?”, Diario Judicial,
www.diariojudicial.com.
Estos términos buscan aportar con un léxico que sea más centrado en la
víctima, desde un punto de vista de su protección y asistencia. De esta
manera, durante este artículo, se utilizará la terminología de Luxemburgo,
utilizando material de explotación sexual infantil, para referirse a
pornografía infantil.
Una vez aplicado esto, si un usuario intenta acceder a algún dominio que
contiene material de abuso sexual infantil, no lograría acceder a esa
información. En lugar de eso, se presentaría una página de bloqueo con
un mensaje de INTERPOL informando que se está por cometer un delito.
Esto serviría como un llamado de atención, y quizás incluso podría asustar
a un usuario que está iniciando contacto con este tipo de material. Además,
y lo principal de este punto, es que evita la re-victimización y
comercialización de este material, evitando su propagación.
294
pasando a la utilización de otros proxys, como redes peer-to-peer, que
permiten el intercambio de información sin la utilización de internet
superficial, como en los casos de los consumidores intermediarios, hasta
llegar a la utilización de la dark web, que garante el anonimato de sus
usuarios.
Esto se puede dar de distintas maneras, ya que hay países con legislaciones
y experiencias completamente diferentes. Una de ellas es que aquellos
países cuyas legislaciones permiten el trabajo de agente encubierto, una
vez que detectan información sobre usuarios de otros países deben
compartir la información con los países involucrados. A su vez, existen
países en donde se permite entrevistar al sospechoso. Estas entrevistas
pueden permitir obtener informaciones que aportan claves para
investigaciones llevadas a cabo en otros países, ya que pueden
proporcionar nombres de usuarios o detalles más personales de los
sospechosos. Otra posibilidad es que, en algunos países, la evidencia no
es analizada con perspectiva de identificación de víctimas, sin embargo,
otros países sí analizan este material, que puede contener claves relevantes
para identificar a un NNA representado en ese material. Así se tiene la
percepción de que una investigación, en lugar de concluirse, abre aristas
para otras investigaciones a nivel nacional o internacional.
Así, ICSE busca ser una herramienta ágil, interactiva, ya que usuarios de
53 países miembros de INTERPOL, más Europol, contribuyen
activamente, alimentando la base con material de explotación sexual
infantil, resultante de sus allanamientos o actividades de monitoreo en
foros pedófilos en la dark web.
Es por esta razón que entre las actividades que desarrolla la Unidad de
Delitos contra Menores está la promoción del trabajo de identificación de
víctimas, organizando cursos, y el apoyo a los países miembros para la
conexión a ICSE. Así, cuando se considera el camino para la realización
de esta actividad, se puede considerar la existencia de ocho pasos, como
se demuestra a seguir:
299
El paso 1 se refiere a la comisión del hecho, seguido de su documentación
por medio de imágenes o videos que serán compartidos online. El punto 4
sería que este material fuere descubierto por la policía y procediendo a su
alimentación en ICSE. El paso 6 sería la realización del trabajo de
identificación de víctimas, que busca reunir todas las informaciones que
apuntan al posible lugar donde ocurre/ocurrió el abuso, permitiendo la
identificación del agresor y del NNA. Por fin, la etapa 8 se refiere a la
asistencia y protección prestadas al NNA y el arresto del agresor.
300
Actualmente, en América Latina, seis países se encuentran conectados a
ICSE: Argentina, Brasil, Chile, Colombia, El Salvador y Guatemala. Es
importante destacar que la conexión a esta herramienta necesaria para la
cooperación internacional requiere una articulación a nivel nacional, ya
que se propone que todo material de abuso sexual infantil detectado en el
país usuario sea alimentado a ICSE por la unidad especializada nacional
correspondiente. Para eso, se recomienda la realización de protocolos que
garanticen este cotejo en la base de datos. En contrapartida, esta Unidad
Especializada podrá extraer de ICSE toda información que se relacione
con su país como posible lugar de abuso, o en el caso de que sean víctimas
o agresores de ese país, y realizar las actividades necesarias para
judicializar e investigar el caso a nivel nacional. Adicional a esto, y
teniendo en cuenta la Resolución INTERPOL AG-2011-RES-08
anteriormente citada, se recomienda la creación de un sistema de
recolección a nivel nacional, entiéndase los esfuerzos para crear bases de
datos nacionales de material de explotación sexual infantil.
Por último, en los casos de fugitivos buscados por delitos de abuso sexual,
producción distribución o comercialización de material de abuso sexual,
se recomienda el secuestro de sus dispositivos y análisis del material, a fin
de determinar si produjo material relacionado con las víctimas del país
donde se encontraba en ese momento.
302
Notas
Juan G. Corvalán
Denise Ciraudo
303
Cuando hablamos de innovación y de nuevas tecnologías de la
información y de la comunicación (en adelante TIC), nos referimos a que
asistimos a una época en donde se conjugan tres grandes factores
interrelacionados en relación a los datos y a la información: i) capacidad
de almacenamiento; ii) velocidad de procesamiento de los datos e
información (big data); iii) desarrollo progresivo de múltiples sistemas de
inteligencia artificial que reconocen patrones para resolver problemas y
alcanzar objetivos.
304
utilización de diferentes técnicas que se basan en el reconocimiento de
patrones a fin de resolver problemas10.
305
Dentro de este mundo de posibilidades, podemos hablar de tres niveles de
complejidad o capas de innovación dentro de la inteligencia artificial. Por
un lado, encontramos a los sistemas que utilizan automatización, los que
suelen ser menos sofisticados o complejos desde el punto de vista de la
programación. Otros sistemas más complejos utilizan aprendizaje
automático para detectar patrones relevantes y, sobre esa base, tomar una
decisión o elaborar una predicción. Y, por último, están los sistemas de
inteligencia artificial más sofisticados que usan redes neuronales y pueden
autoaprender, incluso, sin supervisión humana.
Asimismo, otro factor determinante planteado por los expertos del proceso
tuvo que ver con que las respuestas judiciales son relativamente
estandarizadas, y más del 80% de dichas cuestiones se resuelven por
medio de una probation. Además, para generar los documentos se deben
copiar y pegar más de 80 datos (nombre y apellido, dominio del auto,
graduación alcohólica, etc.). Por sus características, este escenario resulto
ser el más propicio para la aplicación del sistema inteligente.
312
Para ejemplificar esta situación, basta con mencionar las proyecciones que
hicimos sobre estas causas penales, para el supuesto de que Prometea se
interrelacione con el sistema informático de gestión judicial con el que
trabajamos actualmente en el Ministerio Público. Según nuestras
estimaciones, si los datos de ambos sistemas fueran interoperables,
podrían resolverse en un mes un total de 6886 causas que finalicen en
probation, 5462 en juicio abreviado y 5697 en requerimiento a juicio. Los
números que hemos presentado en este apartado reflejan que una
Administración Pública 4.0 es aceleración exponencial de la burocracia
estatal.
Notas -
315
legislativas y de otra índole para dar efectividad a los derechos
reconocidos en la presente Convención”.
15 Por ejemplo, el art. 8 de la Declaración Universal de los Derechos
Humanos establece que toda persona tiene derecho a un recurso “efectivo”
ante los tribunales nacionales competentes. En consonancia, el art. 6 de la
Convención Internacional sobre la Eliminación de todas las Formas de
Discriminación Racial (aprobada por ley 17.722) habla de “recursos
efectivos”. Asimismo, el art. 11, apartado 1, del Pacto Internacional de los
Derechos Económicos, Sociales y Culturales establece que los Estados
partes “…tomarán medidas apropiadas para asegurar la efectividad de este
derecho”, aludiendo al derecho a un nivel de vida adecuado que incluye
alimentación, vestido y vivienda “adecuados”.
16 https://blog.dataiku.com/
17 Planificación Estratégica 2017-2019 aprobada por mediante resolución
FG n° 216/17. Disponible en: www.fiscalias.gob.ar.
18 El sistema y sus funciones se encuentran aprobadas por el Plan de
Trabajo 2018, aprobado por resolución FG 267/18. Disponible en:
www.fiscalias.gob.ar.
19 Ampliar en: Corvalán, Juan G., “La primera inteligencia artificial
predictiva al servicio de la Justicia: Prometea”, La Ley, 29/9/17;
“Administración Pública digital e inteligente: transformaciones en la era
de la inteligencia artificial”, Revista de Direito Econômico e
Socioambiental, Curitiba, vol. 8, nº 2, pp. 26-66, maio/ago. 2017.
20 Calculado en 22 días hábiles, a 6 horas de trabajo por día.
21 Véase arts. 38, b, y 41, inc. h, del decreto 894/2017, modificatorio del
Reglamento de la Ley de Procedimientos Administrativos.
22 Ampliar en Cevasco - Corvalán, “¿Desempleo tecnológico?…” cit.
23 Existe una distinción entre sistemas de IA débil e IA fuerte, según la
capacidad que presenten en comparación con las habilidades humanas
cognitivas. Ampliar en Kurzweil, “La singularidad está cerca”, cit., pp.
300 y ss.
Daniela Dupuy
316
prosperidad, salud y armonía, y dados
nuestros antecedentes y valores actuales, es probable que los próximos
objetivos de la humanidad sean la
inmortalidad, la felicidad y la Divinidad. Después de haber reducido la
mortalidad debida al hambre, la
enfermedad y la violencia, ahora nos dedicaremos a superar la vejez e
incluso la muerte. Y después de haber
elevado a la humanidad por encima del nivel bestial de las luchas por la
supervivencia, ahora nos dedicaremos
a ascender a los humanos a dioses, y a transformar Homo sapiens en
Homo Deus.
Yuval Noah Harari. Homo Deus
1. Introducción -
Esa es una de las razones por las que es muy importante pensar en la nueva
agenda de la humanidad: porque tenemos la posibilidad de interiorizarnos
con respecto al uso de las nuevas tecnologías. Sería lógico entonces que
entendiéramos qué está sucediendo y decidiéramos qué hacer al respecto
antes de que ellas decidan por nosotros1.
La inteligencia artificial realiza tareas que, hasta hace muy poco, sólo
podían ser realizadas por un humano con conocimiento especializado,
capacitación costosa o una licencia emitida por el gobierno.
317
Los automóviles sin conductor han sido aprobados en cuatro estados y en
el distrito de Columbia en Estados Unidos, y su inevitable llegada al
mercado de consumo puede revolucionar el transporte por carretera.
318
La pregunta del millón, que sólo algunos nos animamos a hacer, es ¿qué
haremos los humanos –conscientes– cuando tengamos algoritmos –no
conscientes– y muy inteligentes capaces de hacer casi todo lo que
hacemos nosotros, mejor que nosotros? Es decir, ¿qué haremos cuando los
algoritmos sean capaces de diseñar, diagnosticar, enseñar mejor que los
humanos? ¿Es el futuro…?
¿Pero qué ocurrirá cuando los algoritmos sean mejores que nosotros para
desarrollar esas tareas que se nos han asignado luego de la revolución
industrial?
319
Es cada vez más fácil sustituir a los humanos con algoritmos informáticos,
no sólo porque los algoritmos son cada vez más inteligentes, sino también
porque los humanos se especializan.
320
Los resultados de un estudio reciente concluyen que la inteligencia
artificial puede predecir, con un 80-90% de precisión, si alguien intentará
suicidarse dentro de dos años. Los algoritmos se vuelven aún más precisos
a medida que la pulsión suicida aumenta o el intento de suicido se acerca4.
3. Predicción criminal -
321
La información predictiva permite calcular la probabilidad de que una
persona cometa un delito en el futuro, lo que posibilita que las autoridades
pronostiquen el crimen, sepan dónde es probable que suceda el delito o
quién es probable que lo cometa6.
322
Dicho eso, es claro que pueden surgir problemas serios9 con la
recopilación de una cantidad tan grande de datos: los algoritmos de
inteligencia artificial, particularmente los análisis predictivos de big data,
no están libres de sesgos, ya que los humanos que crearon el algoritmo
pueden introducir sus propios juicios.
323
el error sobre esos datos –generales– puede tener un impacto significativo
en la vida de un individuo específico.
No digo que son inútiles como inicio de una investigación penal. Todo lo
contrario. El problema es que su puesta en práctica hace posible la
transgresión a la privacidad de los usuarios, razón por la cual restaría un
enfoque serio de debate para profundizar sobre la transparencia de
funcionamiento de estos programas y su adaptación al ordenamiento legal
vigente.
324
eventualmente discrecional y, de esta forma, evitar efectos adversos sobre
los derechos individuales.
De allí que, tal como señala Corvalán, el score de riesgo que asigna este
tipo de sistemas no predice lo que hará una persona a nivel individual. Es
decir, el puntaje que brinda es una comparación de cómo se ve de riesgoso
el individuo con relación a una población segmentada: si se obtiene un
score de 4, entonces el 60% de la población se ve como más riesgosa que
el sujeto analizado, mientras que un 30% parece menos riesgoso11.
325
Un excelente ejemplo de cómo la ley puede tomar en cuenta la
información predictiva que pone en duda la exactitud de las predicciones
de reincidencia, es el caso State v. Loomis13, en el que el demandado
argumentó que el uso por el Tribunal de la evaluación de riesgo
COMPAS14 en la sentencia viola el derecho al debido proceso.
Los interrogantes son: ¿Es justo tomar decisiones en cada caso individual
en función de lo que delincuentes similares han hecho en el pasado? ¿Es
aceptable el uso de características que podrían estar asociadas con la raza,
la condición socioeconómica o los antecedentes penales de los padres de
una persona? ¿Cuál de las muchas herramientas disponibles es la mejor a
la hora de ser elegida si se tiene en cuenta que algunas de ellas han sido
creadas por empresas con fines de lucro y que no develan siquiera su
contenido?
327
Es sabido que, en la actualidad, todo lo que hacemos deja un rastro digital
que se puede analizar y utilizar. Los avances en tecnología, la expansión
de Internet y el almacenamiento en la nube han provocado que la cantidad
de datos almacenados crezca considerablemente. Ello representa un gran
reto ante una nueva realidad jurídica, donde nos centramos en cómo
analizar, capturar, recolectar, buscar, compartir, almacenar, transferir y
visualizar una gran cantidad de información, obteniendo un conocimiento
en tiempo real.
329
Esta experiencia ha sido aplicada a casos reales, luego de haber enseñado
a la tecnología a comprender el lenguaje judicial que se usa habitualmente
para exponer los hechos del caso, las circunstancias en que se produjo, las
leyes que tiene que aplicar y los detalles acerca del demandante. Así, el
algoritmo trabajó sobre 584 casos reales de tortura, trato denigrante
relacionado con la privacidad de las personas, pertenecientes al Tribunal
Europeo de Derechos Humanos. Los resultados fueron sorprendentes: en
un 79% de los casos que examinó, el programa de inteligencia artificial
tomó la misma decisión que los tribunales: el algoritmo de inteligencia
artificial emitió la misma sentencia que los jueces del Tribunal Europeo
de Derechos Humanos en cuatro de cada cinco casos.
En esa línea, ¿serán los robots más inteligentes, rápidos y eficientes que
los oficiales humanos? Una vez que la tecnología de inteligencia artificial
se combina con un robot completamente humanoide capaz de caminar,
correr, saltar y comunicarse con los humanos, podría ser una herramienta
para hacer cumplir la ley. Por ejemplo, un robot con GPS podría obtener
datos de geolocalización, inmediatamente, para identificar la ubicación
física de un dispositivo electrónico; podría acceder a la cámara de
vigilancia pública en tiempo real; podría usar software de imágenes,
lectura de matrículas y reconocimiento facial para identificar posibles
330
sospechosos: todo en cuestión de segundos o minutos, en lugar de días o
semanas, y en comunicación directa con el fiscal que investiga.
Así, las herramientas de investigación de las fuerzas del orden han crecido
en sofisticación y pueden realizar búsquedas mucho más intrusivas entre
los papeles y efectos de los ciudadanos. La cantidad de datos capturados
en Internet a diario es inimaginable, y los investigadores criminales
pretenden aprovechar esos datos para conectar los puntos en una
investigación, y para predecir y prevenir el crimen.
Como sociedad, parece que estamos buscando robots para curar nuestras
debilidades humanas, en una era de constante abuso policial, en donde es
preocupante la discreción que algunos aplican al reaccionar
negativamente en una situación que podría haber sido evitada con una
actitud más tranquila.
333
Veamos este caso posible en un futuro inmediato25: Un robot –Joe– y un
oficial de policía humano están de patrulla. Uno de ellos está conectado a
la comunicación policial y se le informa que alguien llamó para alertar
que la casa de su vecino huele a marihuana. Joe, de manera inmediata y
electrónicamente, envía una orden administrativa a la empresa proveedora
para acceder a la facturación de servicios públicos de cinco casas, incluida
la casa del sospechoso y el resto de las casas que están a su alrededor. En
cuestión de minutos, Joe identifica que la casa sospechosa tiene una
factura de electricidad excepcionalmente alta. Luego solicita una orden de
uso de dispositivo de imágenes térmicas en función de la información de
la factura de servicios públicos. Tan pronto como Joe reciba una copia
electrónica de la orden judicial, Joe y el oficial humano llegan a la escena
y Joe usa su imagen térmica, dispositivo que indica una gran cantidad de
calor en el área del sótano. Joe solicita electrónicamente una orden judicial
para colocar una cámara en el poste del teléfono al otro lado de la calle.
En unos minutos se concede la orden judicial y ambos trabajarán
conectando la cámara al poste. En los días siguientes, Joe revisa lo que la
cámara registra y utiliza una herramienta de lectura de matrículas para
capturar los nombres de los propietarios de automóviles que ingresaron a
la casa del sospechoso. El software de reconocimiento facial identificará
a quienes están entrando a la casa, y Joe, simultáneamente, accede a una
base de datos criminales para determinar si alguno de esos visitantes tiene
una orden de arresto o antecedentes penales. A los pocos, días Joe tendrá
información suficiente como para arrestar a la persona que vive en la casa,
quien cultiva marihuana y la vende a compradores ya identificados.
Durante el arresto, el sospechoso intenta correr, pero Joe usa datos de
geolocalización para rastrear su ubicación a través de su teléfono. Una vez
que el sospechoso es aprehendido, Joe usa un estándar para buscar armas
ocultas antes de que el oficial humano cachee al sospechoso.
335
¿Quieren los litigantes que los casos sean determinados por un juez
perfecto a la luz de inteligencia artificial? ¿O la justicia implica
necesariamente una toma de decisiones consciente por parte de los
humanos?26
Los robots, por más autonomía que tengan –drones, vehículos sin
conductor, etc.–, mantienen la configuración y el tratamiento jurídico de
338
las cosas. Por lo tanto, su utilización por un sujeto significará que el
dominio del hecho siempre le corresponderá al humano, porque es el único
autor, y por ello la imputación se realizará con base en la comisión directa
y personal de la acción típica.
El robot es, en estos casos, una mera herramienta del delito, pues no ha
actuado con voluntad propia, sino instrumentalizado.
Nos podemos encontrar ante supuestos en que un sujeto realiza una acción
empleando para ello un robot con cierta autonomía decisoria, fruto de su
programación o sistema informático. Esto plantea un reto nuevo para el
derecho penal.
339
A nivel europeo, se está trabajando en el Código de Conducta Ética para
los ingenieros de robótica34, en el que se incorpora el citado principio de
precaución. El incumplimiento de normas sólo tendrá repercusión en el
terreno civil, pero no es acorde al principio de intervención mínima
asignarles un significado penal.
7. Conclusión -
340
No debemos esperar hasta después de la creación de estas herramientas
futuristas para identificar las ramificaciones legales y las violaciones a las
garantías constitucionales.
A los procesos inescrutables se los denomina cajas negras, toda vez que
las personas pueden comprender los datos ingresados y los resultados,
pero no el procedimiento subyacente36.
341
Si la libertad de las personas depende de programas de inteligencia
artificial que no pueden explicar paso a paso el proceso por el que arriban
a una determinada decisión o predicción, cabe preguntarse entonces si esa
decisión algorítmica no sería arbitraria.
342
Notas -
1 Harari, Y. N., Homo Deus. Breve historia del mañana, Penguin Random
House, Buenos Aires, 2017, p. 69.
2 Scherer, Matthew U., “Regulación de los sistemas de inteligencia
artificial: Riesgos, desafíos, competencias y estrategias”, 29 Harv.J.Law
& Tec 353, 2016.
3 www.wired.com, 17 de marzo de 2017.
4 Heller, Dave, “How Artificial Intelligence will save lives in the 21st.
Century”, Fla. St. U. News, http://news.fsu.edu, feb. 2017.
5 Harari, Homo Deus. Breve historia del mañana, cit., p. 427.
6 Matsumi, Hideyuki, “Predictions and privacy: should there be rules
about using personal data to forecast the future?”, 48 Cumb. L.Rev. 149,
2018.
7 Predpol, IBM SPSS, Space Imaging Middle East (SIME) para Dubai.
8 www.nytimes.com, mayo de 2016.
9 Katz v. United State, 389 U.S. 347, 360, 1967.
10 Sarrabayrouse, Ezequiel, “Algoritmos para la predicción criminal”,
publicado Derecho Digital, 14/12/17.
11 Corvalán, Juan, Oráculos oficiales. Cómo funciona la inteligencia
artificial que predice delitos, www.goog le.com.ar.
12 Ibídem.
13 State v. Loomis. 881 N.W. 2d 747.753, 2016.
14 Perfilado de la gestión del delincuente correccional para sanciones
alternativas. Utiliza información recabada de los acusados, archivo
criminal y una entrevista con el acusado. Una función de esta herramienta
es la de predecir la reincidencia y generar puntajes de riesgos de
reincidencia previo al juicio, riesgo de reincidencia general y riesgo de
reincidencia violenta.
15 TSJUE, C- 293/12, 8/4/2014.
16 TSJUE, C- 131/12, 2014.
17 Caso Weltimmo, C-230614 y Caso Schrems, C-362/14.
18 Palazzi, Pablo, Revista Latinoamericana de Datos Personales, año I, nº
I, CDyT, Buenos Aires, 2015.
19 Reid, Melanie, “Evolving investigative technologies and the law
symposium: rethinking the fourth amendment in the age of
supercomputers, artificial intelligence, and robots”, 119 W. Va. L.
Rev.863, 2017.
20 United States v. Jones, 565 U.S. 400, 2012.
343
21 Heffernan, William C., “The Fourth Amendment Exclusionary Rule as
a Constitutional Remedy”, 88 Geo.L.J. 799, 864, 2000, cit. Polansky, J.
22 Reid, “Evolving investigative technologies…”, cit.
23 En Estados Unidos, menos del 2% de la totalidad de los crímenes son
llevados a juicio.
24 Rich, Michael, “Machine Learning, Automated Suspicion Algorithms,
and Fourth Amendment”, 164 U. Pa. L. Rev. 871, 2016.
25 El caso en estudio fue expuesto por Reid, “Evolving investigative
technologies…”, cit. Es un fiel reflejo de la dificultad que le acarrearía a
un investigador validarlo en el marco de una investigación penal y en un
juicio oral.
26 Taylor, Damian, “In practice: Litigation: Artificial Intelligence in the
courtroom”, LS Gaz, abril 2018.
27 Resolución del Parlamento Europeo, de 16 de febrero de 2017, con
recomendaciones destinadas a la Comisión sobre normas de derecho civil
sobre robótica (2015/ 2103(INL)).
28 Statement on Artificial Intelligence, Robotics and Autonomous
Systems, European Commission, Brussels, 9 March 2018.
29 Domínguez Peco, Elena M., “Los robots en el Derecho Penal”, en
Derecho de los Robots, dir. Moisés Barrio Andrés, Wolters Kluwer, 2018.
30 Asaro, Peter, “Robots and Responsibility from a Legal Perspective”,
en Proceedings of the IEEE, 2007, cit. Los Robots… cit., p. 134.
31 Sánchez del Capo Redonet, Alejandro, Reflexiones de un replicante
legal. Los retos jurídicos de la robótica las tecnologías disruptivas,
Aranzadi, Navarra, 2016.
32 Domínguez Peco, “Los robots en el Derecho Penal”, cit., p. 138.
33 Ídem, p. 26.
34 Anexo a la resolución del Parlamento Europeo del 16 de febrero de
2017.
35 Reid, “Evolving investigative technologies…”, cit.
36 Corvalán, “El peligro de la Inteligencia artificial como oráculo del
sistema penal”, cit.
37 Harari, Homo Deus. Breve historia del mañana, cit., p. 407.
38 Ibid. 33, p. 384.
344
1. Introducción -
345
en su forma original, a los efectos de permitir la repetición del ensayo
pericial partiendo de la misma condición inicial.
2. La evidencia digital -
346
• La evidencia digital es digital, esto es, está conformada por un conjunto
de bits, la mínima expresión de almacenamiento que sólo puede tener un
valor binario: cero o uno. Esta característica es clave en el sentido de que
todo registro digital puede ser duplicado y las copias que se realicen del
mismo, si siguen las buenas prácticas, serán idénticas e indistinguibles del
original. Nótese que, si se tratara de una evidencia analógica como una
grabación de audio o video tradicional, las copias que se realicen se irán
degradando sucesivamente y perdiendo información.
347
La evidencia digital se puede encontrar de tres tipos diferentes:
almacenamiento, procesamiento y tráfico.
348
como electrodomésticos, vestimenta, asistentes hogareños, juguetes y un
sinnúmero de ellos que irán apareciendo en escena próximamente.
Este tipo de evidencia, como se verá más adelante, requiere mayor nivel
de detalle en la documentación que se debe incluir en la cadena de
custodia.
349
Entre los desafíos que plantea la recolección de evidencia digital podemos
destacar:
• Es claro que el juez debe entender aquello que realizó el experto a través
de la documentación proporcionada que puede complementarse con una
audiencia donde se explique de manera objetiva y sólida cómo se arribó a
la evidencia que se pretende sustentar, por ello se debe registrar de manera
objetiva todos y cada uno de los pasos que permitieron la recolección de
la evidencia.
4. La cadena de custodia -
350
En todo procedimiento judicial donde se introducen evidencias, se hace
necesario conocer todos los detalles asociados a las mismas, y este es
justamente el rol de la cadena de custodia.
351
He escuchado algunas veces la frase “…esta evidencia no tiene cadena de
custodia…” cuando se recibe un efecto sin el correspondiente franjado del
almacenamiento que garantiza que el efecto con el que se está tomando
contacto es el mismo que se almacenó en un momento previo. Esta
confusión entre resguardo y cadena de custodia es frecuente, y si bien la
inexistencia de un correcto resguardo de la prueba forma parte de un
eslabón de la cadena de custodia, no deriva en la falta de esta y
sencillamente es una rotura de esa cadena.
352
• Registro del pasaje de una ubicación física a otra.
5. Conclusiones -
355
Notas -
Andrés Velázquez
Pero muchas veces cada uno tiene una visión diferente, una forma
diferente de hacer investigaciones, e incluso un lenguaje diferente. Es
momento de cambiar paradigmas, de proponer la homologación, no sólo
proceduralmente sino también en el lenguaje que usamos.
Es por ello por lo que quizas habrá algunas cosas que lea en este capítulo
serán diferentes a lo que usted ha vivido o conocido. Habrá preguntas que
usted no se ha hecho y faltarán algunas que se ha hecho pero que a mí no
me han tocado. Porque cada país está haciendo, tanto a nivel legislativo
como a nivel procedural, cosas diferentes. Será en una perspectiva
personal, pero espero se comparta en algún nivel. Seré entonces
disruptivo.
357
Prácticamente en todos los países donde se hace uso de la prueba digital,
usamos algoritmos hash, o también llamados de verificación de
integridad, para poder asegurar que lo que se está obteniendo como prueba
o evidencia será presentado en un procedimiento legal.
Por mucho tiempo siempre contestamos que, por medio de un hash –este
algoritmo matemático que convierte una cadena de longitud variable en
una cadena de longitud fija– se permite confirmar que el contenido del
disco no ha sufrido cambio.
Pero incluso nos atrevíamos a decir que, ante cualquier cambio de dicho
hash, la imagen forense podría perder validez ante la autoridad.
358
En otros países he visto que algunas empresas comerciales han
desarrollado un software para poder firmar digitalmente el hash contra un
servidor de tiempo. Es decir, proponen que si no viene firmado
digitalmente el hash, no se le da certeza al tema.
Muchas veces pecamos al explicar las cosas de una forma muy técnica.
Las tratamos de hacer más fáciles para los que no son técnicos y eso puede
ser un boomerang hacia el futuro.
Casi 5 años después la autoridad nos pidió presentar el disco original para
poder hacer un cotejo; un procedimiento sencillo por el cual ante los
peritos de ambas partes se validaran los hashes y se entregara una imagen
al perito contrario.
La cara de los abogados ante dicho suceso era como la de aquellos que
reciben la peor noticia de su vida. Solo repasaba en mi mente: “Si un hash
no coincide, eso significa que se ha manipulado la evidencia”, “La
359
manipulación de una prueba digital es posible identificarla gracias a los
hashes, una huella digital que no nos permite saber qué se ha cambiado,
pero que prueba claramente que es diferente”, y muchas frases más que
había dicho en cada conferencia o curso al que había sido invitado.
¿Tendría algún problema el software que fue usado para poder validar la
imagen forense?
Nunca más volví a decir que si el hash no coincide, toda la prueba deja de
ser válida porque fue manipulada. Y en ese sentido, técnicamente hay
muchas cosas que pueden cambiar y es una tarea de la comunidad no sólo
estar actualizado en la materia, sino lograr que vayamos avanzando en el
camino de buscar la verdad, y que no sea esta (como ya lo hemos visto en
otros casos) la herramienta para que se genere una controversia.
Esto se puede valorar más complicado con la llegada de los discos duros
de estado sólido, debido a la naturaleza de la tecnología: cada vez que se
realiza una imagen forense, el hash será distinto. Retomaré esta cuestión
más adelante.
361
Hoy debatimos, dentro de la misma línea de este texto, el uso de ciertos
algoritmos de hash o valor de integridad.
Ante las noticias de la colisión del hash MD52, el algoritmo más usado a
nivel internacional para poder validar que la imagen forense es igual al
disco original, la comunidad forense ha tratado de buscar nuevos
algoritmos que permitan dar cada vez más certeza al proceso. Es por ello
por lo que ya muchos usamos SHA-1 (también se ha podido colisionar3)
o el SHA-256 o mayor, e incluso algunas herramientas especializadas
hacen uso de estos algoritmos. El uso de dos permite tener mayor certeza.
Pero me han tocado casos en que la defensa simplemente dice que ante
una imagen forense que tiene un hash o valor de integridad realizado con
el algoritmo MD5, al conocer que existe la colisión, entonces todo el disco
duro presentado podría ser algo diferente. ¿Por qué ir a los extremos?
Cambios y más cambios. Cada vez es más difícil encontrar los discos
duros de platos, muchos de ellos incluso ya habitan museos. Estos discos,
cuyos cabezales se dañaban, y ante un golpe fuerte podrían rayar los
platos, requerían, para eliminar información: a) sobreescribir información,
b) un electroimán muy potente, o c) destruirlos físicamente.
Por otro lado, cada vez que se realiza una imagen forense de un disco duro
de estado sólido, el valor hash o de integridad puede ser diferente,
precisamente por lo comentado anteriormente.
Hasta este momento, no hay forma alguna para poder evitar estas dos
cuestiones: incluso la comunidad se ha acercado a los fabricantes de
discos duros para poder buscar soluciones, hasta ahora sin éxito. El
investigador podría encontrarse con que no podrá recuperar datos y será
363
un gran reto el poder presentar un hash de un disco duro completo para su
posterior cotejo.
365
¿Cómo proceder entonces? ¿Será necesario hacer uso de infraestructura
como la que puede obtenerse en la nube, para tener un servidor con la
capacidad de procesamiento necesaria para hacer la fuerza bruta? Quizá,
pero por el momento son pocas las autoridades que permiten que el
archivo o disco cifrado sea colocado en la nube para hacer el ataque:
empezamos con temas como la confidencialidad de lo que subimos, la
posibilidad de que alguien tenga acceso o se enteren qué estamos
haciendo, etc. La tecnología está ahí…
Hemos hablado del tamaño de los discos (que cada vez son más grandes),
y que nos hace falta mejorar la forma en que se nos solicita una
investigación de un medio de almacenamiento y del cifrado.
Otro desafío que se impone radica en que, entre más información, más
requerimientos de poder de cómputo: las investigaciones pueden
demorarse cada vez más, requieren más herramientas y, en muchos casos,
exigen especialistas de diferentes disciplinas.
366
También nos enfrentamos a procedimientos que venimos arrastrando
desde que se iniciaron las primeras investigaciones digitales. Ya lo
compartí con el tema de las imágenes forenses, ahora cuestionaré el de las
investigaciones.
Hace algunos años, tomando como idea una metodología de Chris Pogue
llamada “Sniper Forensics”4, que propone elegir, ante un servidor
vulnerado, si uno tuviera 3 balas en un rifle de asalto (analogía), a qué
archivos del sistema operativo se apuntaría y dispararía, decidimos crear
una metodología que he tenido la fortuna de presentar ya en varios foros.
Esta metodología busca poder tener algo antes de procesar todo. No busca
eliminar el uso de las herramientas forenses, pero permite también ofrecer
un tiempo estimado que demoraremos en encontrar resultados.
369
es necesario regresar a una fecha, la respuesta del proveedor es que nada
más se tiene la información de 30 días anteriores.
7. Cambiemos paradigmas -
Notas -
1 “Regresáramos a las bases”, una frase que se refiere a lo que el libro The
Cuckoo’s Egg de Cliff Stoll me ha dejado y que normalmente hablo en
mis conferencias de ello.
2 MD5 Collision Attack Lab, www.cis.syr.edu
3 “The first collision for full SHA-1”, Marc Stevens, Elie Bursztein, Pierre
Karpman, Ange Albertini, Yarik Markov, https://marc-stevens.nl.
4 Sniper Forensics “One Shot, One Kill”, SANS.org, www.sans.org.
5 Conferencia “¿Cómo perfilar a un cibercriminal?”, 2015, Organización
de Estados Americanos, www.youtube.com.
6 “A History of the ARPANET: The First Decade (Report)”,
www.dtic.mil.
373
Los ciberdelincuentes son los maestros del crimen en constante
evolución1. Antiguamente, las organizaciones cibercriminales se
dedicaban cada una a distintos rubros, algunas al robo de información
personal, comercial o financiera, otras a la extorsión, secuestro de
información o acciones de terrorismo. Más aún, se diversificaba cada uno
de estos delitos en las prácticas necesarias para llevarlos a cabo, una célula
se dedicaba a la recolección de información del objetivo, otra al análisis,
otra al despliegue de la ingeniería social necesaria, y una última a la
ejecución del crimen. Cada uno en su lugar actuando como una caja de
engranajes en perfecta armonía, aun con la complejidad de actuar cada
una de ellas en distintos lugares del planeta.
1. Investigación pasiva -
374
En primer lugar, nos tenemos que poner en contexto con lo que viene
sucediendo, las agencias de aplicación de la ley inician su intervención
una vez sufrido por las víctimas el resultado del hecho criminoso, es decir,
cuando ya se ha producido el daño a un sistema informático, han sido
robados y utilizados los datos bancarios de un usuario, se han divulgado
imágenes e información del ámbito de la intimidad de la víctima, etc.
Haciendo un paralelismo con delitos comunes, ello consistiría en que, en
el caso de un homicidio, las agencias dieran comienzo a la investigación
con la aparición de un cadáver. Tengamos presente también que, hasta no
hace mucho, tanto las organizaciones como los particulares no poseían
conocimiento ni infraestructura de medidas proactivas de seguridad que
los pusieran sobreaviso de la posible comisión de hechos delictivos que
los tuvieran por víctimas.
2. Investigación activa -
377
Avanzado el conflicto, y como verdadero ejemplo de OSINT, es curioso
el indicador que este organismo utilizó para deducir el porcentaje de éxito
de los ataques contra infraestructuras ferroviarias en la Segunda Guerra
Mundial: los precios de las naranjas en París. Es decir, se consiguió una
inteligencia “utilizable” a partir de un dato público que no parecía aportar
nada interesante a los analistas.
378
dispositivos y en algunos casos los recursos utilizados, como datos del
navegador, etc.
En este caso, el investigador activo, además de solicitar a los ISP y/o a los
TSP que brinden los datos que posean sobre la identidad de sus respectivos
clientes que utilizaron sus servicios para acceder al servicio empleado,
sale a la red a buscar servicios que se encuentren relacionados con los
datos ya obtenidos.
379
De esta forma, una vez determinada la persona, la medida de allanamiento
de su morada adquiere una nueva perspectiva: ya no se trata de llevarlo a
cabo secuestrando en forma indiscriminada equipos informáticos, sino
que la tarea de secuestro de elementos estará dirigida a la verdadera
motivación de este, que es el aseguramiento de la evidencia que corrobora
el hecho investigado, haciendo entonces hincapié en los elementos
utilizados por nuestro sospechoso. También resultará ampliado el espectro
de lugares donde buscar más evidencia, en nuestro ejemplo el domicilio
laboral.
3. Modelo proactivo -
381
El investigador debe conocer efectivamente el límite entre lo público y lo
privado; no sólo basta considerar en qué lugar del ciberespacio se
encuentra esa información, sino también poder discernir si la misma fue
obtenida, publicada o dejada disponible por medios lícitos. Si bien estas
son cuestiones de fondo que aún se encuentran en plena discusión, el
investigador debe garantizar este aspecto. De nada serviría información
obtenida a través de un phishing y publicada posteriormente en algún
medio público.
382
Volvamos a la evolución de la investigación. Como se pudo observar,
podríamos pensar que en el método proactivo no necesitamos la
participación de las organizaciones privadas como los ISP y los ESP, que
tan sólo con la cantidad de información recolectada y analizada ya
resolvemos cualquier investigación. Esto no sería así, salvo en la
investigación judicial, ya que para que la información colectada se
convierta en evidencia irrefutable debería ser validada por algún medio:
es este el rol que juegan en la investigación estas entidades, y ya no el
papel central que ostentaban anteriormente.
383
Con esto último, también se plantean nuevas oportunidades, como la de
prescindir de las pericias informáticas tal como se las conoce en la
actualidad. Con las herramientas existentes, tanto las de código abierto
como las licenciadas, es posible garantizar la integridad, trazabilidad y
autenticidad de la evidencia digital; más aún, es imposible realizar una
actividad que pretenda socavar alguna de estas características.
384
Notas -
Ana Di Iorio
1. Introducción -
385
entendiéndose el foro como aquel sitio donde los tribunales oyen y
determinan las causas. Lo particular es que este mismo diccionario ya
incluye el término “médico forense”, indicando “médico adscrito
oficialmente a un juzgado de instrucción para llevar a cabo prácticas
periciales propias de la medicina legal”, definiendo a esta última como
“Aplicación de la medicina al asesoramiento pericial de los tribunales”.
Estas incorporaciones denotan el progreso y consolidación de la medicina
en la práctica forense, que seguramente, con el tiempo, será llevado a otras
ciencias de aplicación forense, como es el caso de las ciencias
informáticas.
Los protocolos y las guías de buenas prácticas no son ajenos a las personas
que los ejecutan, es decir, a quienes los llevan al campo, a la escena del
hecho o al laboratorio pericial, así como tampoco son ajenos al contexto,
al equipamiento disponible o al entorno de trabajo.
386
Para la lengua española, el término “evidencia” tiene dos acepciones: 1.
Certeza clara y manifiesta de la que no se puede dudar, y 2. Prueba
determinante en un proceso1.
387
transmitidos en un medio informático, que pueden ser utilizados como
evidencia4.
- Es intangible.
- Puede duplicarse tantas veces como sea necesario, y las copias son
idénticas al original.
388
Estas evidencias, además, pueden presentarse en dos contextos
temporales:
390
4. Principio de correspondencia de características: La acción de un agente
deja impresas sus características en la superficie. La búsqueda de la
correspondencia de características guiará y también permitirá descartar
supuestos o hipótesis investigativas (por ej., la correspondencia de una
huella de calzado y un tipo de pisada, con el calzado y forma de caminar
de un sospechoso). Estas correspondencias también guían la búsqueda de
cotejos de datos y metadatos en la evidencia digital: una forma de
expresión escrita del sospechoso (por ej., un error ortográfico recurrente),
la huella de que cierto documento ha sido procesado por un determinado
software (por ej., metadatos o transformaciones que un software genera
en un archivo), la verificación de que el objeto ha sido descargado desde
un determinado sitio, entre otros, son sólo algunos de los ejemplos de la
utilidad de adoptar este principio.
La evidencia digital debe ser adquirida del modo menos intrusivo posible
tratando de preservar la originalidad de la prueba y, en la medida de lo
posible, obteniendo copias de respaldo. Cada elemento, de acuerdo a sus
características, deberá ser protegido de diferente manera para evitar su
contaminación. Se utiliza el término “evitar”, dado que si bien no puede
asegurarse, es posible prever que se tomarán los recaudos necesarios para
procurar impedir que suceda la contaminación.
394
La ISO/IEC 27037:2012 plantea, respecto al actuar metódico, que el
proceso a seguir para la identificación, recolección y preservación debe
ser:
395
Los protocolos, recomendaciones y guías de buenas prácticas buscan
justamente brindar las respuestas y homogeneizar este “actuar metódico”.
Los “protocolos” constituyen el marco para las prácticas. Son las reglas
fundamentales de ese hacer, son las guías de esa práctica. Conforman un
cuerpo de indicaciones institucionales que no deben obviarse y que no
pueden faltar en ningún proceso de trabajo. Independientemente de los
protocolos que establezca cada provincia, hay ciertos criterios de buenas
prácticas vinculados al quehacer científico que será igual. Se podrá variar
en cuestiones procesales, pero hay criterios comunes: por ejemplo, quien
recolecta la evidencia no puede tener diferencias de criterios respecto a
cómo embalar, o si puede o no explorar un equipo encendido.
398
2.1. Principios Generales del manejo de la evidencia digital
- Validez legal: Para que la evidencia sea admisible, debe haber sido
obtenida respetando las garantías y formas legales.
400
El primero es aquella persona que está autorizada, capacitada y habilitada
para actuar en la escena del crimen, recolectando y adquiriendo las
evidencias digitales con las debidas garantías. Su formación dependerá de
cada legislación y política organizacional. En el contexto del ejercicio del
“Responsable de Primera Respuesta” se establecen las condiciones y
habilidades requeridas para asegurar la evidencia digital propia de la
situación en estudio. Al Especialista en Evidencia Digital (EED), en
cambio, la norma lo califica como aquella persona que puede llevar a cabo
las tareas del “Responsable de Primera Respuesta” y, además, cuenta con
conocimientos, destrezas y entrenamiento especializado en un amplio
rango de aspectos tecnológicos, y está capacitado para actuar como
analista forense.
401
- Especialista en Evidencia Digital (EED): es el experto que puede realizar
las tareas de un Especialista en Adquisición y además tiene conocimientos
específicos, habilidades y aptitudes que le permiten manejar un amplio
rango de situaciones técnicas, tales como la realización de una pericia. Es
factible ubicar a este profesional en un rol pericial y/o de investigación.
1. Asegurar la escena
402
2. Registrar la escena y los elementos identificados
403
b) Verificar si existen dispositivos externos: discos, CD, DVD, pendrive,
u otro medio de almacenamiento conectado en alguna unidad. Retirarlo,
protegerlo y guardarlo en un contenedor adecuado.
4. Evitar la contaminación
404
e) No abrir la tapa de una computadora portátil si está cerrada.
405
5. Clasificar, embalar y rotular (Este será el primer paso del procedimiento
de cadena de custodia)
406
h) Se debe evitar el uso de bolsas plásticas, ya que pueden causar una
descarga de electricidad estática, con riesgo de destruir o alterar datos.
3. Conclusiones -
407
Reflexionar sobre los riesgos de cada tarea, escribir las guías o protocolos
adecuados, capacitar al personal que ejecutará estas tareas, contar con el
perfil acorde para el rol, entre otros, constituyen algunos de los aspectos a
considerar en un plan de acción para minimizar estos riesgos.
Notas -
409
17 Definición del Diccionario de la Real Academia Española.
18 Protocolo de Actuación de Pericias Informáticas. Poder Judicial de
Neuquén, disponible en www.jusneuquen.gov.ar.
19 Protocolo de Actuación del Departamento de Informática Forense.
Poder Judicial de Río Negro, disponible en http://digesto.ju srionegro.g
ov.ar.
20 El InFo-Lab (Laboratorio de Investigación y Desarrollo de Tecnología
en Informática Forense) es una iniciativa conjunta entre el Ministerio
Público de la provincia de Buenos Aires, la Universidad FASTA y la
Municipalidad de General Pueyrredón, destinada a desarrollar soluciones
tecnológicas para coadyuvar a la autonomía investigativa del Ministerio
Público (www.info-lab.org.ar)
21 Protocolo unificado de los ministerios públicos de la República
Argentina… cit.
22 Guía Integral de Empleo de la Informática Forense en el Proceso
Penal... cit., Res. 483/16 cit.
23 Aspectos estratégicos, organizacionales y de infraestructura en el
diseño de Laboratorios Judiciales de Informática Forense, VII CIIDDI
(Congreso Iberoamericano de Investigadores y Docentes de Derecho e
Informática), La Habana, mayo 2017, disponible en http://info-lab.org.ar.
24 Algunos protocolos plantean dejar el equipo encendido y con la batería
puesta hasta que se agote, otros protocolos plantean apagarlo pero no
desarmar el equipo dejándolo sin batería, y por último, otros plantean
apagar y quitar la batería. Se recomienda en este caso actuar de acuerdo a
las indicaciones recibidas en su protocolo, dado que no hay un consenso
establecido.
25 Fernández Sánchez, Jesús I., “Inteligencia Criminal. Inteligencia y
Seguridad”, Revista de Análisis y Prospectiva, 2009.
26 Serra del Pino, Jordi, “La prospectiva y la investigación del futuro”,
Revista Escuela de Medicina Legal, Inteligencia al Servicio de la Ciencia
Forense, junio 2011.
Cloud Act
Daniela Dupuy
Mariana Kiefer
410
1. Planteamiento del problema -
411
En consecuencia, las empresas de tecnología y comunicación se enfrentan
a potenciales conflictos legales cuando los gobiernos piden datos que
podrían colisionar con las leyes extranjeras.
412
investigación, pues los tiempos que demanda su tramitación perjudican el
éxito de aquella.
413
En ese sentido, Salt señala: “La carencia de herramientas procesales que
prevean esta nueva realidad, o de canales de cooperación internacional
entre países que permita la obtención de evidencia transfronteriza de
manera legítima y con la rapidez que la investigación requiere constituye
un obstáculo tanto para la eficacia de la investigación como para la plena
vigencia de las garantías, no sólo de los imputados de un delito, sino
también de terceras personas –ISP– que pueden resultar afectadas por las
distintas modalidades de acceso transfronterizo realizadas de hecho por
las autoridades de los diferentes países6”.
414
Es de destacar la Propuesta del Parlamento Europeo y del Consejo sobre
las órdenes europeas de entrega y conservación de pruebas electrónicas a
efectos de enjuiciamiento penal10.
Dicha propuesta tiene por objeto mejorar la seguridad jurídica para las
autoridades, proveedores de servicios y las personas afectadas,
manteniendo un elevado nivel en lo que se relaciona con las solicitudes de
las autoridades competentes, asegurando la protección de los derechos
fundamentales, la transparencia y la responsabilidad. También, la
propuesta pretende acelerar el proceso para obtener y asegurar pruebas
electrónicas que estén almacenadas o que obren en poder de proveedores
de servicios establecidos en otra jurisdicción. Paralelamente, la Comisión
está trabajando para reforzar los mecanismos de cooperación judicial
existentes a través de medidas como la creación de una plataforma segura
para el intercambio rápido de solicitudes entre autoridades judiciales de la
Unión y para formar profesionales de todos los Estados miembros de la
Unión Europea en materia de asistencia judicial y cooperación, prestando
especial atención a los Estados Unidos, pues se trata del país que recibe el
mayor número de solicitudes procedentes de la Unión Europea.
415
aplicándose la propuesta sólo a los datos almacenados, pero no a la
interceptación instantánea de las telecomunicaciones.
418
6. La respuesta de la compañía es recibida por la Justicia.
420
almacenamiento y procesamiento remoto, sin requerimiento específico
previo.
421
4. El caso “Microsoft/Irlanda” como precedente de la Cloud Act -
Además, argumentaron que la orden prevista en el art. 2703 (a) del cuerpo
legal no constituye una orden de registro tradicional, toda vez que no está
dirigida a la búsqueda o secuestro de evidencia digital en el lugar, por
agentes federales. Asimismo, esta es ejecutada en relación a un individuo,
que se encuentra en territorio norteamericano y sujeto a la justicia
estadounidense. En consecuencia, la ejecución de la orden es una
aplicación doméstica de la ley estadounidense. Justamente, lo que se está
solicitando es la “producción” o “presentación” de esa evidencia.
a) exhortos o,
424
Sin embargo, como ya se ha indicado, la práctica demuestra que este canal
de comunicación entre diferentes países en cuanto a la evidencia digital
no es tan eficiente como se supone debe ser, y para cuando el país
requerido analiza el MLAT, es posible que la evidencia digital ya no exista
y/o haya migrado a otro servidor, en otro país. Sin embargo, en lo que
respecta a la soberanía y a las preocupaciones territoriales, estos son los
pasos acordados por los países para reunir evidencias ubicadas en un país
diferente al que se lleva a cabo la investigación criminal, como se señaló
en la decisión del panel mayoritario en el caso Microsoft/Irlanda.
425
En este sentido, Orin Kerr38 predijo estos escenarios poco después de la
decisión del 14 de julio de 2016, cuando el Tribunal del Segundo Distrito
manifestó que no correspondía que Microsoft Corp. entregara los datos de
contenido requeridos. El autor afirmó que no todas las estructuras de cada
proveedor de servicios de Internet son iguales a las de Microsoft, y que la
información puede dividirse y fragmentarse en diferentes servidores en
distintos países. A veces, argumentó, la red es tan complicada en su
estructura que la información sólo puede ser consultada desde las oficinas
de Estados Unidos.
Para llegar a esta instancia, el país extranjero debe haber sido considerado
un “gobierno extranjero calificado”.
429
3. El Congreso puede rechazar el acuerdo: Si no lo hace después de ciento
ochenta días, el acuerdo entra en vigencia y el Gobierno extranjero se
considera “gobierno extranjero calificado” durante cinco años, período
que puede renovarse en igual cantidad de años, de manera consecutiva.
431
Los críticos de la Cloud Act señalan que no hubo oportunidad para realizar
un debate sobre sus disposiciones, pues se adjuntó a un proyecto de ley de
gastos, que fue aprobado por ambas cámaras del Congreso y se promulgó
el 23 de marzo de 2018.
432
Por su parte, la Comisión Europea había presentado un informe en su
calidad de amicus curiae en el caso de Microsoft, en el que si bien no
apoyaba específicamente a ninguna de las partes del caso, defendió el
principio de territorialidad bajo el Derecho internacional público, de la
siguiente manera: “Desde la perspectiva de la Unión Europea y del
Derecho internacional público, cuando una autoridad pública exige que
una empresa establecida en su propia jurisdicción produzca datos
electrónicos almacenados en un servidor en extraña jurisdicción, los
principios de territorialidad y cortesía en el Derecho internacional público
están comprometidos, y los intereses y las leyes de esa jurisdicción
extranjera deben tenerse en cuenta”57.
En esta línea, propone seis principios que deberían guiar las reformas
legislativas y la negociación de acuerdos internacionales, resaltando la
importancia de proveer a las fuerzas de la ley de las herramientas
433
necesarias para mantener la seguridad y al mismo tiempo proteger la
privacidad:
La compañía sostiene que sus clientes tienen derecho a ser protegidos por
sus propias leyes y que los principios enunciados anteriormente
representan derechos universales y una base mínima que debe gobernar el
acceso a datos en la era moderna60.
434
7. Conclusión -
Como hemos visto, de acuerdo con los enfoques tradicionales para reunir
pruebas de otro país, deberían implementarse los canales diplomáticos.
Sin embargo, esta parece ser una respuesta extraña cuando la información
necesaria se encuentra en la computadora de los empleados de la empresa
proveedora del servicio de internet, en una oficina ubicada en Estados
Unidos, a solo un clic de distancia. Esto demuestra la necesidad de
repensar los conceptos de soberanía nacional y territorialidad
tradicionales. Sin embargo, debe tenerse en cuenta que los diferentes
países tienen diferentes leyes con respecto al almacenamiento y la
privacidad de los datos personales.
435
Notas -
437
Technologies, Liberty and Security in a Changing World: Report and
Reccomendations 227 (2013).
18 Electronic Communications Privacy Act. Pub. L. No. 99-508 (1986).
18 U.S.C § 2701-11.
19 Wiretap Act 18 U.S.C § 2510-22.
20 Stored Communications Act SCA. 18 U.S.C § 2701-11.
21 Mulligan, “Cross-Border Data Sharing Under the Cloud Act”, cit., p.
3.
22 Pen Register Statute. 18 U.S.C § 3121-27.
23 Ver art. 18 USC § 2702 (a).
24 Ídem, (b). Específicamente (b) (6) en lo referido al NCMEC.
25 Ver art. 18 USC § 2702 (c)
26 En inglés, denominado específicamente “subpoena”.
27 Ver Kerr, Orin, Computer Crime Law, Fourth Edition, American
Casebook Series. West Academic Publishing, 2018, p. 681, y Davis,
Frederick T., A U.S. Prosecutor’s Access to Data Stored Abroad – Are
There Limits?, pp. 4 y 5. Publicado en The International Lawyer. A
triannual publication of the ABA/Section of International Law, vol. 41, nº
1. Verano 2015. Disponible en: www.americanbar.org.
28 Aquí alude al estándar de “probable cause”. De acuerdo a la doctrina y
jurisprudencia norteamericanas, es un estándar sustantivo que define el
nivel de sospecha necesario para poder registrar o secuestrar determinadas
personas, inmuebles, cosas (...). La Corte norteamericana lo ha definido
como “razonable de acuerdo a las circunstancias totales del caso”.
Livingston, Debra et al., Criminal Procedure. Investigation and right to
Counsel, 3ª ed., Wolters Kluwer, pp. 417 y 432. El mecanismo para
solicitar una orden de registro y secuestro en estos términos se encuentra
en la Reglas Federales de Evidencia, Procedimiento Criminal. Art. 41.
29 Microsoft Corp. v. United States (In the Matter of Warrant to Search a
Certain E-Mail Account Controlled and Maintained by Microsoft Corp).
829 F.3d 197 (2nd Cir. 2016).
30 Morrison v. National Australia Bank Ltd. 561 U. S. 247. (2010).
31 Microsoft Corp v. United States, cit.
32 Ídem, pp. 2-12.
33 Ídem. pp. 1-18.
34 Davis, Frederick T., A U.S. Prosecutor’s Access to Data Stored Abroad
– Are There Limits?, cit., p. 7.
35 Kerr, Orin, Computer Crime Law, Third Edition, West Editor, 2012, p.
752.
36 In re Warrant No. 16-960-M-01 to Google en Kerr, Orin, “Google must
turn over foreign-stored emails pursuant to a warrant, Court rules”, The
438
Washington Post (3 de febrero de 2017).
37 In re Warrant No. 16-960-M-01 pp. 26-27.
38 Kerr, Orin, “The surprising implications of the Microsoft/Ireland
warrant case”, The Washington Post (29 de noviembre de 2016).
39 United States v. Microsoft Corp., 135 S. Ct. 356 (2017) (mem. granting
government’s petition for certiorari).
40 Argumentos orales de la Corte Suprema, 27 de febrero de 2018,
disponible en www.supremecourt.gov. En este sentido la jueza Ginsburg
expresó: “…If Congress takes a look at this, realizing that much time and
– and innovation has occurred since 1986, it can write a statute that takes
account of various interests. And it isn’t just all or nothing. So wouldn’t it
be wiser just to say let’s leave things as they are; if – if Congress wants to
regulate in this brave new world, it should do it?”, p. 6.
41 Clarifying Lawful Overseas Use of Data Act, parte de la Consolidated
Appropiations Act, 2018, Pub. L. 115-141.
42 Daskal, Jennifer, “Microsoft Ireland, the Cloud Act, and International
Lawmaking 2.0”, en Stanford Law Review, vol. 71, mayo 2018, p. 11.
43 Ver art. 18 U.S.C § 2713 que indica bajo el título “Conservación e
información obligatoria sobre comunicaciones y grabaciones”, que un
proveedor de servicios de comunicaciones electrónicas o de computación
remota (en la nube) deberá cumplir con las obligaciones de este capítulo
para preservar, conservar (…) o revelar el contenido de una comunicación
electrónica o por cable y cualquier registro u otra información
perteneciente a un cliente o suscriptor en posesión, custodia o control de
dicho proveedor, independientemente de si dicha comunicación, registro
u otra información se encuentra dentro o fuera de Estados Unidos.
44 Ver art. 18 U.S.C § 2703(h)(2)(A).
45 Ídem, (B) y ss.
46 Kerr, Orin, “Computer Crime Law. Summer 2018 Case Supplement”,
pp. 35 y ss.
47 Ver art. 18 U.S.C § 2702(b)(9).
48 Ídem, § 2511 (j).
49 Ídem, § 3121 (a).
50 Kerr, “Computer Crime Law. Summer 2018 Case Supplement”, pp. 35
y ss.
51 Ídem, p. 36. Ver 18 U.S.C § 2523, en donde se enumeran todos los
requisitos y el mecanismo en detalle.
52 Daskal, “Microsoft Ireland, the Cloud Act…” cit., p. 14.
53 Ibídem.
54 Ver art. 18 U.S.C § 2523.
55 Electronic Frontier Foundation, American Civil Liberties Union,
439
Amnistia Internacional, Human Rights Watch y Open Technology
Institute.
56 Senador Ron Wyden (D-Ore).
57 Amicus Curiae Unión Europea en el caso US. vs. Microsoft.
58 Declaraciones de Brad Smith, presidente de Microsoft.
59 Disponible en https://blogs-microsoft-com.ebook.21.edu.ar “A call for
principle-based international agreements to govern law enforcement
access to data”, 11 de septiembre de 2018.
60 Ibídem.
440
En efecto, no es en absoluto una idea novedosa señalar los desafíos de la
transnacionalidad del delito3. Hace tiempo que venimos asistiendo a ese
fenómeno (y a los problemas que conlleva) a partir del surgimiento de las
organizaciones criminales cuya infraestructura y logística se extienden
más allá de las fronteras nacionales. Los ejemplos del narcotráfico, la trata
de personas o el contrabando de armas u objetos culturales dan cuenta
clara de ello. Y la comunidad internacional viene hace tiempo haciendo
esfuerzos para tender puentes entre los órdenes jurídicos nacionales para
ampliar la coordinación y asistencia mutua internacional en el combate a
la delincuencia organizada.
Este mecanismo es, cuando menos, ineficiente para el desafío del delito
informático, si tenemos en cuenta que estaba pensado para investigaciones
o procesos judiciales puntuales y excepcionales en los que aparecía
involucrado un aspecto transnacional. Pero cuando todos los delitos lo
tienen –cuando en todos ellos es necesario recolectar prueba en el
extranjero–, la cantidad de casos se vuelve inconmensurable y, por ende,
el sistema de “autoridad central” se hace claramente ineficiente y
anacrónico.
442
Es que, en el juego de la asistencia internacional, la sociedad de la
información ha forzado la inclusión de un nuevo protagonista de
características especiales: las denominadas “ESP”.
444
Una rápida reflexión basta para darnos cuenta de que la utilización del
verbo “copiar”, para referirse a los archivos digitales, no es más que una
metáfora que no se ajusta verdaderamente a la realidad: la supuesta
“copia” es totalmente indistinguible del que identificamos como
“original”. Quizás una expresión más adecuada sea la de “clonación”.
El criterio que debe primar debería ser mucho más elástico. El lugar donde
“está” la información es aquel en que se la encuentre disponible.
445
En los puntos que preceden nos referiremos a una de esas experiencias,
que cuenta con dos aspectos interesantes en materia de colaboración
interjurisdiccional, y con el sector privado.
446
1. Operar el Centro nacional de recursos y Centro de información oficial
para los niños desaparecidos y explotados.
2. Operar una línea telefónica gratuita para que las personas puedan
reportar información sobre la ubicación de cualquier niño desaparecido, y
solicitar la información relativa a los procedimientos necesarios para
reunir a esos niños con su custodio legal.
447
9. Proporcionar asistencia a las familias y a los organismos del sistema
judicial o policial en la localización y recuperación de niños
desaparecidos.
451
NCMEC y el Dr. Germán Carlos Garavano, en ese entonces Fiscal
General de la Ciudad Autónoma de Buenos Aires.
453
5. Impugnaciones eventuales a estos nuevos paradigmas y sus
respuestas -
454
Se impugnó, por ejemplo, que el Reporte NCMEC que sirvió de base para
la acusación fiscal estuviera escrito en otro idioma distinto del nacional
(en inglés, en este caso)23, puesto que el Código Procesal establece bajo
pena de nulidad el idioma nacional para todos los actos procesales24.
En los casos que acabamos de citar, y en otros a los que se hará referencia,
se cuestionó por inconstitucional el modo en que el NCMEC accedía a la
información de transmisión de pornografía infantil por las redes sociales.
Para combatir la pornografía infantil en sus redes, las ESP desarrollan una
batería de medidas tecnológicas que permiten detectar, en el enorme flujo
de información que corre por sus plataformas, aquellas que se
corresponden con la clasificación de “pornografía infantil”. Uno de los
recursos más utilizados para lograr esta detección eficiente es la
tecnología denominada PhotoDNA26.
A partir de este desarrollo, los ESP generan una “lista negra” de hashes-
photoDNA (es decir, de aquellos que pueden detectar un archivo sin
importar si ha sido modificado, por ejemplo, para ocultarlo) con la cual
confrontan el tráfico que pasa por sus servidores y así detectan la
circulación de pornografía infantil27.
Esto quiere decir, en sede judicial, no sólo que el niño tiene un nivel de
protección eminente, sino que además, ante un conflicto de derechos,
primará aquel que contemple más adecuadamente esta protección34. De
allí que una impugnación a la detección de pornografía infantil fundada
en una consideración general y abstracta del derecho a la intimidad o la
protección de los papeles privados no será suficiente si no está
acompañada de una ponderación complementaria de los derechos que
corresponden a la niñez y se encuentran en juego y de por qué deben ceder
en el caso.
457
Más allá de esto, desde la perspectiva del derecho internacional existen
otros y buenos argumentos que sostienen la validez de la inspección.
458
específica habilitación legislativa otorgada al NCMEC por el Congreso de
aquel país, no existe razón de peso para considerar ese acto inválido.
Quienes sostienen que esto es posible pierden de vista que el modo en que
cada Constitución reglamenta los derechos en el marco de su soberanía no
es el único válido. Otros órdenes jurídicos pueden optar por soluciones
distintas o disímiles, sin que implique que alguna de ellas sea violatoria
de los derechos humanos, sino, simplemente, un modo distinto de
legislarlas. Se caería en una situación inaceptable: los actos jurídicos
realizados en otro país, según su propio orden jurídico, serán válidos en la
Argentina si (y sólo si) nuestro país los legisla de la misma manera. Lo
cual es sólo una manera elíptica de sostener que el único orden jurídico
válido es el propio.
Además, esta postura nos pone frente a una evidente paradoja. Suponer,
por ejemplo, que el agente encubierto era violatorio del art. 18 de la
Constitución Nacional hasta que este instrumento de investigación tuvo
recepción legislativa, implicaría que la Constitución se va adecuando a las
leyes y no lo contrario. La Constitución –precisamente– es un marco
jurídico fundamental, una guía para el dictado de las leyes.
Por último, sostener que la utilización del PhotoDNA –es decir, un filtro
automatizado– para la detección de pornografía infantil implica una
violación de la intimidad de las personas resulta, cuando menos, una
afirmación controvertida. Es verdad que la intimidad puede estar en juego
cuando nos referimos a internet, pero esta máxima debe ser matizada38.
6. Conclusión -
460
El cibercrimen, en particular, y las nuevas dinámicas de la sociedad de la
información nos plantean desafíos continuos. Las nuevas realidades
digitales que aparecen día a día son también actuales o potenciales
problemas jurídicos que deben ser resueltos si el Derecho quiere continuar
siendo lo que es: una herramienta para la paz social y el resguardo de la
dignidad humana.
Notas -
462
Aires y tiene la misión de investigar los delitos y contravenciones de esa
jurisdicción. Es un organismo técnico y especializado creado por ley para
llevar a cabo las tareas de investigación y análisis de información en el
marco de un caso judicial. Según la ley 2986 de creación, este organismo
debe cumplir funciones de policía judicial dependiente orgánica y
funcionalmente del Ministerio Público Fiscal de la Ciudad de Buenos
Aires.
19 Conforme a su Estatuto, este Consejo está constituido por los miembros
titulares que ostentan la jefatura del órgano constitucional de cada
provincia o, en su caso, el que ejerza la titularidad del Ministerio Público.
20 Según su acta constitutiva, este órgano está integrado por el Procurador
general de la Nación y los procuradores generales y fiscales generales de
las provincias argentinas
21 Por ejemplo, el Código Procesal Penal de la República Argentina
establece en su art. 18: “La competencia penal se ejerce por los jueces y
tribunales que la Constitución Nacional y la ley instituyan, y se extenderá
a todos los delitos que se cometieren en su territorio, o en el alta mar a
bordo de buques nacionales, cuando estos arriben a un puerto de la
Capital, o a bordo de aeronaves en el espacio aéreo y de los delitos
perpetrados en el extranjero cuando sus efectos se produzcan en nuestro
país o fueren ejecutados por agentes o empleados de autoridades
argentinas en el desempeño de su cargo. Es improrrogable y se extiende
al conocimiento de las contravenciones cometidas en la misma
jurisdicción.
”El mismo principio regirá para los delitos y contravenciones sobre los
cuales corresponda jurisdicción federal, cualquiera que sea el asiento del
tribunal”.
22 “As currently structured the Internet presents a rather basic challenge
to territorially based regulatory regimes”. Holland, H. Brian, “The Failure
of the Rule of Law in Cyberspace?: Reorienting the Normative Debate on
Borders and Territorial Sovereignty”, 24 J. Comp. & Info. L. 1 (2005).
23 Cámara de Apelaciones en lo Penal, Contravencional y de Faltas
CABA, Sala II, Causa nº 6790-00-15, “A., C. s/infr. Art(s). 128, párr. 2°,
CP”, 20 de abril de 2016.
24 Art. 40 (Idioma) “En los actos procesales se usará idioma nacional bajo
consecuencia de nulidad. Se designará un intérprete cuando el/la
imputado/a no pueda o no sepa expresarse en castellano o cuando lo
impongan sus necesidades especiales”.
25 Cámara de Apelaciones en lo Penal, Contravencional y de Faltas
CABA, Sala III, causa nº 8235-00-00/15 “NN s/art. 128 parr. 1° delitos
atinentes a la pornografía (producir/publicar imágenes pornogr. c menores
463
18) CP (p/ L 2303)”, 29 de abril de 2016.
26 Microsoft la utiliza para servicios propios tales como Bing y OneDrive.
También la utilizan Google, Gmail, Twitter, Facebook y Adobe. A su vez,
Microsoft donó esta tecnología al National Center for Missing &
Exploited Children y a Proyecto Vic, una iniciativa del ICMEC mediante
la cual se generan bibliotecas de hashes para su uso en la detección de
pornografía infantil en las pericias informáticas (fuente: Wikipedia).
27 Cabe señalar que, cuando se refiere en este punto a pornografía infantil,
implica toda imagen que tenga esa característica y no hace referencia a la
intencionalidad de quien la envíe; bien podría ser un menor víctima que,
forzado por un groomer, envía imágenes sexuales propias.
28 Además del caso citado en la nota 25, el planteo se reiteró en CPCyF,
Sala I, causa n° 12322/2015-0 “NN s/inf. art. 131 CP”, 23 de noviembre
de 2017.
29 Art. 18: “Ningún habitante de la Nación puede ser penado sin juicio
previo fundado en ley anterior al hecho del proceso, ni juzgado por
comisiones especiales, o sacado de los jueces designados por la ley antes
del hecho de la causa. Nadie puede ser obligado a declarar contra sí
mismo; ni arrestado sino en virtud de orden escrita de autoridad
competente. Es inviolable la defensa en juicio de la persona y de los
derechos. El domicilio es inviolable, como también la correspondencia
epistolar y los papeles privados; y una ley determinará en qué casos y con
qué justificativos podrá procederse a su allanamiento y ocupación.
Quedan abolidos para siempre la pena de muerte por causas políticas, toda
especie de tormento y los azotes. Las cárceles de la Nación serán sanas y
limpias, para seguridad y no para castigo de los reos detenidos en ellas, y
toda medida que a pretexto de precaución conduzca a mortificarlos más
allá de lo que aquélla exija, hará responsable al juez que la autorice” (el
resaltado me pertenece).
30 Art. 19: “Las acciones privadas de los hombres que de ningún modo
ofendan al orden y a la moral pública, ni perjudiquen a un tercero, están
sólo reservadas a Dios, y exentas de la autoridad de los magistrados.
Ningún habitante de la Nación será obligado a hacer lo que no manda la
ley, ni privado de lo que ella no prohíbe”.
31 Pacto Internacional de Derechos Civiles y Políticos (art. 24); Pacto
Internacional de Derechos Económicos, Sociales y Culturales (art. 10);
Convención Americana sobre Derechos Humanos (art. 19), entre tantos
otros.
32 Art. 3: “En todas las medidas concernientes a los niños que tomen las
instituciones públicas o privadas de bienestar social, los tribunales, las
autoridades administrativas o los órganos legislativos, una consideración
464
primordial a que se atenderá será el interés superior del niño”.
33 Del Carril, Enrique, “La teoría de la interpretación y el principio pro
homine”, en Constitución, Neoconstitucionalismo y Derechos, Juan
Cianciardo Ortega (coord.), Porrúa, México, 2012.
34 “La primera consecuencia que se extrae de la correcta aplicación del
principio es la priorización del interés del niño sobre cualquier otro interés
legítimo en presencia, tanto si ello supone considerar en menor medida
este último como si se trata de no poder ponderarlo para resolver la
situación en presencia”. Torrecuadrada García-Lozano, Soledad, “El
interés superior del niño”, Anuario Mexicano de Derecho Internacional,
vol. XVI, 2016, pp. 131-157.
35 Argúas, Margarita, “La regla locus regit actum”, Lecciones y Ensayos
29 pp. 9 y ss. (1965).
36 Fallos, 318:2639.
37 “Los actos de instrucción practicados hasta la decisión de la
competencia serán válidos, con excepción de lo dispuesto en el artículo
36, pero el tribunal a quien correspondiere el proceso podrá ordenar su
ratificación o ampliación”.
38 Simari, Virginia, “¿Más internet importa menos derecho a la
intimidad?”, LL, 2016-B-1276.
39 Kesan, Jay P. – Hayes, Carol M., “Creating a circle of trust to further
digital privacy and cybersecurity goals”, Michigan State Law Review
1475 (2014).
40 Richards, Neil M., “The Dangers of Surveillance”, Harvard Law
Review, 2013.
41 Rodríguez, Rafael - Martínez Cabezudo, Fernando, “Herencia digital,
términos y condiciones de uso y problemas derivados de la praxis social.
Un análisis desde la filosofía del derecho”, Revista internacional de
pensamiento político nº 12, 2017, pp. 77-104.
42 Del Carril, Enrique H., “¿Capitalismo digital?”, Revista Empresa,
octubre 2016.
Irene Montiel
José R. Agustina
1. Introducción: victimología del desarrollo en la era digital -
466
psicosocial, y (6) factores de riesgo y protección en relación a la
cibervictimización sexual de menores.
467
han experimentado ninguno), que son ver imágenes sexuales, conocer
extraños y bullying (n = 5.722). Como el sexting no se analiza en los niños
de 9-10 años, no se incluye en el análisis cluster, pero sí se incluyen
riesgos relativos a los contactos como la exposición de información
personal y las interacciones arriesgadas (riesgos relativos a contactos).
Los tres primeros son evaluados mediante una escala entre 0 (no
experiencia de riesgo) y 6 (experiencia de riesgo y gran molestia o
alteración por ello) que también contempla si el suceso ha tenido lugar
sólo fuera de línea (1, no incluido en el análisis cluster) y el nivel de daño
experimentado (entre ninguna molestia y gran alteración). Los riesgos
relativos a contactos se evalúan mediante una escala entre 0 (ninguno de
los riesgos) y 5 (todos los planteados). Los cuatro tipos de riesgos
presentan bajas correlaciones entre ellos (entre -,09 y ,42), hallándose la
más elevada entre los encuentros con extraños fuera de línea y los riesgos
relativos a contactos. En general, las experiencias de riesgo y
especialmente las dañinas son bajas, por lo que cuando se hace referencia
a “elevado” riesgo o daño en la clasificación hay que entenderlo como
relativo, es decir en comparación a la media y los otros grupos. En la tabla
1 pueden verse los porcentajes de riesgos y daño de cada uno de los
clusters.
Los tres grupos identificados por Helsper et al. (2013) son los siguientes:
468
online. Un 4% de los menores españoles pertenecen a este grupo
(promedio europeo 5% y promedio en los países del mismo cluster 4%).
469
Esta clasificación pone en evidencia que no existe una clara tendencia
lineal entre la no experimentación de riesgos online (ni daño asociado) y
un elevado riesgo (y daño asociado). Además, según Helsper et al. (2013),
los niños que tienen más probabilidades de encontrar un tipo particular de
riesgo no necesariamente presentan más probabilidades de encontrar otros
tipos de riesgos y daño, y cuando encuentran varios tipos de riesgo el daño
experimentado es mayor respecto a un tipo de riesgo u otro.
470
la víctima en cualquier ámbito, incluidos el hogar y el lugar de trabajo
(Jewkes, Sen y García-Moreno, 2002, p. 161).
471
que el cliente, obtiene un beneficio económico de dichas relaciones
sexuales. Este fenómeno engloba a la prostitución y la pornografía
infantil, así como el tráfico sexual infantil y el turismo sexual infantil
como modos de lograr el acceso a las víctimas de explotación sexual
infantil. Se suele equiparar la explotación sexual con el comercio sexual
infantil.
472
pares no se observa la existencia de una clara desigualdad de poder entre
la víctima y su agresor a favor de este último, por lo que el poder o el
dominio del otro no es considerado una motivación para el acoso sexual
entre iguales, siendo más bien el interés en alcanzar un acercamiento
íntimo o sexual lo que lo motiva.
Las numerosas posibilidades que brindan hoy las TIC hacen que la
victimización sexual infanto-juvenil pueda adoptar diversas formas y
etiquetas (ver figura 2), pero en la práctica suelen alcanzar tal nivel de
interrelación que resulta realmente difícil diferenciar unas de otras, o
aislarlas para su estudio, no sólo por la frecuente superposición de las
conductas victimizantes en una misma dinámica o episodio, sino también
porque las víctimas de unas formas de victimización suelen serlo también
de otras, lo que se conoce como polivictimización (Saunders, 2003;
Finkelhor, 2007), y cuya presencia ha sido corroborada también en el
entorno digital (Montiel, Carbonell y Pereda, 2016).
473
del Proyecto Europeo Risktaking Online Behaviour Empowerment
through Research and Training (ROBERT), que emplea el término de
abuso sexual en un sentido amplio al definir el “ciberabuso sexual
infantil” o “abuso sexual infantil online” (Quayle, Lööf, Soo y Ainsaar,
2012; en Kolpakova, 2012), como sigue:
474
compartir la explotación con otros abusadores de menores, y que puede
extenderse a un encuentro físico para cometer un abuso o agresión sexual
(Webster et al., 2010).
475
distintos para hablar de un constructo similar, como en el caso del acoso
sexual y la solicitud sexual.
Figura 2.
477
Por su parte, Wolak y Finkelhor (2011) definen el sexting como imágenes
de menores creadas por menores (17 años o menos), que son o podrían ser
calificadas como pornografía infantil. Estos autores establecen, además,
una tipología de episodios de sexting basada en la revisión de más de 550
casos obtenidos de una encuesta nacional a cuerpos de seguridad y
prefieren emplear el término de “imágenes sexuales producidas por
menores”, limitándolo a aquellas imágenes que podrían considerarse
pornografía infantil según las leyes vigentes, debido a que la aplicabilidad
de las leyes de pornografía infantil es la principal fuente de controversia
sobre estas imágenes y a menudo es el requisito principal para que
intervengan los cuerpos policiales. Incluyen el envío de esas imágenes por
cualquier tecnología electrónica (teléfono móvil, webcam, cámara digital,
etc.) y la gama completa de incidentes que llaman la atención de la policía,
incluidos aquellos que implican a adultos, incidentes experimentales entre
menores y situaciones que no tienen que ver con relaciones románticas,
tal como muestra la figura 3. (Wolak y Finkelhor, 2011; Wolak, Finkelhor
y Mitchell, 2012).
478
Figura 3. Tipología de imágenes producidas por jóvenes en casos
conocidos por los cuerpos de seguridad.
3.2. Prevalencia
Hay que destacar un estudio llevado a cabo por el Crimes against Children
Research Center (CCRC) en Estados Unidos, en el que analizan la
tendencia observada respecto a estas situaciones entre los jóvenes
norteamericanos, entre los años 2000 y 2010, a partir del análisis de tres
estudios independientes transversales realizados mediante entrevistas
479
telefónicas a 1500 jóvenes entre 10 y 17 años (YISS 1, 2 y 3), Jones,
Mitchell y Finkelhor (2012) encuentran, en general, un decremento en la
prevalencia de solicitudes sexuales indeseadas de cualquier tipo (19% en
el año 2000, 13% en 2005 y 9% en 2010), y en las solicitudes angustiosas
(5%, 5% y 2%). Sin embargo, la prevalencia de solicitudes sexuales
agresivas (con intentos de contacto fuera de línea) no disminuyó de
manera significativa, manteniéndose alrededor del 3% (3% en 2000, 4%
en 2005 y 3% en 2010).
480
Más recientemente, Montiel, Carbonell y Pereda (2016), a partir de una
muestra comunitaria de 3897 adolescentes españoles entre 12 y 17 años,
obtienen que el 39,5% han experimentado alguna forma de victimización
sexual online, especialmente las chicas y los adolescentes más mayores.
Entre los tres tipos de solicitudes sexuales analizados, el más común es el
online grooming por un adulto, que oscila entre un 9,6% en los menores
de 12-13 años, hasta un 25,6% en los de 16-17 años. Respecto a la presión
sexual (solicitudes reiteradas no violentas ni intimidatorias), también se
observa un crecimiento entre los 12-13 años (8,4%) y los 16-17 años
(14,8%), mientras que las solicitudes sexuales más agresivas (coacción
sexual) se mantienen constantes a lo largo de toda la adolescencia (6,7%).
Los autores concluyen que uno de cada cinco menores ha experimentado
alguna solicitud sexual indeseada a través de internet, y en más del 90%
de los casos esta situación les ha provocado algún malestar. Además,
también observan una significativa asociación entre las solicitudes
sexuales indeseadas y la condición de ciberpolivíctima, en la línea de lo
apuntado por Pereda et al. (2014a), pero referido al entorno virtual.
481
estaríamos hablando de ciberacoso sexual, o pueden realizarse en el marco
de una interacción que simula una relación romántica simétrica, tratándose
entonces de ciberabuso sexual, o pueden sucederse o superponerse en el
tiempo (Montiel, Carbonell y Salom, 2014).
482
alguna actividad sexual o enviar imágenes, hasta quedar en persona para
mantener relaciones sexuales.
- El “mito del viejo del parque” o “la detectabilidad”: creen que los
ciberabusadores son fácilmente identificables mediante determinadas
“señales de alarma” que, gracias a su inteligencia y sentido común, pueden
detectar en el primer contacto online con ellos.
483
e íntimamente relacionada con el desarrollo de conductas imprudentes y
arriesgadas (Arnett, 1992), tanto dentro como fuera de la red. También
consideran que si revelan la situación de abuso serán juzgados y
castigados injustamente, estigmatizados, por la audiencia imaginaria que
está tan pendiente de su vida como ellos mismos.
484
(Montiel, Carbonell y Salom, 2014).
485
horas, días o incluso meses (Webster et al., 2010, 2012), debido a la
constante retroalimentación que van obteniendo los agresores de sus
víctimas a lo largo de sus interacciones.
486
víctimas chicas: los temas sexuales se introducen al inicio de la relación
online, aunque de forma más suave y sutil, menos explícita, la interacción
se focaliza en la víctima, su sexualidad y sus características físicas y el
ciberabusador es menos agresivo, más cauto y moderado, sin necesidad
de que exista intención de concertar un encuentro fuera de línea o
satisfacer necesidades sexuales de forma inmediata.
Por su parte, los estudios del Crimes Against Center Research Center
(CCRC) ponen de relieve que la mayoría de los ciberagresores son
hombres cuya edad media ha disminuido en los últimos años hasta el
punto que en 2009, un 50% de estos tenía menos de 25 años, aunque, en
general, no solían mentir sobre sus intereses sexuales ni sobre su edad al
conocer a su víctima. Además, otra tendencia que se consolida con el paso
del tiempo es que, a diferencia de lo que se observaba en estudios
anteriores, la mayoría de los ciberabusadores eligen cada vez más víctimas
que ya conocen en persona, incluso miembros de su propia familia. La
posesión de pornografía infantil también se consolida como una de las
características de los ciberabusadores, así como cierta tendencia
exhibicionista, pues algunos envían fotos eróticas o sexualmente
explícitas de sí mismos a sus víctimas con la intención de reducir sus
inhibiciones, como expone Krone (2005) en la siguiente definición de
“preparador en línea”:
487
En la mayoría de los estudios sobre el tema, se pone de manifiesto el error
generalizado que existe, provocado en gran medida por los medios de
comunicación, al describir al ciberabusador como un “monstruo malvado”
que engaña a niñas ingenuas e inocentes induciéndolas o incluso
obligándolas a establecer relaciones sexuales con ellos. Wolak, Finkelhor
y Mitchell (2004), entre otros, sugieren que el estereotipo del pederasta en
Internet que utiliza engaños y violencia para abusar de los niños es muy
inexacto, ya que, en la mayoría de los casos, las víctimas son conscientes
de que están conversando en línea con adultos que quieren mantener
relaciones sexuales con ellas.
Hay que señalar que, aunque se conocen más casos en que el victimario
es un hombre, comienzan a aparecer estudios que concluyen que las
mujeres también pueden estar involucradas en casos de ciberacoso sexual,
bien como instigadoras, facilitadoras o participantes (Martellozzo et al.,
2010).
488
En el trabajo de Black et al. (2015) se realizó un análisis de contenido
computarizado de delincuentes condenados, para analizar el lenguaje
utilizado en los diferentes estadios propuestos por O’Connell (2003) y
examinar la frecuencia de técnicas de persuasión específicas utilizadas,
tanto en grooming online como offline. Las estrategias utilizadas con
mayor frecuencia son: evaluar la localización del objetivo, intentar hacer
planes para reunirse, utilizar halagos y cumplidos y evaluar el horario de
trabajo de los padres (Black et al., 2015).
489
Internet facilita el proceso en tanto en cuanto ha eliminado las barreras
físicas de contacto entre los agresores potenciales y sus posibles víctimas
(Miró, 2011), no sólo en términos de ubicación geográfica, sino también
de velocidad de contacto y de número de potenciales víctimas (Davidson
et al., 2011).
491
que experimentan solicitudes sexuales agresivas, es decir, con intentos de
contacto fuera de línea (Finkelhor et al., 2000; Wolak et al., 2006).
492
polivictimización sexual. En los chicos, predominan los síntomas de
depresión, ansiedad y fobias, estresores específicos, conflictos entre
padres e hijos, problemas de disciplina en el hogar y en la escuela, de
aislamiento social, absentismo escolar, polivictimización sexual y
conductas sexuales inadecuadas.
Por su parte, Livingstone y Görzig (2012) observan que las variables que
mejor predicen la ocurrencia o aparición de un evento potencialmente
dañino (en este caso recepción de mensajes/imágenes sexuales) son
distintas de aquellas que predicen el daño real, físico o mental,
experimentado por la persona expuesta. Según sus resultados, el 24% (n
= 519) de los jóvenes (11-16 años) que han recibido mensajes sexuales
han experimentado malestar por ello. El impacto o malestar es mayor en
las chicas y en los adolescentes más pequeños y en aquellos con
dificultades psicológicas, mientras que es menor en los jóvenes con cierta
tendencia a la búsqueda de sensaciones y mayor uso de internet.
Sorprendentemente, las variables comportamentales (conductas de riesgo
online y offline), que son las más importantes para predecir el riesgo de
exposición, no influyen en el impacto o malestar derivado de esta
exposición (recepción de mensajes sexuales), sino que este malestar
depende principalmente de la edad, el género y las variables psicológicas.
Estos autores concluyen que la exposición al riesgo es un factor necesario
pero no suficiente para experimentar daño, por lo que las estrategias
diseñadas para reducir el daño deben tener en cuenta las condiciones que
mantienen el riesgo, pero las iniciativas de intervención deberían focalizar
su atención principalmente en los jóvenes más vulnerables al daño (chicas
adolescentes más pequeñas con dificultades psicológicas) y no en todos
aquellos susceptibles de ser expuestos al riesgo (chicos mayores), pues la
mayoría de ellos no experimentan esta situación como problemática.
493
Por otro lado, existen algunos impactos claves diferenciales en los niños
que son objeto de imágenes abusivas. Los especialistas informan que un
niño que está en esta situación puede sentir que la existencia de imágenes
de su humillación enmascara el sufrimiento que ha experimentado y lo
hace aparecer como cómplice. Este dilema agrega una carga traumática
extra y puede hacer que sea más difícil que el niño informe de lo que le ha
ocurrido, pues teme que los demás no crean que está angustiado, que se
piense que él permitió el abuso, que es culpable de lo sucedido. Puede que
el niño crea que se sentirá mejor si niega la ocurrencia de hechos que le
resultan difíciles de aceptar. Un niño que sufre ese tipo de daño también
puede sentir de inmediato o en el futuro vergüenza o temor a ser
reconocido. Esta situación de indefensión e impotencia ante el daño
causado, de escaso apoyo social y legal y de difusión mediática
indiscriminada e insensible, podría considerarse un proceso de
victimización secundaria o doble victimización, que agravaría las
consecuencias nocivas del abuso sexual en sí mismo y dificultaría el
reajuste cognitivo y emocional del menor.
494
reducir la elevada cifra negra de estos fenómenos y conocer la magnitud
real del problema. Sólo a partir de este conocimiento válido y fiable
podrán ponerse en práctica medidas adecuadas y eficaces para reducir su
incidencia” (Montiel, 2016, pp. 127-128).
495
Según los resultados de Baumgartner (2013), las diferencias de género
respecto a las solicitudes sexuales indeseadas online se mantienen durante
toda la adolescencia y la edad adulta hasta los 29 años, momento en el que
desaparecen, a pesar de que los hombres llevan a cabo más conductas
sexuales de riesgo online precisamente a partir de ese momento.
496
Respecto al uso de internet, la mayoría de estudios coinciden en que
aquellos jóvenes que utilizan internet con más frecuencia tienen más
probabilidades de ser objeto de abuso sexual mediado por Internet
(Baumgartner, 2013; De Graaf y Vanwesenbeeck, 2006; Mitchell et al.,
2001; Wolak et al., 2008; Montiel et al., 2009, 2010; Ybarra et al., 2004),
del mismo modo en que aquellos que llevan a cabo conductas arriesgadas
o inadecuadas online, como relacionarse online con desconocidos o
conocerlos en persona (ACPI/PROTÉGELES, 2002; Mitchell et al., 2001;
Montiel et al., 2011), dar información personal (Mitchell, Finkelhor y
Wolak, 2007; Montiel et al., 2011), o insultar a otras personas a través de
Internet (Mitchell et al., 2001; Montiel et al., 2011).
497
alguna forma con él fuera de línea, así como en menores con historia de
abuso físico o sexual.
498
el cyberbullying o el online grooming (Cooper, Quayle, Jonsson y Svedin,
2016; Agustina y Montiel, 2016), cuya consecuencia más grave puede ser
el suicidio. También la recepción indeseada de este tipo de imágenes se
asocia con la vivencia de múltiples formas de victimización online
(Montiel et al., 2016). También se ha confirmado la asociación entre las
conductas de sexting en adolescentes y diversos comportamientos de
riesgo como el consumo de alcohol y drogas, o las relaciones sexuales
prematuras o sin protección (Klettke et al., 2014; Cooper et al., 2016). De
ahí que la implicación en situaciones de sexting pueda considerarse un
indicador de un patrón de comportamiento arriesgado y disfuncional
online y/u offline que sitúa a los menores en una situación de
vulnerabilidad para experimentar graves victimizaciones, tanto dentro
como fuera de la red (Agustina y Montiel, 2016).
Whittle et al. (2013b) destacan que los jóvenes que están marginados de
su familia, en conflicto con sus padres o presentan dificultades familiares
son vulnerables a los acercamientos sexuales online o el grooming online,
según la revisión de numerosos estudios (Mitchell et al., 2001; Mitchell et
al., 2007; Wells y Mitchell, 2008; Wolak et al., 2004, 2008). También un
menor nivel educativo o experiencia con internet de los padres hace a los
menores más vulnerables (Livingstone et al., 2011), pues carecen de
habilidades digitales que les permitan proporcionar un adecuado apoyo
parental online. La influencia de la implicación y la supervisión por parte
de los padres del uso que los jóvenes hacen de internet sobre el riesgo de
sufrir victimización online es todavía incierta, pues los resultados al
respecto son contradictorios y dependen en gran medida de si la
información es proporcionada por los padres o por los propios de menores.
Por ejemplo, hay autores que señalan que cuando los menores son
conscientes de estar siendo supervisados por sus padres llevan a cabo
menos conductas y conversaciones de índole sexual, lo que propicia un
menor riesgo de padecer abuso sexual online (De Graaf y
Vanwesenbeeck, 2006).
499
3.7. Conclusiones
500
atraviesan las barreras de su contexto de origen (familia, escuela, instituto,
etc.) expandiéndose en el tiempo y en el espacio y anulando con ello los
“lugares seguros” de sus víctimas.
En general, los datos indican, por una parte, que una importante
proporción de adolescentes experimentan victimización sexual online y su
incidencia/prevalencia se incrementa con la edad y, por otra, que “existe
una elevada asociación entre la victimización sexual a través de internet
(solicitudes sexuales indeseadas) y otros tipos de victimización, tanto
online como offline, principalmente de tipo sexual o en relación con
padres y cuidadores, lo que convierte a estas víctimas en polivíctimas que
afrontan la violencia como una situación crónica más que como un
acontecimiento puntual” (Pereda et al., 2012, p. 103), por lo que la
victimización sexual online puede ser un potente indicador de que el
menor está experimentando polivictimización online, del mismo modo
que Finkelhor et al. (2009, p. 326) establecen que “para muchos niños
proclives a la polivictimización, la victimización sexual puede ser un
indicador de la transición de víctimas a polivíctimas”. Es por ello que
coincidimos con estos autores cuando destacan la importancia de prestar
atención a un contexto más amplio cuando se identifica cualquier tipo de
victimización sexual infantil, se produzca fuera o dentro de la red.
Para conocer la realidad que viven los y las menores, resulta conveniente
analizar la co-ocurrencia de las distintas formas conocidas de
victimización online y offline en distintas fases del desarrollo, así como
evaluar las consecuencias psicosociales y psicopatológicas producidas por
las diferentes formas de victimización online controlando el efecto de la
polivictimización online y offline para averiguar si tienen repercusiones
diferentes y poder intervenir adecuadamente. También conviene diseñar y
aplicar protocolos de intervención que incluyan la evaluación de la
victimización online y permitan identificar a los menores polivíctimas
para prestarles la atención que necesitan cuanto antes, pues son los que
experimentan mayores niveles de afectación, desajuste global y una
vulnerabilidad generalizada a nuevas victimizaciones.
501
formas, íntimamente relacionadas entre sí y con distintas características y
niveles de gravedad que varían a lo largo de la adolescencia, como el
sexting, el online grooming o el ciberacoso sexual. Además, esta
victimización sexual puede estar relacionada con otras como el bullying
y/o ciberbullying o el abuso sexual tradicional, perjudicando gravemente
el bienestar del menor que las padece y afectando gravemente su
desarrollo psicosocial, situándolo en una situación de vulnerabilidad
generalizada que requiere una atención e intervención inmediata, tanto en
lo que se refiere a la prevención como el tratamiento orientado a la
recuperación psicosocial de los implicados.
Notas -
Marcelo A. Riquert
1. Introducción -
502
Esta aprobación, naturalmente y más allá de las mencionadas reservas,
conlleva una tarea de verificación y, eventualmente, adaptación normativa
a fin de que el propósito general que inspira al Convenio resulte operativo.
En pocas palabras, frente a un problema de carácter eminentemente
transnacional, que desde el ciberespacio supera fronteras logrando que las
consecuencias disvaliosas de las conductas en aquel marco desarrolladas
tengan multiplicado efecto sobre todo el orbe, se busca fijar pautas básicas
comunes en la consideración jurídica del fenómeno procurando evitar su
impunidad.
503
a. un poder de representación de la persona jurídica;
2. Las Partes velarán para que las personas jurídicas que hayan sido
declaradas responsables según lo dispuesto en el art. 12 sean objeto de
sanciones o medidas penales o no penales efectivas, proporcionadas y
disuasorias, incluidas las sanciones pecuniarias.
504
Tras el recordatorio de la parte pertinente del articulado del instrumento
internacional, lo primero que surge claro es que no habría en realidad
déficit evidente para el derecho interno por la carencia de normas penales
específicas, ya que el parágrafo tercero del art. 12, respetuoso de las
posibles diversas configuraciones de los principios jurídicos que rigen en
los países signatarios, admite que cuando demanda por la responsabilidad
de las personas jurídicas, esta pueda ser civil, administrativa o penal.
Además, conforme al parágrafo siguiente, aquella responsabilidad para los
entes ideales lo es sin perjuicio de la penal que correspondiere a las
personas físicas que hubieran cometido la infracción.
Silva Sánchez, comentando el art. 12, dice que un texto como este no
resulta una verdadera novedad en el ámbito de los documentos
internacionales, donde pueden encontrarse otros que se refieren con mayor
amplitud a los entes ideales y con mayor restricción en cuanto consagran
exclusivamente responsabilidad a título penal (lo que ejemplifica con el
art. 14 del corpus juris, en su versión de 1997, o el 13 en su versión del
año 2000), por lo que califica a la previsión del Convenio –en cuanto no
“impone” una “naturaleza jurídica”– como consagratoria de un modelo
relativamente abierto de responsabilidad directa y acumulativa (no
subsidiaria y alternativa) de las personas jurídicas3. Satzger, por su lado,
resalta como un aspecto importante para el derecho penal en que no se ha
logrado armonización en Europa al de la responsabilidad de las personas
jurídicas, ejemplificando con Francia, Austria o España como Estados que
prevén un verdadero castigo penal para ellas, mientras que Alemania y
Grecia siguen sosteniendo que la culpabilidad sólo puede recaer sobre una
persona natural, divergencia ante la que la U.E. “en sus actos jurídicos de
armonización actúa pragmáticamente”, optando por dejar en manos de los
Estados la elección de si las sanciones serán criminales o administrativas4,
tal como se ve en la norma que aquí se alude.
506
Unos quince años atrás abordé en forma indirecta esta cuestión
refiriéndome al problema de la responsabilidad de los proveedores de
servicio, utilizando a tal fin como disparador un conocido precedente
alemán: el caso Somm, también conocido como CompuServe9 o
CompuServe Deutschland10. El propio Ciberconvenio, en su art. 1, inc.
c), nos provee su definición de “prestador de servicio”, entendiéndolo
como: “i) toda entidad pública o privada que ofrece a los usuarios de sus
servicios la posibilidad de comunicar a través de un sistema informático;
ii) cualquier otra entidad que trate o almacene datos informáticos para ese
servicio de comunicación o sus usuarios”.
508
Como decía Hassemer tiempo atrás, es claro que los comportamientos
cuestionables en Internet son tan prohibidos como lo son fuera de ella,
pero el nuevo problema era (sigue siendo, podría agregarse) ¿a quién
haremos responsable? Aclaraba que “A las personas que han introducido
informaciones penalizables en la red no se las puede perseguir, no por
razones normativas sino por razones de orden puramente fáctico, ya que
quizá no las encontraremos nunca. O quizá pueda responsabilizar al
proveedor del acceso a Internet, es decir, a la persona que ha hecho posible
el puente entre aquella que se ha de comunicar y la red. La responsabilidad
penal del proveedor del acceso es desde el punto de vista criminalístico
mucho más evidente, pero desde el punto de vista del derecho penal es,
por lo menos, una salida mucho más espinosa”19. No puede pasarse por
alto que, luego de tres lustros, algo se ha avanzado en materia de forensia
digital y que, aun con nuestro todavía patente déficit normativo en los
códigos de rito para regular la prueba producida en dicho entorno, hoy se
cuenta con mejores posibilidades de individualizar autores. Sin embargo,
no es menos cierto que cuando no se le puede poner un rostro concreto al
responsable, el “atajo” de buscada eficacia, de procurar la evitación de
absoluta impunidad, ha sido echar mano al recurso de quien provee la
estructura tecnológica facilitadora. En la misma línea que el antes citado,
Sieber sostuvo la incorrección de este camino, afirmando que en ningún
caso el ofrecimiento de infraestructura técnica a los usuarios se debe
considerar base suficiente para fundar una condena penal, articulada en la
deficiente comprobación de los contenidos ajenos20. Esto resulta
singularmente indiscutible si se atiende a que los tipos penales de
referencia son dolosos y no imprudentes.
510
Llegados a ese punto, no debiera soslayarse la necesidad de distinguir en
el caso concreto qué clase de proveedor es aquel sobre el que se dirige la
imputación. Es que el tipo de servicio que brinde será determinante en
orden a la clase de participación o colaboración que es capaz de aportar
para la realización de la conducta disvaliosa de que se trate. Una usual
clasificación posible es la que distingue cuatro categorías de proveedores
no necesariamente excluyentes (en algún caso puede una misma empresa
asumir más de una de ellas):
2) Internet access providers: Son los que brindan acceso a la red. Los
proveedores del servicio de red son quienes permiten que los usuarios se
conecten. En este segmento ya tenemos preponderancia clara del factor
empresarial por sobre el individual. Se ha discutido sobre si debe
considerárselos editores o distribuidores de la información. La opción está
lejos de la intrascendencia ya que, en el primer caso, tendrían
responsabilidad por los contenidos incorporados porque debieran
controlar todos los contenidos de los sitios a los que prestan sus servicios.
El segundo caso, que es la tesis imperante en Estados Unidos a partir de
la CDA de 1996, se estima que son responsables sólo si tienen
conocimiento de los contenidos ilícitos. Esto podría suceder porque son
manifiestos y debieron conocerlos, o porque fueron expresamente
notificados de ello y no tomaron las medidas técnicas adecuadas frente a
tal conocimiento27.
Sin embargo, pareciera que sí hay algo a futuro que los ISP podrían hacer
en su calidad de gestores del manejo de la información, en la medida en
que cuenten con el recurso tecnológico adecuado (que evoluciona
constantemente y podría facilitar la tarea): evitar que aquellos contenidos
cuyo retiro fuera ordenado vuelvan a subirse a la red nuevamente, es decir,
impedir que se repita la ofensa sobre la base del mismo material.
514
En cuanto a los denominados “buscadores”38, los más populares son
Google (creado en 1997, llegó en algún momento a ser utilizado por el
90% de los usuarios de Internet); Bing (el oficial de Microsoft); Yahoo
(que absorbió a otro grande de los comienzos: Altavista); Ask (alcanza el
5% del mercado de USA); Baidu (creado en 2000 y usado en China) y
Yandex (el más popular en Rusia)39. Justamente, complementando el
cuadro expuesto en el punto anterior, no debiera soslayarse la situación
que se genera a partir de los buscadores que, como recuerda Molina
Quiroga, son servicios que facilitan enlaces a otros contenidos o incluyen
en los suyos directorios o instrumentos de búsqueda de contenido.
Pertenecen al género “motores de búsqueda”, sistemas informáticos que
indexan archivos almacenados en servidores web. Cuando se pide
información sobre algún tema, el buscador es el que realiza la búsqueda
por medio de palabras claves o con árboles jerárquicos por tema y
proporciona como resultado un listado de direcciones web (sigla URL, del
inglés Uniform Resource Locator) en las que se mencionan temas
relacionados con las palabras claves buscadas. Los “buscadores”,
verdaderos programas robots que recorren las páginas web existentes
accediendo a su contenido, son en definitiva los facilitadores de la
navegación en la red al brindar la ubicación de los sitios que tienen las
particularidades previamente definidas por el usuario a través de las
palabras claves40.
4. La normativa argentina -
518
Lo primero que debiera decirse es que, como resalta Aboso, nuestra ley
penal no regula la responsabilidad penal de las personas jurídicas y, por
ende, cualquier tipo de responsabilidad debe establecerse a nivel de los
individuos que integran el órgano social de la empresa (su presidente,
director, el consejo de vigilancia, interventores, etc.)57. Al menos, en
principio, desde la perspectiva de la carencia de una cláusula general en
la materia58. Lamentablemente, al momento de escribirse esta
presentación para un Encuentro en el que procuraríamos discutir el
anunciado nuevo anteproyecto de reforma integral, no contamos con su
texto y sólo han sido informadas a través de los medios de comunicación
líneas generales de lo que será su contenido. Así, según el presidente de
la Comisión Redactora, Dr. Mariano H. Borinsky, se prevería la
introducción de una cláusula genérica de “actuar por otro” para los casos
de personas que actúan sin revestir la calidad de sujetos cualificados para
el delito (arts. 36 y 37) y también se adoptaría un régimen de
responsabilidad penal de las personas jurídicas con los criterios que ya han
sido fijados en la Ley de Responsabilidad Empresaria 27.401 (arts. 38 y
39), sin dejar en claro si será de orden general o de qué modo se
configurará el eventual numerus clausus. Entre los criterios de
determinación de la pena se distinguirían los correspondientes a personas
físicas de los aplicables a las personas jurídicas (arts. 40 a 42). Dentro de
ellos se anuncia que se mantendría la utilización del instituto del
colaborador eficaz o arrepentido y la posible reducción de pena para la
personal ideal que colabore voluntariamente con la investigación, así
como asignar consecuencias favorables al punto de la exención de pena
cuando se hubieren implementado programas de integridad (compliance).
520
preponderancia similar al que tiene la pena privativa de libertad respecto
de las personas físicas.
Como se ve, dentro de lo que sin duda puede definirse como una verdadera
vorágine legislativa que ofrece novedades constantes, tanto en materia
penal sustancial como formal, carente de toda sistematicidad, conviven
normas vinculadas a este tema dentro y fuera del Código Penal. Incluso
vale la pena resaltar que las previsiones dentro del digesto sustantivo son
relativamente recientes, ya que ingresan a comienzos de esta década de la
mano de los nuevos tipos vinculados a las afectaciones contra el orden
económico y financiero (Título XIII, conf. ley 26.68363), concretado en
la inserción de los arts. 304 y 313 (este último por vía de la ley 26.73364).
Por eso, José D. Cesano señaló que dicho art. 304 significó un quiebre
respecto de la tradición legislativa codificada anterior65.
522
5. Lo que el Ciberconvenio prevé y lo que la ley argentina establece -
Pero no es todo: El art. 2 de la ley 27.401 indica que las personas jurídicas
son responsables por los delitos que hubieren sido realizados directa o
indirectamente con su intervención o en su nombre, interés o beneficio,
incluyendo la posible responsabilidad por el hecho de tercero carente de
atribuciones para obrar en su representación cuando la persona jurídica
hubiere ratificado la gestión, aunque fuera en forma tácita (por ejemplo
cuando, sin más, se limitara a recibir los beneficios de la actuación ilícita
del tercero no autorizado)71. Nuevamente se llama la atención sobre la
amplitud ya que el Ciberconvenio menciona sólo supuestos en que hay
poder o autorización, incluso cuando se refiere a la falta de vigilancia o
control, se alude a lo que hizo alguien autorizado.
524
A su vez, vinculado con lo último, “la omisión de vigilancia sobre la
actividad de los autores y partícipes” es en los arts. 304 del CP y 13 de la
ley 27.430 un factor de graduación de la pena, junto al incumplimiento de
reglas y procedimientos internos, la extensión del daño causado, el monto
del dinero involucrado en la comisión del delito y el tamaño, naturaleza y
capacidad económica de la persona jurídica. También en el art. 8 de la ley
27.401, que agrega a todos los factores mencionados: la cantidad y
jerarquía de los funcionarios, empleados y colaboradores involucrados en
el delito, la denuncia espontánea a las autoridades por la persona jurídica
como consecuencia de una actividad propia de detección o investigación
interna, el comportamiento posterior, la disposición para mitigar o reparar
el daño y la reincidencia72.
La mayor precisión del último instrumento se vincula con que se trata del
primero que incluye la posible valoración como eximente de pena de la
implementación por la persona jurídica de un programa de cumplimiento
normativo o de “integridad” (compliance). Así, su art. 9 prevé que quedará
eximida de pena y responsabilidad administrativa la persona jurídica,
cuando: a) espontáneamente haya denunciado un delito previsto en esta
ley como consecuencia de una actividad propia de detección e
investigación interna; b) hubiere implementado un sistema de control y
supervisión adecuado en los términos de los arts. 2273 y 2374 de la propia
ley, con anterioridad al hecho del proceso, cuya violación hubiera exigido
un esfuerzo de los intervinientes en la comisión del delito; c) hubiere
devuelto el beneficio indebido obtenido. Estos requisitos deben cumplirse
simultáneamente.
525
Puesto en conexión con el Ciberconvenio, entendemos que esta posible
exención de pena que incluye a la de orden administrativo, pero no a la
civil, no colisiona con aquella normativa, no sólo porque deja abierta la
última posibilidad, sino también porque, en definitiva, la adopción del
programa de integridad demuestra que no se trata de un supuesto de
ausencia de vigilancia o control atribuible a la empresa.
527
528
7. Recapitulando -
529
a) El Convenio sobre Ciberdelito de Budapest ha sido aprobado por ley
27.411. Su art. 12 indica que las partes deben adoptar medidas legislativas
para que las personas jurídicas puedan considerarse responsables de las
infracciones que prevé75. Dicha responsabilidad puede resolverse en sede
penal, civil o administrativa y es independiente de la de carácter penal
correspondiente a las personas físicas que hayan cometido la infracción.
Conforme al art. 13, parágrafo 2, las sanciones o medidas penales o no
penales deberán ser establecidas siguiendo la imprecisa premisa de ser
“efectivas, proporcionales y disuasorias”, incluidas las de orden
pecuniario.
Notas -
533
Ediar, Buenos Aires, 2003, p. 144.
10 Un amplio comentario del fallo (AG München, decisión del 28/5/98),
así como de sus críticas, realiza Gustavo E. Aboso en su última obra
Derecho Penal Cibernético, BdeF, Montevideo/Buenos Aires, 2017, pp.
438-444.
11 Cfr. su trabajo “¿Es posible responsabilizar penalmente a los
proveedores de servicio de Internet?”, AA.VV., Cibercrimen, dirigido por
Daniela Dupuy y coordinado por Mariana Kiefer, BdeF, Montevideo-
Buenos Aires, 2017, p. 579.
12 Fuente: www.eleconomista.com.mx.
13 Fuente: www.weforum.org.
14 Así, Freeland, “Internet y Derecho Penal”, JA, nº 6189 del 12/4/00, p.
10. La cita de Sieber corresponde al trabajo “Responsabilitá per la
circolazione di dati nelli reti internazionali di computer”, Rivista
Trimestrale di Diritto penale dell’economia, julio-septiembre 1997,
Cedam, pp. 733-785.
15 Cfr. Municoy, Mariano, “Internet y el art. 18 de la Constitución
Nacional”, CDJP, n° 10-A, 2000, pp. 163-166. El nombrado reseña el caso
recordando que el 22/11/95 fueron registrados los locales de
CompuServe/Alemania, por sospechas contra la sociedad por tolerar
conscientemente la difusión de escritos pedofílicos en varios newsgroups
de la rama “.alt”, lo que advirtió Somm a la casa matriz. Cinco días
después los servicios de policía constataron que los grupos incriminados
figuraban aún en el repertorio pero el acceso era imposible. No obstante,
el 16/2/96 nuevamente estaban disponibles y la sociedad americana y su
filial alemana justificaron la reapertura para poner a disposición los
software de filtro a sus clientes, con lo que entendían satisfacer a la vez la
libertad de expresión y la protección de los menores, reforzando la
responsabilidad de los padres. El Ministerio Público alemán consideró al
día siguiente y notificó a la sociedad alemana que el “parental control” no
exoneraba a la sociedad de toda responsabilidad penal. Calificó el autor
citado a la sentencia de moderada y razonable, a la vez que destacó que la
ley alemana exige un conocimiento del carácter ilícito del contenido, que
no implica en especie conocer cada mensaje puesto, sino solamente la
naturaleza del foro en el que se encuentra el mismo. En el caso, el carácter
ilícito de diferentes grupos no ofrecía ninguna duda y no se trataba de
mensajes ilícitos enviados a grupos de discusión anodinos (ej.:
alt.pedophilia.boys). Además, las autoridades policiales y judiciales
habían advertido a la sociedad sobre la ilegalidad de los grupos en cuestión
(trabajo citado, nota 54, pp. 162-166). Señalé en aquel momento,
concordando con Municoy, que me parecía claro que el esfuerzo de
534
proveer a los clientes de software de control familiar es una iniciativa
loable, pero que no impide la comisión de un delito como lo es la difusión
de escritos pedofílicos y, por lo tanto, se evidenciaba como insuficiente
(obra personal citada, p. 143).
Vinculado, corresponde recordar que en nuestro país, por vía de la ley
25.690 (B.O. 3/1/03), se estableció que las empresas ISP tienen la
obligación de ofrecer software de protección que impida el acceso a sitios
específicos al momento de ofrecer los servicios de Internet,
independientemente de que la forma contractual que perfeccionare el
vínculo fuera escrita o telefónica (art. 1), quedando el control del
cumplimiento de ello a cargo de la Comisión Nacional de Comunicaciones
(art. 2), debiéndose establecer por la autoridad de aplicación las multas
correspondientes al incumplimiento por las empresas infractoras (art. 3).
16 Freeland, “Internet y Derecho Penal”, cit., p. 10.
17 Para ello baste la remisión a Riquert, “Repensando cómo funciona la
ley penal en el ciberespacio”, cit., pp. 145 y ss.
18 Así lo recuerda Enrique Orts Berenguer, quien agrega que la inicial
condena despertó la crítica de la doctrina por la falta de exigencia, por el
C.P. alemán, de control de la información o contenidos difundidos por la
red. Indica además que esto trajo aparejado la sanción de dos normas
aprobadas el 1 de agosto de 1997 (una federal, Teledienstgesetz, TDG, y
otra de todos los estados, Mediendienste-Staatsvertrag, MDStV), cuyos
respectivos parágrafos 5 señalaron que la responsabilidad de los
proveedores queda limitada a aquellos casos en que, teniendo
conocimiento del carácter ilícito de la información difundida no adopten
las medidas necesarias para evitarla, o no la bloqueen o supriman,
contando con mecanismos técnicos para hacerlo. Ello, lógicamente, sin
perjuicio de la responsabilidad por los contenidos propios o seleccionados
por tales sujetos (en su obra conjunta con Margarita Roig Torres, Delitos
informáticos y delitos comunes cometidos a través de la informática,
Tirant lo Blanch, Valencia, 2001, p. 165).
19 Hassemer, Winfried, “Oportunidades para la privacidad frente a las
nuevas necesidades de control y las tecnologías de la información”, NDP,
t. 1999-A, p. 115.
20 Citan Orts Berenguer - Roig Torres, Delitos informáticos… cit., p. 165.
21 Molina Quiroga, “Responsabilidad de los buscadores. Análisis del
tema a la luz del derecho comparado y la jurisprudencia de la Corte
Suprema de Justicia”, en Cibercrimen, cit., p. 553.
22 El art. 45 del CP dice: “Los que tomasen parte en la ejecución del hecho
o prestasen al autor o autores un auxilio o cooperación sin los cuales no
habría podido cometerse, tendrán la pena establecida para el delito. En la
535
misma pena incurrirán los que hubiesen determinado directamente a otro
a cometerlo”. A su vez, la regla complementaria en cuanto prevé la
complicidad secundaria es el art. 46, que dice: “Los que cooperen de
cualquier otro modo a la ejecución del hecho y los que presten una ayuda
posterior cumpliendo promesas anteriores al mismo, serán reprimidos con
la pena correspondiente al delito, disminuida de un tercio a la mitad. Si la
pena fuere de reclusión perpetua, se aplicará reclusión de quince a veinte
años y si fuere de prisión perpetua, se aplicará prisión de diez a quince
años”.
23 Riquert, “Repensando cómo funciona la ley penal en el ciberespacio”,
cit., p. 147. Señalé asimismo que me parecía feliz el ejemplo de Freeland
cuando al tratar el punto señaló un cierto paralelismo con la problemática
de los delitos cometidos por medio de la prensa oral, escrita o televisiva
(cfr. su trabajo ya citado, p. 16). En efecto, el art. 49 del C.P. dice: “No se
considerarán partícipes de los delitos cometidos por la prensa a las
personas que solamente prestaren al autor del escrito o grabado la
cooperación material necesaria para su publicación, difusión o venta”. La
idea detrás es el evitar la censura previa por parte de los particulares.
24 Molina Quiroga, “Responsabilidad de los buscadores…” cit., p. 564.
En nota 41 indica que el fallo citado es del 28/10/14. Aun cuando, como
destaca Aboso, se trata de un leading case que estableció las bases del
contenido y el alcance de la responsabilidad civil de los proveedores
intermediarios de servicios informáticos, su importancia deriva de que en
este y otros casos similares la Corte subrayó la limitación de
responsabilidad respecto del examen de los contenidos publicados por
terceros. La actora, con sentencias favorables en primera y segunda
instancia (en la última, parcial), recibió el rechazo de su recurso
extraordinario mientras que la Corte hizo lugar al de Google y dejó sin
efecto la sentencia en todos sus aspectos (pp. 448-449).
25 Molina Quiroga, “Responsabilidad de los buscadores…” cit., p. 450.
26 Fernández Delpech, Horacio, Internet: su problemática jurídica,
Abeledo-Perrot, Buenos Aires, 2001, pp. 174-176.
27 Ídem, pp. 176-178.
28 Ídem, p. 178.
29 Ibídem.
30 Así, Cherñavsky, “¿Es posible responsabilizar penalmente a los
proveedores de servicio de Internet?”, cit., p. 581. Recuerda que en
EE.UU. la Sección 230 de la Ley de Decencia de las Comunicaciones
(CDA, 1996) establece que ningún proveedor de servicios interactivos
será tratado como editor o vocero de información proporcionada por otro
proveedor de contenidos informativos. En cambio, serán responsables
536
civilmente en caso de violaciones a derechos de propiedad intelectual o
del derecho marcario y por contenidos de pornografía u obscenos
colocados por sus usuarios; responsabilidad dada en función de su
capacidad de supervisar la actividad infractora y por su interés económico.
31 Ídem, p. 450.
32 Ídem, p. 583.
33 Riquert, “Repensando cómo funciona la ley penal en el ciberespacio”,
cit., p. 150.
34 Ídem, p. 166. Rodríguez Pereda, Katitza, “Perú: Tratamiento jurídico
de los contenidos nocivos e ilícitos que circulan en Internet”, R.E.D.I.
(ponencia en el VIII Congreso Iberoamericano de Derecho e Informática,
realizado entre el 21 y 24 de noviembre de 2000 en México y organizado
por la Federación Iberoamericana de Asociaciones de Derecho e
Informática, FIADI), en la medida en que destaca los términos de los arts.
12 y 14 citados, aunque en lo que hace a sus conclusiones cuando el
contenido nocivo es pornográfico indica que “con relación a la
responsabilidad por parte de los proveedores, sean de contenidos, de
servicios o de acceso, sostenemos la irresponsabilidad en principio aunque
algunas normas señalen que son contenidos ilícitos cuando sean vistos por
un menor. Para nosotros (…) son contenidos legales que circulan en
Internet y que si bien ‘pueden ser’ vistos y/o recibidos por menores de
edad, la naturaleza de Internet impide que pueda determinarse la edad del
usuario, por ende el proveedor de contenidos no puede ser responsable
cuando le es imposible diferenciar entre persona mayor o menor de edad,
más aún cuando el menor no es el único usuario de Internet y siendo su
contenido perfectamente lícito y una publicación garantizada por la
libertad de expresión fuera de Internet”. A su vez, cuando se trata de
contenido ilegal, en concreto, pornografía infantil, concluye que “Con
relación a la responsabilidad de los proveedores de servicios, acceso y
contenido, destacamos la importancia que todos los países tengan en claro
que es responsable el proveedor del contenido por hecho propio. Son
responsables los propios proveedores de servicios y/o acceso cuando
provean directamente ellos el contenido. En caso que los contenidos sean
suministrados por un tercero, los proveedores de servicios y acceso no son
responsables”.
35 Molina Quiroga, “Responsabilidad de los buscadores...”, cit., p. 571.
36 Como aclara Fernando Miró Llinares, la neutralidad en el ciberespacio
implica la libertad del usuario a la hora de transitarlo sin fronteras pero
también sin censuras de acceso por parte de nadie. El carácter neutro de
Internet deriva de la imposibilidad de bloquear conexiones entre nodos de
la red, lo que permite que una vez que tengan acceso a Internet, ni siquiera
537
el propio operador pueda impedir el acceso a una web o un servicio
elegido por el usuario (en su obra El cibercrimen. Fenomenología y
criminología de la delincuencia en el ciberespacio, Marcial Pons, Madrid,
2012, p. 155).
37 Palazzi, Pablo A., Los delitos informáticos en el Código Penal,
Abeledo-Perrot, Buenos Aires, 2009, p. 54, nota 41.
38 En síntesis, sitios web a los que se ingresa a través del navegador para
encontrar otros sitios web, imágenes, etc.
39 Para tener una mínima referencia sin más valor que la anécdota, ya que
se trata de datos muy fluctuantes, para 2017 se estimaba que Google tenía
1800 millones de visitas por mes, Bing 500 millones, Yahoo 490 millones,
Ask 300 millones, Baidu 480 millones y Yandex 30 millones.
40 Molina Quiroga, “Responsabilidad de los buscadores...”, cit., pp. 559-
560.
41 Ídem, p. 562.
42 Una lista mayor provee Molina Quiroga, con referencia a la ley chilena
17.336, modificada en mayo de 2010 por ley 20.345; la ley española 34
de 2002 o, en los Estados Unidos, el art. 230 de la Communications
Decency Act (p. 566).
43 De la misma opinión, Ídem, p. 565.
44 Cfr. Eraso Lomaquiz, Santiago E., “Responsabilidad de los buscadores
de Internet”, elDial.com (www.eldial.com, 11/4/12, ref.: elDial.com –
DC1811). En concreto cita una sentencia del Juzgado Nacional en lo Civil
n° 62 del 24/6/11, en la que se rechazó la demanda por daños y perjuicios
interpuesta contra Google Inc. y Yahoo de Argentina S.R.L. (punto 3 y
nota 12).
45 Molina Quiroga, “Responsabilidad de los buscadores...”, cit., p. 567,
donde refiere tal fuera su postura al presentarse como amicus curiae en el
ya mencionado caso “Rodríguez, M. B. vs. Google y Yahoo” ante la
CSJN. Allí, la mayoría enumeró casos de manifiesta ilicitud civil o penal
de contenidos, en los que bastaría la comunicación fehaciente del
damnificado, sin necesidad de otra valoración ni esclarecimiento. Esto,
denuncia el nombrado, abre paso a la instalación de un sistema de
notificación privada, delegando en una empresa la decisión de desvincular
todas las informaciones que cualquier afectado considere lo lesionan o
determinar cuáles son de interés público (p. 568).
46 Ídem, pp. 589-590.
47 Gilbert y Kerr, en su trabajo “¿Delegar en el sector privado? Los PSI
como agentes del Estado”, en AA.VV., Derecho a la intimidad y a la
protección de datos personales, Yves Poullet - María Verónica Pérez
Asinari - Pablo Palazzi coords., Heliasta, Buenos Aires, 2009, p. 227. El
538
riesgo más evidente, afirman, es que la legislación contra la delincuencia
informática a implementar a partir del Ciberconvenio de Budapest
provoque una reducción en el umbral de protección de la intimidad y que
no haya control judicial alguno de la obtención de cierta clase de
información suministrada por los ISP a las fuerzas policiales, lo que
tornaría irrelevantes las garantías constitucionales que descansan en la
doctrina tradicional de agentes del Estado. Se pasaría de prácticas
violatorias al derecho a la intimidad que ocurren sólo ocasionalmente y
bajo supervisión judicial, a otras que podrían llegar a ser parte de la rutina
comercial de los ISP (p. 228).
48 Su texto es el siguiente: “Neutralidad de red. Se garantiza a cada
usuario el derecho a acceder, utilizar, enviar, recibir u ofrecer cualquier
contenido, aplicación, servicio o protocolo a través de Internet sin ningún
tipo de restricción, discriminación, distinción, bloqueo, interferencia,
entorpecimiento o degradación”.
49 El texto íntegro es el siguiente: “Neutralidad de red. Prohibiciones. Los
prestadores de Servicios de TIC no podrán: a) Bloquear, interferir,
discriminar, entorpecer, degradar o restringir la utilización, envío,
recepción, ofrecimiento o acceso a cualquier contenido, aplicación,
servicio o protocolo salvo orden judicial o expresa solicitud del usuario.
b) Fijar el precio de acceso a Internet en virtud de los contenidos,
servicios, protocolos o aplicaciones que vayan a ser utilizados u ofrecidos
a través de los respectivos contratos. c) Limitar arbitrariamente el derecho
de un usuario a utilizar cualquier hardware o software para acceder a
Internet, siempre que los mismos no dañen o perjudiquen la red”.
50 Cherñavsky, “¿Es posible responsabilizar penalmente a los
proveedores de servicio de Internet?”, cit., p. 583. Cita como fuente en
nota 20 al sitio www.wipo.int.
51 Por ej., en 2012, “Megaupload”, con la mediática detención en Nueva
Zelanda de Kim Dotcom tras su pedido de extradición por los Estados
Unidos.
52 Así, en 2009, “Taringa”, demandada entre otras por varias editoriales
del sector jurídico o, en 2011, “Cuevana” (también con ramificación en
Chile y México). En este último caso se involucró también la Ley de
Marcas, lo que determinó la competencia de la justicia federal para su
conocimiento conforme a la Sala V de la CNCC.
53 En el caso “Taringa”, la Sala VI de la CNCC señaló que los autores de
la violación a la propiedad intelectual son los que suben y bajan la obra,
pero los administradores del website son “al menos” partícipes necesarios
de la maniobra y claros conocedores de su ilicitud, por lo que el convenio
que exhiben para pretender exonerarse de responsabilidad no puede ser
539
tenido en cuenta (jueces Filosof y Lucini, res. del 29/4/11). La referencia
corresponde a la existencia de una “pestaña de denuncias” resaltada por la
defensa, donde consta una cláusula que advierte que “los usuarios sólo
podrán asociar a sus posts, links que se refieran a obras que hubiesen sido
lícitamente publicadas en Internet por su titular”. Además, se alegó la falta
de acceso al Registro de la Propiedad Intelectual para cotejar en cada caso
la condición del link posteado.
54 Cfr. Ruiz Rodriguez, Luis Ramón - Rodríguez Moro, Luis, “Lección
3: Delitos relativos a la propiedad intelectual e industrial”, en AA.VV.,
Lecciones y materiales para el estudio del Derecho Penal, Juan M.
Terradillos Basoco coord., t. IV Derecho Penal. Parte Especial (Derecho
Penal Económico), Iustel, Madrid, 2ª ed., 2016, p. 79.
55 Cabe recordar que la reciente ley 27.401 recepta la idea de la
independencia de acciones en su art. 6, que dice: “La persona jurídica
podrá ser condenada aun cuando no haya sido posible identificar o juzgar
a la persona humana que hubiere intervenido, siempre que las
circunstancias del caso permitan establecer que el delito no podría haberse
cometido sin la tolerancia de los órganos de la persona jurídica”.
56 Dentro de nuestro país, bregó singularmente por la adopción de un
sistema de doble imputación el querido Prof. David Baigún, en el que se
incluye una suerte de teoría del delito ad hoc para los entes ideales,
acompañado por un elenco de posibles sanciones y también medidas de
seguridad (en forma más acabada en su obra La responsabilidad penal de
las personas jurídicas (Ensayo de un nuevo modelo teórico), Depalma,
Buenos Aires, 2000).
57 Aboso, Derecho Penal Cibernético, cit., p. 457. Puede acotarse que en
las páginas siguientes provee un análisis de la cuestión en el marco de la
legislación vigente alemana (pp. 458-463).
58 Puede acotarse que avanzaba en esta dirección el anteproyecto de
reforma integral del CP que elaborara la comisión designada por decreto
del PEN 678/12, presidida por el Prof. Zaffaroni, que lamentablemente no
llegó a tener tratamiento parlamentario. Allí había una cláusula general
que, luego, encontraba determinación precisa en la parte especial, como
no puede ser de otra manera, ya que es evidente que hay delitos que no
pueden ser cometidos por una persona jurídica. Sobre el particular me he
extendido en el trabajo titulado “Breve glosa a las sanciones para las
personas jurídicas en el Anteproyecto”, en AA.VV., Anteproyecto de
Código Penal de la Nación, E. R. Zaffaroni - R. M. Carlés dirs., M.
Bailone coord., La Ley, Buenos Aires, 2014, pp. 525-543. Un par de años
antes también ensayó una propuesta generalista el PEN con su Mensaje
638 (10/5/10), dirigido al Congreso con un proyecto que se proponía no
540
sólo la responsabilidad penal de las personas jurídicas con un particular
régimen de sanciones, sino también una formulación genérica de la
cláusula de actuar por otro.
59 B.O. del 1/12/17.
60 Así lo destacó Nicolás Durrieu a comienzos de octubre de 2017 en nota
publicada en El Cronista, versión digital disponible en www.cronista.com.
61 Sobre el particular me extendí en el trabajo “Corrupción y delincuencia
informática: intersecciones”, en AA.VV., Halcones y palomas: corrupción
y delincuencia económica, Eduardo Demetrio Crespo - Nicolás González
- Cuéllar Serrano dirs., Castillo de Luna, Madrid, 2015, pp. 243-264.
62 B.O. del 29/12/17.
63 B.O. del 21/6/11.
64 B.O. del 28/12/11, renumerado por decreto 169/12, B.O. del 6/2/12.
Cabe acotar que su segundo y tercer párrafos introducen pautas
adicionales a las del art. 304, que se discute si se trata de reglas de
invidividualización, reglas para la aplicación o constituyen nuevas reglas
de la ejecución de la pena. Excede el objeto de este trabajo profundizar
esta cuestión. Baste el señalamiento del problema y el recordatorio de que
ambos estaban en el art. 67 del “Anteproyecto de Reforma Integral y
Actualización del Código Penal” del año 2006, que no llegó a tomar
estado parlamentario.
65 Cesano, “Las sanciones a las personas jurídicas en la ley 26.683”, en
Revista de Derecho Penal y Criminología, dirigida por E. Raúl Zaffaroni,
año II, n° 1, febrero de 2012, p. 190.
66 Coincide Juan M. del Sel cuando señala que “una aproximación realista
al asunto” parte de la base de reconocer “que este tipo de responsabilidad
ya existe en nuestra legislación (pese a la habitual negación de los
académicos)” (en su trabajo “La responsabilidad penal de la persona
jurídica. Una visión favorable a su adopción y un comentario crítico al
proyecto de ley”, en Revista de Derecho Penal y Procesal Penal, dirigida
por Bertolino y Ziffer, Abeledo-Perrot, Buenos Aires, n° 2, febrero de
2012, p. 201.
67 Ver, entre las más destacadas, las leyes 19.359 (Cambiario), 20.680
(Abastecimiento), 22.415 (Código aduanero), o las derogadas 24.769
(Penal Tributario y Previsional, cfr. ley 26.735), 24.241 (Sistema
Integrado de Jubilaciones y Pensiones) y 25.246 (Encubrimiento y lavado
de activos de origen delictivo, reemplazada por la 26.688).
Asimismo, Karina R. Perilli de Cozzi incluye las leyes 12.906
(Monopolios), 14.878 (Vinos), 15.885 (Fondos de Inversión), 18.425
(Promoción comercial y desarrollo de supermercados), 18.829 (Agentes
de viajes), 19.511 (Metrología), 19.882 (Identificación de mercaderías),
541
20.425 (Inseminación artificial de animales), 20.974 (Identificación de
potencial humano de la Nación), 22.262 (Defensa de la competencia),
24.051 (Residuos peligrosos) y 24.557 (Riesgos del trabajo), aunque en
algunos de estos casos se trata de regímenes de derecho administrativo
sancionador o ámbitos en que se ha incluido una cláusula de actuar por
otro para que responda la empresa, que es quien tiene la calidad especial
requerida en el tipo (en su trabajo “Nociones sobre los entes ideales como
sujetos de imputación criminal”, en AA.VV., Derecho Penal Económico,
Rubinska y Schrujin Almenar coords., Marcial Pons, Buenos Aires, 2010,
t. 1, p. 597).
Una más adecuada sistematización propuso antes Daniel J. Cesano (en su
obra Estudios sobre la responsabilidad penal de la persona jurídica, Ediar,
Buenos Aires, 2006, cap. 5), distinguiendo casos de responsabilidad
directa de las personas jurídicas (cambiario, abastecimiento, aduanero,
competencia), casos de actuar por otro (residuos peligrosos, riesgos del
trabajo, penal tributario, sistema integrado de jubilaciones, art. 178 del
CP), casos de violaciones al deber de vigilancia (abastecimiento, sistema
integrado de jubilaciones, competencia), casos de penal administrativo
(warrants, aseguradores, encubrimiento y lavado de activos, defensa del
consumidor). Complementario, también hay un profuso detalle de esta
normativa en el siglo pasado en el considerando 4 del voto del Dr. Riggi
en el fallo de la Sala III de la entonces CNCP (hoy, CFCP) en causa nº
2984, “Peugeot Citroen Argentina s/recurso de casación”, resuelta el
16/11/01, LL, 2002-C-442.
68 Sobre el particular me extendí en el capítulo III de la obra Cuestiones
de Derecho Penal y Procesal Penal Tributario, prologado por la Dra.
Susana Camila Navarrine, Ediar, Buenos Aires, 2ª ed., 2004; más
recientemente en Régimen penal tributario y previsional. Ley 24.769
modificada por ley 26.735. Comentada. Anotada, prologado por el Dr.
Terradillos Basoco, Hammurabi, Buenos Aires, 2012; y, en coautoría con
Esteban I. Viñas, en el artículo “La Cámara Nacional de Casación Penal
vuelve sobre el problema de la responsabilidad penal de las personas
jurídicas (causa ‘Suitis S.A.’)”, en elDial.com (www.eldial.com.ar),
sección “Comentario a fallo”, en El Dial Express, edición del 27 de
noviembre de 2009.
69 En el ya mencionado Mensaje nº 638 del PEN, del año 2010, se
señalaba que la adopción de un régimen de responsabilidad penal de las
personas jurídicas venía demandado o recomendado por una serie de
instrumentos internacionales signados por nuestro Estado, entre los que se
cuentan: la Convención de Naciones Unidas contra el Tráfico Ilícito de
Estupefacientes y Sustancias Psicotrópicas (ley 24.072); la Convención
542
Interamericana contra la Corrupción (ley 24.759); la Convención sobre la
lucha contra el cohecho de funcionarios públicos extranjeros en
transacciones comerciales internacionales (ley 25.319) y la Convención
Internacional contra la Delincuencia Organizada Transnacional y sus
Protocolos Complementarios (ley 25.632). Puede acotarse hoy día que
como reflejo de las mencionadas leyes 24.759 y 25.319 se ha sancionado
recientemente la ley 27.401.
70 Insistimos en recordar que el principio de independencia de las
acciones es expresamente establecido en la ley 27.401, art. 6. Además, el
art. 13 de la ley 27.430 indica que “la pena de prisión se aplicará a los
directores, gerentes, síndicos, miembros del consejo de vigilancia,
administradores, mandatarios, representantes o autorizados que hubiesen
intervenido en el hecho punible inclusive cuando el acto que hubiera
servido de fundamento a la representación sea ineficaz”.
71 El art. 3 de la misma ley prevé otra situación que el Ciberconvenio no
menciona, cual es la de la “responsabilidad sucesiva”, en los casos de
transformación, fusión, absorción, escisión o cualquier otra modificación
societaria.
72 En el segundo párrafo se establece qué ha de entenderse por
reincidencia cuando se trate de una persona jurídica, indicando que la
habrá cuando sea sancionada por un delito cometido dentro de los tres (3)
años siguientes a la fecha en que quedara firme una sentencia condenatoria
anterior.
73 Art. 22. “Programa de Integridad. Las personas jurídicas comprendidas
en el presente régimen podrán implementar programas de integridad
consistentes en el conjunto de acciones, mecanismos y procedimientos
internos de promoción de la integridad, supervisión y control, orientados
a prevenir, detectar y corregir irregularidades y actos ilícitos
comprendidos por esta ley.
”El Programa de Integridad exigido deberá guardar relación con los
riesgos propios de la actividad que la persona jurídica realiza, su
dimensión y capacidad económica, de conformidad a lo que establezca la
reglamentación”.
74 Cabe destacar que dicha previsión establece un grupo de elementos o
requisitos mínimos y, además, un vasto elenco de otros que resultan
optativos. En concreto, dice el art. 23: “Contenido del Programa de
Integridad. El Programa de Integridad deberá contener, conforme a las
pautas establecidas en el segundo párrafo del artículo precedente, al
menos los siguientes elementos:
”a) un código de ética o de conducta, o la existencia de políticas y
procedimientos de integridad aplicables a todos los directores,
543
administradores y empleados, independientemente del cargo o función
ejercidos, que guíen la planificación y ejecución de sus tareas o labores de
forma tal de prevenir la comisión de los delitos contemplados en esta ley;
”b) reglas y procedimientos específicos para prevenir ilícitos en el ámbito
de concursos y procesos licitatorios, en la ejecución de contratos
administrativos o en cualquier otra interacción con el sector público;
”c) la realización de capacitaciones periódicas sobre el Programa de
Integridad a directores, administradores y empleados.
”Asimismo también podrá contener los siguientes elementos:
”I. el análisis periódico de riesgos y la consecuente adaptación del
programa de integridad;
”II. el apoyo visible e inequívoco al programa de integridad por parte de
la alta dirección y gerencia;
”III. los canales internos de denuncia de irregularidades, abiertos a
terceros y adecuadamente difundidos;
”IV. una política de protección de denunciantes contra represalias;
”V. un sistema de investigación interna que respete los derechos de los
investigados e imponga sanciones efectivas a las violaciones del código
de ética o conducta;
”VI. procedimientos que comprueben la integridad y trayectoria de
terceros o socios de negocios, incluyendo proveedores, distribuidores,
prestadores de servicios, agentes e intermediarios, al momento de
contratar sus servicios durante la relación comercial;
”VII. la debida diligencia durante los procesos de transformación
societaria y adquisiciones, para la verificación de irregularidades, de
hechos ilícitos o de la existencia de vulnerabilidades en las personas
jurídicas involucradas;
”VIII. el monitoreo y evaluación continua de la efectividad del programa
de integridad;
”IX. un responsable interno a cargo del desarrollo, coordinación y
supervisión del Programa de Integridad;
”X. el cumplimiento de las exigencias reglamentarias que sobre estos
programas dicten las respectivas autoridades del poder de policía nacional,
provincial, municipal o comunal que rija la actividad de la persona
jurídica”.
75 En sus arts. 2 a 10: acceso ilícito; interceptación ilícita; atentados contra
la integridad de los datos; atentados contra la integridad del sistema; abuso
de equipos e instrumentos técnicos; falsedad informática; estafa
informática; infracciones relativas a la pornografía infantil e infracciones
vinculadas a los atentados a la propiedad intelectual y a los derechos
afines.
544
76 Cherñavsky le asigna al alerta previo del usuario o tercero perjudicado
la función de una suerte de condición objetiva de punibilidad de la
conducta del ISP: una vez que conoce el contenido injurioso, xenófobo,
racista, de menoscabo de la integridad sexual de un menor, etc., el omitir
el bloqueo generaría su responsabilidad civil y eventualmente penal por
incumplimiento del deber de retirada frente a los contenidos antijurídicos
ajenos, siguiendo el procedimiento que cada jurisdicción hubiera
determinado para que actúe el proveedor (p. 596).
77 Ídem, p. 595.
78 En el ámbito de CABA hay una situación particular con repercusión
contravencional para el caso de los cibercafés o establecimientos
comerciales que ofrecen servicios de internet. Por ley 863/02 tienen
obligación de instalar en todas las computadoras a disposición del público
filtros de contenido de sitios pornográficos cuando permitan que los
usuarios sean menores de 18 años. Si los clientes son mayores, no media
tal obligación y pueden desactivarse. La no instalación o su desactivación
(con usuarios menores de 18 años) genera la posible imposición de multa
de $ 200 a $ 1000 y/o clausura del local o comercio de hasta 5 días, cfr.
arts. 3.2.2. y 3.2.3. del Código de Faltas (Aboso, Derecho Penal
Cibernético, cit., p. 471).
79 Francisco Pont Vergés deriva el art. 1 de la ley 25.690 la obligación
para los ISP de ofrecer software de protección (filtros) que impidan el
acceso de menores a sitios específicos para adultos, al momento de prestar
su servicio, asignándole posibles consecuencias de responsabilidad penal
por “facilitación” de material pornográfico conforme al art. 128 del CP
(en su trabajo “¿Debe prohibirse y sancionarse penalmente la divulgación
de pornografía?”, en el Suplemento de Derecho y Altas Tecnologías de la
Biblioteca Jurídica Online el Dial.com (www.elDial.com.ar), del 12/9/07,
p. 8). Sin embargo, la lectura de la norma invocada habla de filtros de un
modo general, sin la especificidad indicada, lo que abriría paso a una
posible discusión del caso particular. Para dilucidarlo cobrará particular
significación el factor “conocimiento”, según se explica en el texto
principal.
80 Aboso, Derecho Penal Cibernético, cit., p. 462.
Sebastián Bortnik
545
Replicar el primer artículo del Código Penal argentino pareciera ser
innecesario para el lector promedio de este libro. Sin embargo, construir
sobre dos palabras claves que aparecen en el título es fundamental para
abordar las preguntas cuyas respuestas, espero, sean recorridas en el
presente capítulo, referidas a los delitos informáticos cuyas víctimas son
menores de edad: ¿Cómo podemos prevenirlos? ¿Cuáles son las mejores
formas de abordar la prevención? Y, fundamentalmente, ¿qué relación
tiene la prevención con el sistema judicial y penal en estos casos?
Cuando se habla del Código Penal, como bien se indica en los tres incisos
del art. 1, se abarca siempre “delitos cometidos”. Es decir, ya no sólo hay
un delito sino que también hay delincuente (o delincuentes) y víctima (o
víctimas). Es decir, desde su primera definición el Código Penal limita su
actuación a todas las instancias temporalmente posteriores a la comisión
de un delito. Tanto el Código Penal en particular como el sistema judicial
en general se ubican en esta instancia temporal respecto a la comisión de
los delitos. Sin embargo, cuando la víctima sufre un delito, especialmente
aquellos que tocan aspectos sensibles de la vida, como la sexualidad,
privacidad o integridad; la primera pregunta que surge en su mente es
cómo se podría haber evitado. Sobre eso se trata este capítulo. Para ello
podríamos partir de una base que será sometida a juicio a lo largo de este
capítulo:
546
En términos de delitos, es posible dividir los esfuerzos en…
· Sistema judicial que, una vez cometido el delito, da soporte a las víctimas
para que se juzgue y se condene a los delincuentes.
Un año después del caso Micaela Ortega, me tocó viajar una vez más a la
ciudad de Bahía Blanca (Buenos Aires, Argentina) para dictar charlas. La
misma ciudad donde vivía Micaela Ortega fue víctima, un año después,
de un caso de grooming muy similar. De este caso pude también aprender
550
otras aristas sobre la prevención. Antes de contar el caso, como nexo entre
ambos, amerita citar textualmente parte de las conversaciones que varios
meses después fueron publicadas, cuando finalmente Facebook brindó
información específica sobre las conversaciones entre Micaela Ortega y
Jonathan Luna (a través de su perfil “Rochi de River”)8:
- Micaela: “¿Cuál?”.
551
- Rochi (Luna): “¿Cómo vas a estar vestida?”.
Ese mismo año, mientras dictaba una charla en la ciudad, cité el caso en
cuestión, cuando una mujer desde el fondo levantó la mano, como
queriendo hacer una pregunta. Sin embargo, grande fue mi sorpresa
cuando la mujer me dijo: “la madre de la cual estás hablando soy yo, y acá
vinimos con mi hija a ver esta charla porque el tema nos toca de cerca”.
En ese momento, la madre me (nos) contó cómo había sido el proceso
desde que sospecharon que la niña estaba en problemas, hasta leer los
chats de Facebook, interactuar con el agresor y, finalmente, radicar la
denuncia. Una frase que dijo la madre de la víctima me llamó
poderosamente la atención. Cuando le pidió a su hija que le mostrar a los
chats con “su amiga”, la madre observa las conversaciones y, según sus
propias palabras, “me di cuenta de que era un adulto automáticamente”.
Cuando esa mujer adulta se sentó a ver las conversaciones, necesitó sólo
unos pocos segundos para darse cuenta de que su hija no estaba chateando
con otra adolescente sino con un adulto mal intencionado. Su hija había
estado chateando por más de un año sin darse cuenta de la falsa identidad
552
del perfil. La madre, segura, declaró luego que “estaba segura de que era
un posible caso de grooming”.
En otro caso similar, el mismo año, una madre me contaba que la hermana
mayor de la víctima fue quien avisó a los padres que sospechaba de que la
hermana menor estaba involucrada en un caso de grooming, ya que la niña
había comenzado a hacer preguntas sobre sexo a su hermana mayor, con
un lenguaje muy adulto y muy explícito.
No necesitan más que eso los chicos. Después de eso se debe continuar
con la ayuda de los adultos. De eso se trata la prevención.
554
los casos expuestos en el presente, que muchas veces la ayuda en el mundo
digital se pide en el mundo físico.
La otra cuestión tiene que ver con el rol de los adultos, ya detallado en el
caso anterior. Una de las primeras cosas que hice con Julieta fue pedirle
que avise a su familia para poder hacer la denuncia, a lo que la joven se
negaba rotundamente. Ante mi insistencia, Julieta terminó diciéndome:
“no les quiero contar a mis padres porque no quiero hacerlos pasar por
todo esto”. ¿Cuán al revés estamos haciendo las cosas los adultos si
nuestros hijos/as están ocupados de cuidarnos a nosotros y no al revés?
Como se observó en el caso anterior, el rol de los adultos es fundamental
para que los menores tengan en quién depositar el control de la situación
cuando se sienten amenazados o vulnerados.
555
Soy un convencido de que la prevención en materia de delitos
informáticos debe ser algo constante a lo largo de los años. No obstante,
me ha resultado abrumador ver la cantidad de personas que en el último
tiempo, desde distintos lugares asociados a las víctimas del delito
informático, me han indicado que consideran que unas pocas frases o
palabras podrían haber hecho la diferencia.
La típica consulta sobre si hay que saber la contraseña de las redes sociales
de los menores de edad viene asociada a la generalidad de este
interrogante: ¿Es eficiente controlar qué hacen los menores en Internet?
Conocer la clave de acceso está asociado a otros hábitos como las
herramientas de control parental, el chequeo del historial de navegación,
la computadora en lugares comunes, entre otros.
556
un/a joven adolescente sabrá qué hacer si sale de noche, hay que trabajar
para lograr lo mismo con las tecnologías.
Este paso progresivo del control al empoderamiento nos lleva a otro punto
que es motivo de consulta constante: ¿A qué edad se debe empezar a
hablar de estos temas? La respuesta es muy sencilla: lo antes posible.
Muchas veces, ante esta respuesta, pensando en casos como el grooming
o el sexting, he recibido respuestas como “no se puede hablar de temas
sexuales cuando mi hijo tiene cinco años”. Por supuesto que no. Pero a
esa edad sí se puede empezar a hablar de la privacidad y la intimidad, del
respeto a los demás. La educación sobre estos temas es progresiva, se
deben ir presentando los temas de a poco y se debe prestar atención a dos
ejes fundamentales: romper los tabúes culturales y dar el ejemplo.
5. Conclusiones -
558
En resumen, considero que la prevención de delitos informáticos para
menores de edad es eficiente, cuando cumple con estas características:
Notas -
561