Por una ley de delitos informáticos que protej

y respete los derechos de las ciudadanas en

internet
La potencial ilegalidad de la búsqueda de vulnerabilidades en el sistema informático, la
criminalización del uso del cifrado y la ampliación de la retención de datos de las
comuncaciones son tres elementos particularmente problemáticos del proyecto que requie
un cambio sustantivo de aproximación para que las normas protejan efectivamente a las
personas y el ejercicio de sus derechos en línea.

POR PABLO VIOLLIER

08 de noviembre, 2018 COMPÁRTELO

CC:BY (amanda lohr)-SA

Esta semana ingresó al Senado de Chile, a través del Boletín 12192-25,el tan esperado
proyecto de ley que modifica la legislación sobre delitos informáticos y deroga la
actual Ley 19.223. El proyecto también busca cumplir con los compromisos
internacionales adquiridos por Chile al ratificar el Convenio de Budapest, instrumento
internacional que busca homogeneizar la regulación de los delitos informáticos a nivel
internacional y mejorar la capacidades de colaboración de los distintos países en la
persecución del crimen en línea.

El proyecto de ley se presenta como una oportunidad para subsanar las falencias que la
doctrina y la jurisprudencia han apuntado hace más de una década en materia de delitos
informáticos. Sin embargo, el proyecto en su forma actual desperdicia las oportunidades de
flexibilidad en la implementación del Convenio de Budapest, para que la regulación de los
delitos informáticos se pueda promover la seguridad de las personas en línea y a la
protección de sus derechos fundamentales.

En los siguientes párrafos nos enfocaremos en tres elementos particularmente

problemáticos del proyecto que, sin ser los únicos y más allá del perfeccionamiento de la
técnica legislativa, requieren un cambio sustantivo de aproximación durante el debate
legislativo, para que las normas que se aprueben protejan efectivamente a las personas y el
ejercicio de sus derechos en línea.

Ausencia de una regulación que garantice la legalidad de las

investigaciones de seguridad informática

La capacidad para formar, capacitar y entrenar a profesionales dedicados a la seguridad

informática se ha transformado en una prioridad de los países que buscan mejorar la
ciberseguridad de su industria local, del aparato público y sus ciudadanos. Es por ello que
la detección y el reporte de vulnerabilidades informáticas se han transformado en
actividades que los Estados se han propuesto promover, al punto en que ciertas industrias
han prometido premios en dinero a aquellos que detecten y reporten dichas
vulnerabilidades en sus sistemas.

Para cumplir su labor, los expertos de seguridad informática deben contar con la certeza de
que su actividad es lícita y de que no serán perseguidos por su actuar de buena fe y en
función del interés público. Lamentablemente, la tipificación del delito de acceso ilícito del
proyecto está redactada de forma que abre la puerta para la criminalización de esta
actividad necesaria y deseable.

El artículo 2 del proyecto solo exige que el acceso a un sistema informático se haga de
forma indebida, independiente de si este acceso se realiza de buena o mala fe, o con la
intención de apoderarse o conocer indebidamente la información ahí contenida. Al
considerarse el requisito de “indebido” como sinónimo de “sin permiso”, el experto en
seguridad informática que acceda a un sistema para probar la seguridad del mismo en
búsqueda de vulnerabilidades estará cometiendo un delito, Incluso si su actividad es
realizada de buena fe y con la intención reportar la vulnerabilidad al administrador del
sistema.

El proyecto también establece que vulnerar, evadir o transgredir medidas de seguridad

informática para lograr dicho acceso constituye una agravante para la comisión del delito.
Sin embargo, esta agravante debería ser en realidad un requisito del delito de acceso ilícito,
ya que no puede existir un delito informático si el perpetrador no ha superado algún tipo de
barrera técnica. De lo contrario, la simple infracción de una obligación contractual o de los
términos y condiciones de un sitio web pasarían a constituir un delito castigado por la
ley, desnaturalizando el bien jurídico protegido de los delitos informáticos y entregando
menos incentivos para que los actores del ecosistema digital establezcan medidas de
seguridad efectivas para sus sistemas.

Para subsanar estas imprecisiones y evitar que la legislación criminalice a quienes se

dedican profesional o voluntariamente a mejorar la seguridad de los sistemas informáticos,
se hace necesario que el delito de acceso ilícito tenga como requisito un componente
volitivo que apunte a la mala fe de la acción. Del mismo modo, es necesario que el
proyecto defina qué entiende por “indebidamente”, aclarando que la mera infracción de
obligaciones contractuales o términos y condiciones no son suficientes para cumplir esta
condición. Por último, la superación de una barrera técnica debe ser un requisito del tipo
penal y no un agravante del mismo.

El problema de cifrado

El cifrado de punto a punto es una tecnología clave para promover la seguridad de los
sistemas, la inviolabilidad de las comunicaciones y la privacidad de las personas. El rol del
cifrado de punto a punto en la promoción de la ciberseguridad es tal que la Política
Nacional de Ciberseguridad chilena explícitamente llama a promover su adopción como
forma de mejorar la resiliencia de los sistemas de tratamiento de la información.
Sin embargo, el proyecto se encuentra mal encaminado en esta materia al establecer que el
uso de tecnologías de cifrado se considerará como un agravante de cualquiera de los delitos
contenidos en la ley, en la medida que tenga por principal objetivo obstaculizar la acción de
la justicia. Esta propuesta es preocupante por varias razones.

En primer lugar, criminalizar el cifrado atenta contra el principio de derecho penal que
considera no condenable el auto encubrimiento. Castigar el que la persona oculte su
identidad, acción que formaría parte de la comisión del ilícito, equivale a castigarlo por no
favorecer su propia persecución penal. A lo anterior se suma la dificultad que implicaría el
discernir cuando una tecnología es utilizada “principalmente” para obstaculizar a la
justicia, en particular -como veremos a continuación- cuando el cifrado se ha transformado
en el estándar para la industria a nivel global para garantizar la mayor protección de las
personas en sus comunicaciones. En tal sentido, en un futuro inmediato simplemente será
imposible cometer un delito informático sin haber utilizado alguna forma de tecnología que
involucre cifrado. Así, la redacción del proyecto implicaría que todos los delitos
informáticos estarían -por defecto- agravados por esta causal.

Más allá de la deficiencia de técnica legislativa y la perspectiva del interés jurídico por la
mayor protección de las personas en el uso de las tecnologías, a cuya protección está
orientada la ley de delitos informáticos, la criminalización de la utilización del cifrado de
punto a punto va en el sentido inverso a dicho interés, colocando un severo desincentivo a
las empresas y proveedores de tecnología que utilizan el cifrado como un elemento que
mejora la seguridad de las personas y los sistemas informáticos, lo que es necesario
promover y no desincentivar, como lo reconoce la Política Nacional de Ciberseguridad y
la Resolución sobre Promoción, protección y disfrute de los derechos humanos en Internet
de las Naciones Unidas.

Retención de metadatos: el fantasma del Decreto Espía

Actualmente las empresas proveedoras de internet tienen la obligación de almacenar y

tener a disposición del Ministerio Público un listado actualizado anualmente de los
números IP involucrados en las conexiones que realicen sus clientes. Esto implica que las
empresas de internet tienen que crear gigantescas bases de datos con los datos de tráfico de
las comunicaciones (o metadatos) de todos sus usuarios.

Los metadatos son, como su nombre lo indica, “datos sobre un dato”. No se trata del
contenido de la comunicación, sino de la información que acompaña a dicha comunicación:
fecha, hora, duración, geolocalización, intervinientes e información del dispositivo. Si bien
los proponentes de las políticas de retención de metadatos tratan de convencernos de que se
trata de información inofensiva, que no tienen el carácter de dato personal, lo cierto es que
el análisis de la información de tráfico agregada de una persona permite inferir elementos
sensibles como sus rutinas, hábitos, redes de interacción, sitios con los que interactúa,
perimitiendo inclusopredecir su comportamiento.

Es por ello que en 2014 la Unión Europea declaró inválida la directiva sobre retención de
metadatos por resultar desproporcionada, al aumentar innecesariamente la capacidad de
vigilancia del Estado y vulnerar los derechos de las personas. Del mismo modo, las
políticas de retención de metadatos invierten el principio de inocencia: se recolecta
información sensible de toda la población ante la posibilidad de que alguno de nosotros
cometa un crimen y esa información hipotéticamente pudiese resultar útil en un proceso
penal. Se nos trata a todos como sospechosos hasta que demostremos lo contrario,
contraviniendo lo establecido en el artículo 4 de nuestro código de procedimiento penal.

Por último, la retención de metadatos es contradictoria con la finalidad buscada por la

ciberseguridad. La ciberseguridad se trata de generar la condiciones para que las personas
estén más seguras en el uso del ciberespacio. La retención de metadatos no solo es una
medida desproporcionada que aumenta los costos de las empresas de internet, sino que
implica que estas tendrán que almacenar innecesariamente el historial de nuestras
comunicaciones. Estos datos sensibles serían expuestos innecesariamente a ser mal
utilizados por quienes los almacenan o robados por delincuentes informáticos. Se trata, en
definitiva, de una medida técnico-organizativa contraria a la ciberseguridad.

En Chile ya tuvimos una amplia discusión pública sobre las consecuencias adversas de la
implementación de este tipo de medidas el año 2017, cuando se discutió la eventual
aprobación del llamado Decreto Espía. Esta iniciativa fue rechazada por la Contraloría e
incluso fue rechazada por actores de la academia, la sociedad civil, la comunidad técnica y
de todo el espectro político.

Sin embargo el proyecto de ley busca, en definitiva, aprobar los principales elementos
contenidos por el Decreto Espía a través de la ampliación de la definición de “datos
relativos al tráfico” para incluir información no contemplada hoy en nuestra legislación,
incluyendo la localización de las comunicaciones. Del mismo modo, el proyecto
pretende extender el período de retención de datos de tráfico de uno a dos años -al
igual que el decreto espía- y mantiene que este sería un período mínimo y no máximo.

Las políticas de retención de metadatos han demostrado ser ineficaces para el combate del
delito, vulneratorias de los derechos fundamentales de las personas, costosas para la
industria, contrarias a los principios de ciberseguridad y han sido consistentemente
cuestionadas en diferentes jurisdicciones alrededor del globo. Es por ello que su propuesta
no debería tener lugar en un proyecto de ley que busca generar las condiciones para
mantener la seguridad de las personas.

Aún estamos a tiempo

La buena noticia es que en el proceso legislativo existe la oportunidad de enmendar el

rumbo del proyecto de ley y que se ingresen las enmiendas necesarias para subsanar sus
falencias. Es labor de los parlamentarios modificar la iniciativa de forma tal que se
eliminen sus elementos contradictorios y se perfeccionen todos aquellos que requieren ser
afinados.

El Convenio de Budapest otorga a los países la flexibilidad necesaria para que implementen
sus obligaciones de una manera consistente con el ejercicio de los derechos fundamentales.
Es responsabilidad del gobierno y de los parlamentarios aprovechar esa flexibilidad para
legislar protegiendo los derechos de los ciudadanos, un compromiso fue expresamente
afirmado en la discusión parlamentaria sobre la ratificación del Convenio de Budapest,
tanto en la comisión de relaciones exteriores de la Cámara como del Senado. El ejecutivo
se comprometió a que la implementación del Convenio de Budapest no iba a significar un
debilitamiento de los estándares procesales, derechos y garantías al interior del proceso
penal. Algunos parlamentarios, como el diputado Vlado Mirosevic, incluso condicionaron
su voto a dicho compromiso explícito.

Esperamos que el ejecutivo honre la palabra empeñada y se abra a modificar el proyecto a

fin de que este cumpla su objeto de proteger los derechos de los ciudadanos en el
ciberespacio.