Buscar:
 PGR - SINALEVI >> Pronunciamientos >> Resultados >> Opinión Jurídica 057 del 24/04/2006
Internet
Año:
Buscar en:
Menú de Búsquedas Avanzadas
Texto del pronunciamiento
Resumen
Normativa relacionada
Relación con otros pronunciamientos
Descriptores
Publicación del pronunciamiento
Observaciones
Opciones:
Guardar
Imprimir

Ficha del Pronunciamiento
ß&Ø¥ß%
Texto Opinión Jurídica 057
 
  Opinión Jurídica : 057 - J   del 24/04/2006   

OJ-057-2006
24 de abril de 2006
 
 
Señor
Embajador Javier Sancho Bonilla
Director General de Política Exterior
Ministerio de Relaciones Exteriores y Culto
S          0
 
Estimado señor Embajador:
 
            Con la aprobación de la señora Procuradora General de la República, damos respuesta a su oficio número 162-05-OAT-PE de 5 de mayo de 2004, donde solicita el criterio de este órgano técnico jurídico sobre la posible adhesión de Costa Rica al Convenio sobre la Ciberdelincuencia, emanado del Consejo de Europa.  Este Convenio entró en vigencia el 1 de julio de 2004 como fruto de la reunión internacional de expertos efectuada en Budapest, Hungría, en noviembre de 2001.
 
De previo a entrar al análisis de lo consultado, sírvase recibir nuestras excusas por el tiempo demorado al efecto, dada la excesiva carga de trabajo que soporta la Procuraduría.
 
I.                   Consideraciones previas
 
            Desde su promulgación, diversos países europeos no miembros de la Comunidad Económica, así como otras naciones no europeas, entre estos, Estados Unidos, Japón, Canadá y Sudáfrica vieron con interés el contenido del Convenio sobre la Ciberdelincuencia, en virtud de que representaba una oportunidad valiosa para lograr consenso internacional en la persecución de las nuevas formas de delincuencia ejecutadas a través de los medios telemáticos. Los países mencionados son los que han suscrito el Acuerdo fuera de la Unión Europea, con miras a incorporarlo a su legislación interna ().
 
            Igualmente, la Organización de Estados Americanos ha realizado numerosas reuniones con sus países miembros, procurando encontrar respuestas conjuntas para enfrentar conductas que las más de las veces no encuentran reacción en los ordenamientos jurídicos penales latinoamericanos, o se encuentra mal regulada, como es el caso de Costa Rica.  Esa inexistencia normativa se explica no por negligencia o desinterés del legislador, sino principalmente por el avance tan acelerado de las tecnologías de información y comunicación que dejan muy atrás las previsiones penales en cuanto a conductas sancionables.  Ello es, pues, una consecuencia lógica de un fenómeno mundial al que el Derecho positivo apenas está comenzando a dar respuestas adecuadas. 
 
En su momento, en la reunión efectuada en Costa Rica en el año 2000, los países miembros de la OEA decidieron optar por la elaboración de “leyes-tipo” para que fuesen aplicables a los países participantes en el evento.  Desde ese momento, la representación de Costa Rica propuso más bien la creación de un Convenio Interamericano sobre Delitos Informáticos, por las enormes ventajas que representa la normativa supranacional.
 
Posteriormente, en el Foro Legislativo en Materia de Delitos Cibernéticos, efectuado en la Ciudad de México y organizado por Organización de Estados Americanos, el Departamento de Estado y la Secretaría de Justicia del Gobierno de los Estados Unidos, a finales de enero y principios de febrero de 2004, se evaluó el desarrollo de la normativa latinoamericana en la materia, llegando a la conclusión de que el tema de la ciberdelincuencia tenía poco o ningún avance en las legislaciones del continente, salvo contadas excepciones.
 
En ese foro de conocimiento una vez más se reiteró la necesidad de que los países integrantes del continente americano contasen con un convenio internacional sobre delitos informáticos, tomando en cuenta, entre otros motivos, el fracaso de la solución de leyes-tipo en materia represiva que se quiso implantar en el pasado como solución para las diferentes naciones participantes que deseaban actualizar su legislación. Muestra de ello es que aún existen numerosos países que carecen absolutamente de leyes sobre delitos informáticos, tales como República Dominicana, Panamá, Nicaragua, Guatemala, etc. y otros que las tienen de manera deficiente o insuficiente, como Chile, Paraguay o Costa Rica.  En ese mismo Foro, además, se presentó por primera vez a los países participantes el Convenio sobre Ciberdelincuencia, emitido por el Consejo de Europa. Precisamente, una de las conclusiones a las que se llegó era la posibilidad de suscribir el Convenio europeo y pensar en la posibilidad de elaborar, posteriormente, un Tratado propiamente del continente americano en tan importante temática (). De allí surge la iniciativa que ahora nos ocupa tendiente a que sea parte integrante de nuestro Ordenamiento Jurídico.
 
II.                El Convenio Internacional sobre Ciberdelincuencia
 
El que se utilice un cuerpo normativo como el convenio internacional ofrece mayores garantías de cumplimiento que las que posee, por ejemplo, las “leyes-modelo” o “leyes-tipo”.  Recordemos que, por su naturaleza, el convenio internacional tiene un rango superior al de las normas comunes, situación que debería obligar al legislador, sin necesidad de recordatorio posterior, a reformar la normativa nacional que no se adecue a los términos del tratado.  Además, el pacto internacional tiene una aplicación territorial tan amplia como países lo suscriban.  Ello implica además que, cualquier modificación posterior que se le haga a su contenido debería tener repercusiones inmediatas en todos los países signatarios originales, quienes quedarían obligados a aprobar las respectivas reformas y, otra vez, modificar su legislación interna.  Además, es bien sabido que los convenios internacionales cuentan con la participación de técnicos, juristas y demás profesionales expertos en la materia que se trate, por lo que suele ser más fácil llegar a acuerdos de fondo.
 
Por otra parte, precisamente por la extensa cantidad de redes de cómputo dentro y fuera de los países, así como la incursión de la Internet, nos enfrentamos a un serio problema de territorialidad que sólo puede verse solventado con la aplicación de acuerdos internacionales y la adopción de medidas técnicas uniformes en los diferentes territorios donde se pretenda perseguir penalmente a los infractores cibernéticos.  Consideramos que cualquier convenio internacional que pretenda dar soluciones globales debe contemplar en su contenido la posibilidad de tener el territorio de sus suscriptores como uno solo, y reprimir las conductas delictivas efectuadas fuera de sus fronteras con la misma energía como si el hecho hubiese ocurrido en su propio territorio. Ello no es novedoso, pues desde hace décadas existen tratados que ya contemplan esa posibilidad, tales como los acuerdos internacionales sobre drogas o sobre protección de la niñez.
 
Resulta de interés público que el Estado costarricense preste atención y procure suscribir convenios internacionales sobre temas que traten de problemáticas jurídicas y situaciones que involucren la aplicación de herramientas tecnológicas, ya de por sí de urgente corrección en nuestro país.  La rama de las comunicaciones es sin duda alguna el campo donde el desarrollo tecnológico actual ha tenido su mayor expresión y ello se evidencia en las múltiples opciones con que cuenta el ciudadano para realizar sus contactos, la velocidad, prontitud y seguridad con que puede ejecutarlas, y la constancia de los sistemas remotos, en tanto servicios públicos.
 
Como consecuencia de esas facilidades, aunado al fenómeno mundial de la Internet, como medio de comunicación por excelencia que engloba a su vez otras posibilidades de comunicación muy diferentes de las tradicionales, la actividad académica e informativa original ha dado paso a una enorme afluencia de tipo más comercial y financiero que provocó en pocos años una nueva forma de relacionarse entre las personas, independientemente del idioma, territorio, estrato social, cultura de ellas. 
 
En el caso concreto de los delitos informáticos o “ciberdelitos”, como los denomina el convenio, constituyen la cara oculta y la aplicación torcida de las ventajas tecnológicas, donde personas inescrupulosas aprovechan los enormes beneficios de las telecomunicaciones para llevar a cabo actos condenables y que, increíblemente, pueden quedar sin sanción en virtud de la ausencia de normas penales claras o inteligibles que a fin de cuentas resultan de difícil o imposible aplicación por el juez.  De allí la urgencia de echar mano de las posibles soluciones que brinde el derecho positivo penal para lograr prevenir y sancionar estas lamentables conductas.
 
            La redacción que encontramos en los artículos del Convenio es más cuidadosa, depurada y técnica que la existente en la legislación nacional. Bajo esta perspectiva, resulta relevante que el legislador enmiende con prontitud los tipos penales actuales que obran en el Código Penal y en otras leyes especiales, y haga lo propio en el proyecto de Código Penal que actualmente se encuentra en discusión en la Asamblea Legislativa.
 
            En el nivel legislativo, consideramos que a Costa Rica le resultaría de especial interés acogerse al Convenio sobre la Ciberdelincuencia. Quizás la consecuencia principal de la adopción plena de los términos del tratado es que se reflejaría en un remosamiento de la confusa legislación penal costarricense que intenta regular el tema, mejora los términos y conceptos en que están redactados los tipos penales, y crea nuevas figuras que aún no encuentran debida regulación en las normas represivas.  Sin perder de vista que se trata de materias aún muy novedosas y de poco desarrollo doctrinal, hemos encontrado que en Costa Rica la legislación penal (no sólo la que contempla el propio Código Penal, sino otras leyes especiales que contienes tipos penales informáticos, según mencionaremos) no mantiene un contenido adecuado para perseguir, prevenir o reprender las conductas lesivas de los delincuentes informáticos. Más aún, el propio legislador nacional ha cometido yerros importantes a la hora de elaborar y emitir tipos penales, pues no sólo ha promulgado normas que bien podrían tenerse por contradictorias, sino que ha suprimido inexplicablemente algunas de las pocas existentes.  Si bien no deseamos realizar aquí un análisis a fondo de las normas penales existentes en Costa Rica, sí es necesario hacer al menos mención de estas importantes deficiencias legislativas para apoyar nuestra opinión de que el Convenio sobre la Ciberdelincuencia debe ser aprobado con urgencia ().
 
III.             Observaciones al Convenio sobre Ciberdelincuencia
 
Deseamos hacer un breve comentario de algunos de los numerales que componen el Convenio sobre la Ciberdelincuencia (principalmente normas sustantivas) con miras a justificar aún más la necesidad de que Costa Rica suscriba con prontitud este acuerdo internacional y proceda en lo posible a llevar a cabo importantes reformas legislativas en la materia. No se trata de un examen exhaustivo de los artículos que componen el tratado pues resultaría poco pertinente para los efectos de esta respuesta. Tampoco ahondamos en el análisis de los tipos penales del ordenamiento penal costarricense pues consideramos que rebasaría los límites de este trabajo. No se trata, por supuesto, de concluir prematuramente que no es necesaria más legislación en ciberdelitos, sino más bien mostrar las limitaciones normativas existentes en nuestro país y señalar la necesidad de crear nuevas figuras que respondan a las necesidades sociales producidas por la incorporación de las nuevas tecnologías de información y comunicación en nuestro medio.
 
Artículo 1.  Definiciones
 
Este numeral incorpora tan sólo cuatro definiciones, sobre los que se entenderá por “sistema informático”, “datos informáticos”, “proveedor de servicios” y “datos sobre el tráfico”.
 
Lo primero que llama la atención es que no se incluye el concepto de “sistema de información”, sino que sólo se limita a los sistemas informáticos, esto es, las redes o conexión lógica entre computadoras, en cualquier tipo de plataforma. Ello no obsta para que nuestro legislador, en su momento, incluya correctamente ambos tipos de sistemas dentro de la protección normativa, pues no se trata de los mismos conceptos, sino que cada uno de ellos tiene aplicaciones diferentes, sin guardar siquiera relación de jerarquía o de género a especie.
 
Medidas que deberán adaptarse en el plano nacional:
 
Con miras a lograr un nivel normativo equivalente dentro de los territorios parte
del Acuerdo, el Convenio sobre Ciberdelincuencia contempla una serie de disposiciones que procuran uniformar los tipos penales en los diferentes Ordenamientos Jurídicos. Tales disposiciones se refieren a las conductas que deben tenerse como punibles en cada país, según veremos. Nos limitaremos, según explicamos antes, a reseñar sólo si en el Código Penal de Costa Rica existen tales figuras o si deberán crearse posteriormente.  Se trata de figuras contra la confidencialidad, la integridad y la disponibilidad de los datos y los sistemas informáticos.
 
Artículo 2.  Acceso ilícito
 
            Se refiere al acceso no autorizado a sistemas informáticos. Puede incluir la intención manifiesta de obtener datos informáticos u otro deseo igualmente ilícito.
 
Nuestro país cuenta con esta figura en otras leyes especiales, aparte del Código Penal.  Concretamente, el Código de Normas y Procedimientos Tributarios No.4755 de 3 de mayo de 1971 contiene una disposición atinente al tema, en materia tributaria.
 
“ARTÍCULO 94.- Acceso desautorizado a la información
 
Será sancionado con prisión de uno a tres años quien, por cualquier medio tecnológico, acceda a los sistemas de información o bases de datos de la Administración Tributaria, sin la autorización correspondiente.”
 
(Así reformado por el artículo 2º de la ley No.7900 de 3 de agosto de 1999)
 
Igualmente, el numeral 221 de la Ley General de Aduanas No. 7557 de 20 de octubre de 1995 indica:
 
“ARTÍCULO 221.- Delitos informáticos
 
Será reprimido con prisión de uno a tres años quien:
 
a)Acceda, sin la autorización correspondiente y por cualquier medio, a los sistemas informáticos utilizados por el Servicio Nacional de Aduanas.
b)Se apodere, copie, destruya, inutilice, altere, facilite, transfiera o tenga en su poder, sin autorización de la autoridad aduanera, cualquier programa de computación y sus bases de datos, utilizados por el Servicio Nacional de Aduanas, siempre que hayan sido declarados de uso restringido por esta autoridad.
c) Dañe los componentes materiales o físicos de los aparatos, las máquinas o los accesorios que apoyen el funcionamiento de los sistemas informáticos diseñados para las operaciones del Servicio Nacional de Aduanas, con la finalidad de entorpecerlas u obtener beneficio para sí o para otra persona. (Los subrayados no son del original)
 
Por último, el artículo 196 bis del Código Penal No.4573 de 4 de mayo de 1970 se refiere a la violación de las comunicaciones electrónicas, con un contenido amplio que procura abarcar cualquier conducta que lesione las comunicaciones íntimas de los ciudadanos:
 
"ARTÍCULO 196 bis.- Violación de comunicaciones electrónicas.-
 
Será reprimida con pena de prisión de seis meses a dos años, la persona que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere, accese, modifique, altere, suprima, intercepte, interfiera, utilice, difunda o desvíe de su destino, mensajes, datos e imágenes contenidas en soportes: electrónicos, informáticos, magnéticos y telemáticos. La pena será de uno a tres años de prisión, si las acciones descritas en el párrafo anterior, son realizadas por personas encargadas de los soportes: electrónicos, informáticos, magnéticos y telemáticos."
(Así adicionado por la ley No.8148 de 9 de noviembre de 2001).
 
Artículo 3.  Intercepción ilícita
 
            Regula la interceptación dolosa y sin autorización, utilizando medios técnicos, de datos en un sistema informático o de transmisiones no públicas. La totalidad de los conceptos que abarca este numeral no se hayan recogidas íntegramente en la legislación costarricense. Ya hemos citado los tipos penales correspondientes, aunque debe tenerse en cuenta que los dos primeros se refieren exclusivamente a materia tributaria y aduanera, no aplicándose a otros casos similares.  El citado artículo 196 bis del Código Penal sanciona la interceptación de datos y otros elementos si son llevados a cabo sin consentimiento del titular de los datos y si se hace con la intención de vulnerar la intimidad o secretos del afectado. Remitimos a él nuevamente para corroborar la existencia de los verbos “interceptar” e “interferir” y “desviar de su destino”, en referencia a mensaje, datos e imágenes contenidas en cualquier tipo de soporte, sea este electrónico, informático, magnético o telemático.
 
Además, el literal 229 bis (), párrafo primero, del mismo  cuerpo normativo pena al que por cualquier medio accese sin autorización los datos registrados en una computadora:
 
"ARTÍCULO 229 bis.- Alteración de datos y sabotaje informático.-
Se impondrá pena de prisión de uno a cuatro años a la persona que por cualquier medio accese, borre, suprima, modifique o inutilice sin autorización los datos registrados en una computadora.
(…)”
(Así adicionado por la ley No.8148 de 9 de noviembre de 2001. El subrayado no es del original)
 
Artículos 4 y 5.  Interferencia en los datos e Interferencia en el sistema
 
            La interferencia en lo datos consiste en conductas que causen daños, borren, deterioren, alteren o supriman datos informáticos. Se contempla también la posibilidad de que tales conductas provoquen daños graves. 
 
Por su parte, la interferencia en el sistema se describe como una obstaculización grave, dolosa e ilegítima del funcionamiento de un sistema informático mediante la introducción, transmisión, daños, borrado, deterioro, alteración o supresión de datos informáticos.
 
El artículo 229 bis de nuestro Código Penal, ya citado, prevé los verbos “borrar”, “suprimir”, “modificar” e “inutilizar”, por lo que creemos que esta figura se halla debidamente contemplada en nuestra legislación punitiva.  En sus párrafos finales, contempla sanciones en caso de que, con ocasión de la alteración de datos o sabotaje informático, se entorpeciese o inutilizase una base de datos o sistema informático. Finalmente, el mismo artículo en su párrafo final dispone la penalización según el resultado lesivo de la conducta:
 
“ARTÍCULO 229 bis.- Alteración de datos y sabotaje informático.-
(…)
Si como resultado de las conductas indicadas se entorpece o inutiliza el funcionamiento de un programa de cómputo, una base de datos o un sistema informático, la pena será de tres a seis años de prisión. Si el programa de cómputo, la base de datos o el sistema informático contienen datos de carácter público, se impondrá pena de prisión hasta de ocho años."
(Así adicionado por la ley No.8148 de 9 de noviembre de 2001. Los subrayados no son del original)
 
En el mismo sentido, el artículo 111 de la Ley de Administración Financiera de la República y Presupuestos Públicos N° 8131 de 18 de setiembre de 2001, señala las sanciones contra funcionarios públicos o personas particulares que causen daños a sistemas informáticos de la administración financiera y de proveeduría de las instituciones públicas.
 
“ARTÍCULO 111. Cometerán delito informático, sancionado con prisión de uno a tres años, los funcionarios públicos o particulares que realicen, contra los sistemas informáticos de la administración financiera y de proveeduría, alguna de las siguientes acciones:
a.- Apoderarse, copiar, destruir, alterar, transferir o mantener en su poder, sin el debido permiso de la autoridad competente, información, programas o bases de datos de uso restringido.
b.- Causar daño, dolosamente, a los componentes lógicos o físicos de los aparatos, las máquinas o los accesorios que apoyan el funcionamiento de los sistemas informáticos.” (Los subrayados no son del original)
 
En materia tributaria, el numeral 94 del Código de Normas y Procedimientos Tributarios No.4755 de 3 de mayo de 1971 contiene una disposición referente al tema de daños, aunque siempre referida al campo tributario:
 
“ARTÍCULO 95.- Manejo indebido de programas de cómputo
Será sancionado con pena de tres a diez años de prisión, quien sin autorización de la Administración Tributaria, se apodere de cualquier programa de cómputo, utilizado por ella para administrar la información tributaria y sus bases de datos, lo copie, destruya, inutilice, altere, transfiera, o lo conserve en su poder, siempre que la Administración Tributaria los haya declarado de uso restringido, mediante resolución.”
(Así reformado por el artículo 2º de la ley No.7900 de 3 de agosto de 1999. Los subrayados no son del original)
 
Por su parte, el numeral 221 de la Ley General de Aduanas No. 7557 de 20 de octubre de 1995, inciso b), sanciona, entre otras conductas, el destruir, inutilizar o alterar cualquier programa de computación y sus bases de datos que hayan sido declaradas de uso restringido:
 
“ARTÍCULO 221.- Delitos informáticos:
 
a) (…)
b) Se apodere, copie, destruya, inutilice, altere, facilite, transfiera o tenga en su poder, sin autorización de la autoridad aduanera, cualquier programa de computación y sus bases de datos, utilizados por el Servicio Nacional de Aduanas, siempre que hayan sido declarados de uso restringido por esta autoridad.
c) (…)”   (Los subrayados no son del original)
 
Artículo 6.  Abuso de los dispositivos
           
            Sanciona la tenencia, producción, venta, obtención para su utilización, importación, difusión  u otra forma de puesta a disposición de programas de cómputo o similares que sirvan para el acceso, intercepción, interferencia de datos o de sistemas informáticos (incluyendo las conductas vistas arriba: destrucción, inutilización, alteración, etc.) o bien, contraseñas, códigos de acceso o datos informáticos o similares que permitan acceder a un sistema informático.  En el caso de la creación o tenencia de dispositivos tales, el propio convenio prevé la posibilidad de que se exima de responsabilidad la conducta si los programas de cómputo no han sido creados originalmente para fines ilícitos.
 
            No existe en Costa Rica una disposición similar. Se hace necesaria su creación legislativa expresa y que su contenido tenga alcances generales.
 
Más aún, el delito denominado “suplantación de personalidad” tampoco se encuentra contemplado en la legislación nacional, en cuanto al uso ilegítimo de nombres de usuario y claves de acceso para acceder a sistemas de información. En realidad, disposiciones que penan tal conducta se encuentran previstas apenas en materia aduanera y tributaria.
 
            En el Código Tributario se pena la facilitación del código y clave de acceso a los sistemas tributarios para que otra persona los utilice. Igualmente (y es uno de los dos  únicos casos existentes en nuestra legislación) se pena la misma conducta si es realizada de manera culposa:
 
ARTÍCULO 96.- Facilitación del código y la clave de acceso
Será sancionado con prisión de tres a cinco años, quien facilite su código y clave de acceso, asignados para ingresar a los sistemas de información tributarios, para que otra persona los use.
(Así reformado por el artículo 2º de la ley No.7900 de 3 de agosto de 1999
 
ARTÍCULO 97.- Préstamo de código y clave de acceso
Será sancionado con prisión de seis meses a un año quien, culposamente, permita que su código o clave de acceso, asignados para ingresar a los sistemas de información tributarios, sean utilizados por otra persona.
(Así reformado por el artículo 2º de la ley No.7900 de 3 de agosto de 1999)
 
            Por su parte, la Ley General de Aduanas prevé un caso interesante, pues introduce un tipo de responsabilidad objetiva para la persona en razón de poseer un código o nombre de acceso y clave, pues considera que su utilización equivale a la firma autógrafa de la persona que represente:
 
“ARTÍCULO 105.- Código y clave de acceso
Los funcionarios, auxiliares de la función pública aduanera y demás usuarios serán responsables del uso del código de usuario y de la clave de acceso confidencial asignados y de los actos que se deriven de su utilización.
La clave de acceso confidencial equivale a la firma autógrafa de los funcionarios, auxiliares y demás usuarios para todos los efectos legales.”  (Los subrayados no son del original)
 
“ARTÍCULO 106.- Prueba de los actos realizados en sistemas informáticos
Los datos y registros recibidos y anotados en el sistema informático constituirán prueba de que el auxiliar de la función pública aduanera realizó los actos que le corresponden y que el contenido de esos actos y registros fue suministrado por este, al usar la clave de acceso confidencial.
Los funcionarios o las autoridades que intervengan en la operación del sistema serán responsables de sus actos y de los datos que suministren. Cualquier información transmitida electrónicamente por medio de un sistema informático autorizado por la Dirección General de Aduanas, será admisible en los procedimientos administrativos y judiciales como evidencia de la transmisión de esa información.”  (Los subrayados no son del original)
 
Lógicamente, la misma Ley General de Aduanas también castiga la entrega a terceros no autorizados del nombre de usuario y palabras de acceso, incluyendo si el hecho ocurre de manera culposa.
 
“ARTÍCULO 221.- Delitos informáticos
Será reprimido con prisión de uno a tres años quien:
(…)
d) Facilite el uso del código y la clave de acceso asignados para ingresar en los sistemas informáticos. La pena será de seis meses a un año si el empleo se facilita culposamente.”
 
“ARTÍCULO 222.- Agravante
La pena será de tres a cinco años cuando, en alguna de las causales del artículo anterior, concurra una de las siguientes circunstancias:
a) Intervengan en el hecho tres o más personas, en calidad de autoras.
b) Intervenga, en calidad de autor, instigador o cómplice, un funcionario público en ejercicio de sus funciones, con ocasión de ellas o con abuso de su cargo.”
 
Finalmente, la Ley de Administración Financiera de la República y Presupuestos Públicos N° 8131 de 18 de setiembre de 2001 también castiga la entrega a personas no autorizados del código y clave de acceso, aunque no si el hecho se llevase a cabo de manera culposa.
 
“ARTÍCULO 111. Cometerán delito informático, sancionado con prisión de uno a tres años, los funcionarios públicos o particulares que realicen, contra los sistemas informáticos de la administración financiera y de proveeduría, alguna de las siguientes acciones:
(…)
 
“c.- Facilitar a terceras personas el uso del código personal y la clave de acceso asignados para acceder a los sistemas.
(…)”
 
Artículos 7.       Falsificación informática
 
           En este artículo se incluye un delito informático de gran relevancia, como es la falsificación informática.  Según los términos del Convenio sometido a consulta, la falsificación informática incluye la introducción, alteración, borrado o supresión de datos informáticos con la intención de que se tengan como auténticos para cualquier efecto legal.
 
           El Código Penal de Costa Rica, según hemos ya mencionado en su momento, contempla, con esos mismos términos, la alteración de datos y el sabotaje informático, en el cuestionado artículo 229 bis, y sanciona el acceso, borrado, supresión, modificación o inutilización no autorizada de datos registrados en una computadora.  Añade mayor pena si con el actuar ilícito se entorpece o inutiliza además un programa de cómputo, base de datos o sistema informático.  Como detalle adicional, la pena se eleva aún más si el ataque es cometido contra sistemas de información de naturaleza pública:
 
"ARTÍCULO 229 bis.- Alteración de datos y sabotaje informático.-
Se impondrá pena de prisión de uno a cuatro años a la persona que por cualquier medio accese, borre, suprima, modifique o inutilice sin autorización los datos registrados en una computadora.
Si como resultado de las conductas indicadas se entorpece o inutiliza el funcionamiento de un programa de cómputo, una base de datos o un sistema informático, la pena será de tres a seis años de prisión.
Si el programa de cómputo, la base de datos o el sistema informático contienen datos de carácter público, se impondrá pena de prisión hasta de ocho años."
(Así adicionado por la ley No.8148 de 9 de noviembre de 2001. Los subrayados no son del original)
 
Artículo 8.  Fraude informático
          
           Por su parte, el fraude informático, según el artículo octavo del Convenio, consistiría en la introducción, alteración, borrado o supresión de datos informáticos, o la interferencia en el funcionamiento de un sistema informático, con el objeto de obtener ilícitamente un beneficio económico ilegítimo para sí o para un tercero.
 
            En tal sentido, el Código Penal costarricense fue reformado para incluir normas que sancionen esas conductas, en el artículo 217 bis:
 
"ARTÍCULO 217  bis.- Fraude informático.-
Se impondrá pena de prisión de uno a diez años a la persona que, con la intención de procurar u obtener un beneficio patrimonial para sí o para un tercero, influya en el procesamiento o el resultado de los datos de un sistema de cómputo, mediante programación, empleo de datos falsos o incompletos, uso indebido de datos o cualquier otra acción que incida en el proceso de los datos del sistema."
 
Si bien los términos de este artículo son bastante criticables, al no incluir los componentes de entrada, sí parece cumplir, al menos, con el requisito exigido en el Convenio europeo.
 
Artículo 9.  Delitos relacionados con la pornografía infantil
 
            Incluye cualquier conducta que lleve a la producción, oferta, puesta a disposición, difusión, transmisión, adquisición o posesión de pornografía infantil en un sistema informático o soporte apropiado para almacenar datos informáticos.
 
            Con excepción de la posesión de pornografía infantil (cuyo proyecto de penalización se encuentra en discusión en la corriente legislativa, según explicamos anteriormente), Costa Rica ha procurado mantener una actitud de salvaguarda de los derechos de los menores, protegiendo precisamente la indemnidad e inexperiencia sexual de los potenciales afectados.
 
Precisamente en virtud de la suscripción del Protocolo Facultativo de la Convención sobre los Derechos del Niño relativo a la venta de niños, la prostitución infantil y utilización de niños en la pornografía, aprobado mediante ley No.8172 de 7 de diciembre de 2001, Costa Rica emitió una serie de normas de protección infantil y de menores de edad. Entre estas, la principal disposición es la ley No.8143 de 5 de noviembre de 2001, que reformó el artículo 174 del Código Penal, para penalizar la difusión de pornografía infantil para distribución o fines comerciales.  Igualmente, se castiga la exhibición de pornografía a menores de edad o incapaces:
 
“Artículo 174.- Difusión de pornografía
La misma pena se impondrá a quien exhiba, difunda, distribuya o comercie, por cualquier medio y cualquier título, material pornográfico en el que aparezcan personas menores de edad o donde se utilice su imagen, o lo posea para estos fines.”
(Así reformado por ley No.8143 de 5 de noviembre de 2001. El subrayado no es del original)
 
Artículo 10.      Delitos relacionados con infracciones de la propiedad intelectual y de los derechos afines
 
            Tales conductas se encuentran debidamente resguardadas en la legislación costarricense, en virtud de la existencia de la Ley de Derechos de Autor y Derechos Conexos No.6683 de 14 de octubre de 1982 y sus reformas, y especialmente la Ley de Procedimientos de Observancia de los Derechos de Propiedad Intelectual No.8039 de 12 de octubre de 2000. Esta última normativa incluye, a partir de su artículo 44, numerosos y extensos tipos penales que penalizan todo tipo de conducta contraria a los derechos de propiedad intelectual, incluyendo marcas, signos, patentes de invención, información no divulgada, diseños, productos fraudulentos y derechos de autor en general. No resulta pertinente insertar aquí toda la normativa existente en nuestro país, pues resulta más adecuado  remitir a su lectura directa. Baste su mención para hacer constar la protección que han recibido en nuestro país tan importantes materias, que han cobrando gran relevancia en nuestro medio.
 
Artículo 12.      Responsabilidad de las personas jurídicas
 
            No existe legislación en nuestro país que castigue a las personas jurídicas de la forma como lo desease el Convenio, dado que las sanciones se dirigen siempre contra personas físicas y no morales. Sólo en el plano de la responsabilidad civil podría pensarse en sancionar a una persona jurídica, pero es poco probable que se modifique alguna norma para exigir responsabilidad penal a una persona jurídica.
 
Artículo 16.  Conservación rápida de datos informáticos almacenados
 
Tampoco existe legislación expresa, en materia procesal penal, que trate expresamente de la conservación de datos informáticos. De hecho, no existe norma alguna que obligue de oficio a los denominados ISP’s o proveedores de servicios de Internet a conservar algún dato almacenado por sus usuarios. La única manera como ello podría ocurrir es en virtud de una orden judicial, emanada por juez competente dentro del marco de una investigación abierta.  Propiamente dentro de la investigación, se da la intervención de la Unidad de Delitos Informáticos del Organismo de Investigación Judicial, dependiente del Ministerio Público, a su vez órgano del Poder Judicial. Es tal unidad técnica de investigación la que puede lograr capturar, almacenar, conservar y poner a disposición del juez o fiscales los datos informáticos que se recaben a lo largo del proceso investigativo. No se regula de manera expresa, sino que habría que recurrir a las normas de aplicación general del Proceso Penal.
 
            Baste sólo esos ejemplos para darse una idea del panorama legislativo actual en Costa Rica en materia de delitos informáticos, el cual requiere de un análisis profundo por parte del legislador para solventar muchísimas carencias y normas incompletas. No deseamos hacer una comparación exhaustiva de la totalidad de los casi cincuenta artículos que componen el Convenio en comentario pues ello corresponderá más bien a las autoridades competentes, y consideramos que resulta innecesario extender aún más esta respuesta.
 
Por último, la preocupación reseñada por la Oficina Asesora de Tratados del Ministerio de Relaciones Exteriores, referente a la imposibilidad de que Costa Rica se adhiera al presente Tratado por no encontrarse éste aún en vigencia, ha sido debidamente solventada pues, como indicamos al inicio, el Convenio sobre la Ciberdelincuencia entró a regir internacionalmente desde el primero de julio de 2004.
 
En la forma expuesta, este Órgano técnico jurídico dejada rendidas sus observaciones en torno a la aprobación del Convenio sometido a consulta.
 
Nota: En la preparación de este informe participó el Procurador Adjunto Lic. José Francisco Salas Ruiz , quien por encontrarse fuera del país no lo puede suscribir.
 
Del señor Embajador, muy atentamente,
 
 
            Msc. Luis Diego Flores Zúñiga
            Procurador Constitucional
 
 
 
 
LDFZ/gcga
 
 
 
______________________
1)         En la actualidad, el Convenio sobre la Ciberdelincuencia ha sido suscrito por once países de los treinta y uno que originalmente participaron en su redacción. La mayoría de esos países son europeos no miembros de la Comunidad Económica Europea.  Fuera de la Unión Europea, como dijimos, ha sido aprobado por Japón, Estados Unidos, Canadá y Sudáfrica.
 
2)         Otra de las iniciativas importantes que surgió de dicha reunión interamericana fue la creación de un tipo penal que castigase el almacenamiento del pornografía infantil, conducta que no es delito en Costa Rica ni en prácticamente ningún otro país latinoamericano, con excepción de los Estados Unidos y Chile. El proyecto de ley para incluir tal comportamiento como ilícito se intitula "Reforma del Título V del párrafo segundo del artículo 174 del Código Penal de la República de Costa Rica, Ley Nº 4573 (párrafo adicionado por Ley Nº 8143)" y se tramita bajo el expediente legislativo N° 15.465. Fue dictaminado favorablemente por la Procuraduría General de la República mediante Opinión Jurídica OJ-117-2005 de 8 de agosto de 2005.
 
3)         Estos errores legislativos se muestran en ejemplos tales como la Ley de Administración Financiera de la República y Presupuestos Públicos N° 8131 de 18 de setiembre de 2001, que en su artículo 11 sanciona una serie de conductas como delitos informáticos, aplicable a funcionarios públicos y también a particulares. No obstante ese contenido, tan sólo tres semanas después se promulga la ley No.8148 de 9 de noviembre de 2001 de reformas al Código Penal para incluir los delitos informáticos, que incluye, entre otros, represión contra algunos de los actos ya señalados en la ley 8131.  Se trata de una contradicción legislativa no resuelta aún, pues se utilizan términos muy amplios, poco precisos y de aplicación restringida.
Además, la ley de reformas No.8148 incluía un artículo 229 bis, sobre alteración de datos y sabotaje informático, en que se castigaba el acceso no autorizado, eliminación o inutilización de datos registrados en una computadora, así como el entorpecimiento de programas, bases de datos o sistemas informáticos. Más aún, se penaba con mayor fuerza si el afectado era una base de datos o sistema informático de carácter público. Inexplicablemente, ese artículo fue sustituido posteriormente por otro artículo 229 bis, referente al abandono dañino de animales, según reforma practicada por el inciso d) del artículo 3 de la ley No. 8250 de 2 de mayo del 2002. Obviamente se trata de un grave error legislativo cometido al momento de poner en vigencia normas de distinto contenido, pero la consecuencia inmediata es que no se podría decir con certeza si la alteración o sabotaje informático, en los términos descritos, es aún delito en Costa Rica.
 
4)         Si bien hemos mencionado la duda sobre la vigencia formal del artículo 229 bis del Código Penal, sobre alteración y sabotaje informático, creemos importante mencionarlo en virtud de que su sustitución legislativa se debió a un error del legislador. La justificación que encontramos es que la ley No.8148 de 9 de noviembre de 2001, sobre delitos informáticos, creó un artículo 229 bis. Seis meses después se promulgó la ley No.8250 de 2 de mayo del 2002, también de reformas al Código Penal y conversión de contravenciones en delitos, que creaba a su vez otro artículo 229 bis, sin saber que ya existía un numeral con ese mismo número y nomenclatura, y que regulaba materia especial. De haberse percatado de tal error numérico, el legislador simplemente hubiese creado formalmente un número 229 ter. Parte de la confusión fue que la ley No.8205 no entró a regir inmediatamente, sino hasta seis meses después. No fue sino hasta el momento de actualizar el texto del Código Penal que los juristas nacionales se enteraron del error. Esta ha sido la justificación del Sistema Nacional de Legislación Vigente (Sinalevi) de la Procuraduría General de la República para tener como aplicable el artículo 229 bis original y crear un numeral 229 ter, en razón de la importancia de que en Costa Rica exista una regulación adecuada en materia de delitos informáticos.