24 de noviembre de 2021

PGR-OJ-184-2021

 

Licenciada

Daniella Agüero Bermúdez

Jefa de Área

Comisiones Legislativas VII

Departamento de Comisiones Legislativas

Asamblea Legislativa

 

Estimada licenciada:

 

            Con la aprobación del señor Procurador General de la República, Dr. Julio Alberto Jurado Fernández, nos referimos al oficio AL-21187-CPSN-OFI-0079-2019 de 04 de julio de 2019, donde consulta sobre el proyecto de ley denominado “Ley para combatir la ciberdelincuencia”, que se tramita en el expediente número 21.187.

 

Tal y como se ha indicado en otras oportunidades previas, en que la Asamblea Legislativa ha solicitado el pronunciamiento de la Procuraduría General de la República acerca de un proyecto de ley, este órgano consultivo emitirá una opinión jurídica de carácter no vinculante, como una forma de colaboración con las delicadas funciones que desempeña la Asamblea Legislativa y la enorme variedad de temas con los que debe tratar y analizar cotidianamente.

 

I.- ANTECEDENTES

 

            La legislación penal de Costa Rica puede resultar escueta o poco clara en ciertos temas que involucran el uso de las tecnologías de información y comunicación, en la comisión de actos delictivos. Si bien es cierto que la legislación nacional en materia de cibercrímenes es de las mejor elaboradas de América Latina y, además, el país es parte del grupo de naciones suscriptoras del Convenio de Europa sobre Ciberdelincuencia (Budapest, 2001, Ley N° 9452 de 26 de mayo de 2017), también lo es que aún subsisten algunas conductas muy reprochables pero que no encuentran una respuesta adecuada dentro del Ordenamiento Jurídico punitivo, según veremos.

 

            A raíz de la aprobación de la ley N° 9048 de 10 de julio de 2012 y la similar 9135 de 24 de abril de 2013, se incluyeron una cantidad importante de tipos penales nuevos y se reformaron o modernizaron la redacción de otros delitos preexistentes. No obstante tan importante logro en la lucha contra el fenómeno de la ciberdelincuencia, el paso del tiempo y los cambios tecnológicos han provocado que los tipos penales deban ser remozados, merced también a las nuevas formas de comisión de estas infracciones. No era posible prever –por esas razones- los cambios futuros ni los nuevos escenarios que existen actualmente en materia tecnológica, mismos que impactan el quehacer jurídico.

 

En general, Costa Rica ha apostado decididamente por las ventajas que muestran las tecnologías de la información y la comunicación (TIC’s), fomentando prácticas como el gobierno o el comercio electrónicos, así como en políticas como la lucha contra la brecha digital y estrategias públicas de seguridad informática, tópicos fundamentales para lograr confianza en su uso por parte de la ciudadanía. Las telecomunicaciones, como bien sabemos, impactan positivamente al país, especialmente por la tendencia natural de la globalización de las naciones y el intercambio comercial, económico y cultural que producen. La rama de las comunicaciones es el campo donde el desarrollo tecnológico actual ha tenido su mayor expresión, y ello se evidencia en las múltiples opciones con que cuenta el ciudadano para realizar sus contactos, la velocidad, prontitud y seguridad con que puede ejecutarlas, así como la constancia de los sistemas remotos, en tanto servicios públicos.

 

            Como consecuencia de esas facilidades, aunado al fenómeno mundial de la Internet -como medio de comunicación por excelencia que engloba a su vez otras posibilidades de comunicación muy diferentes de las tradicionales-, la actividad académica e informativa original ha dado paso a una enorme afluencia de tipo más comercial y financiero que provocó, en pocos años, una nueva forma de relacionarse entre las personas, independientemente del idioma, territorio, estrato social o nivel cultural de ellas. Probablemente, una de las consecuencias más notables del constante desfase entre la realidad y el Derecho se muestra con el advenimiento de la tecnología computacional pues, junto al avance de la informática y su desarrollo en prácticamente toda disciplina conocida, surgieron una serie de hechos y acciones, claramente lesivos y reprobables, pero que aparentemente nunca habían sido previstos por las ciencias jurídicas penales, o lo habían sido de manera deficiente.  Se decía que era una nueva forma de criminalidad que nacía exclusivamente por la existencia de equipos de computadoras o redes telemáticas.

 

En efecto, las tecnologías de la información y comunicación también pueden utilizarse de formas deshonestas y delictuales. En el caso concreto de los delitos informáticos o “ciberdelitos”, como se les denomina modernamente, constituyen la cara oculta y la aplicación torcida de las ventajas tecnológicas, donde personas inescrupulosas aprovechan los enormes beneficios de las telecomunicaciones y la escasa alfabetización digital de la ciudadanía, para llevar a cabo actos condenables y que, increíblemente, pueden quedar sin sanción en virtud de la ausencia de normas penales claras o inteligibles que, a fin de cuentas, resultan de difícil o imposible comprensión o aplicación por el juez. De allí la urgencia de aprovechar las posibles soluciones que brinde el derecho penal para lograr prevenir y sancionar estas reprochables conductas.

 

El tema de los delitos cibernéticos es quizás uno de los que más atención ha atraído a la doctrina jurídica punitiva, precisamente porque ha sido objeto de controversia no sólo entre abogados penalistas, sino que ha trascendido hasta los medios de comunicación masiva, y ha merecido el estudio incluso de juristas no especializados en materia penal, aunque sí muy interesados en el desarrollo e independencia del Derecho Informático como rama autónoma. Es por esto que consideremos que el derecho penal informático mantiene, aún, un intenso debate y un extenso tratamiento doctrinal en un plazo relativamente breve. 

 

Por delitos informáticos entenderemos cualquier conducta típica, antijurídica y culpable que tenga como elemento distintivo el uso de equipos o aplicaciones programáticas de computación, como herramienta para la comisión del hecho delictivo o bien, como destino final de la conducta ilegítima. Dicho criterio tiene un buen arraigo doctrinal. El problema que surge al intentar construir este concepto es que necesariamente deben utilizarse términos demasiado amplios y que bien pueden incluir conductas que no son propiamente delitos informáticos, sino delitos tradicionales cometidos mediante el uso de las tecnologías de la información y comunicación, mismos que en este proyecto de ley se denominan como “delitos computacionales”. 

 

Como resultado, se trata probablemente de uno de los objetos de estudio que más ha ayudado a percatarse de la existencia de la relación entre el Derecho y la Informática.  Más aún, encontramos que los ejes de las discusiones se trasladan más hacia la problemática legislativa, caracterizada siempre por un nivel técnico relativamente bajo, especialmente en países donde la normativa penal es pobre o del todo inexistente. No debe sorprendernos que, a la fecha, un grupo importante de naciones latinoamericanas no han siquiera promulgado legislación sobre delitos informáticos, pues ni siquiera existe discusión sobre la problemática.

 

Por su carácter extraterritorial, los delitos informáticos no pueden quedar circunscritos a un país o a un territorio determinado, sino que se trata de una problemática internacional que debe ser abordada en forma integral. Precisamente por la extensa cantidad de redes de cómputo dentro y fuera de los países, así como la incursión de la Internet, nos enfrentamos a un serio problema de territorialidad que sólo puede verse solventado con la aplicación de acuerdos internacionales y la adopción de medidas técnicas uniformes en los diferentes territorios, donde se pretenda perseguir penalmente a los infractores cibernéticos. Esta es la justificación primaria que encontramos en la modificación al artículo 7° del Código Penal, para incluir allí los cibercrímenes como delitos internacionales.^([1])

 

II.- EL CONVENIO DE EUROPA SOBRE CIBERDELINCUENCIA

 

Tal fenómeno de pan-criminalidad no ha sido ajeno a las preocupaciones de la comunidad internacional. Esa inexistencia normativa se explica no por negligencia o desinterés del legislador, sino principalmente por el avance tan acelerado de las tecnologías de la información y comunicación, que dejan muy atrás las previsiones penales en cuanto a conductas sancionables.  Ello es, pues, una consecuencia lógica de un fenómeno mundial al que el Derecho positivo procura dar respuestas adecuadas. 

En el año 2000, se llevó a cabo en Costa Rica una importante reunión de Ministros de Justicia y Procuradores Generales de las Américas, incluyendo la participación de la entonces Procuradora General de los Estados Unidos, Mrs. Janet Reno, con el propósito de hacer conciencia en los países sobre la problemática de la cibercriminalidad. En ese foro, la delegación de Costa Rica planteó, por primera vez, la necesidad de la creación de un convenio internacional interamericano en materia de delitos informáticos. Dicha sugerencia no fue atendida, aunque en el mundo no existía aún un tratado internacional sobre dicho tema, sino que la reunión se decantó por la utilización de las denominadas leyes-tipo o leyes-modelo sobre el mismo tema, mismas que pretendían dar ejemplos a los distintos países para ajustar su legislación interna a esos modelos normativos. No fue sino hasta el año 2001, en Budapest, Hungría, que se aprobó por primera vez un instrumento internacional que buscaba dar respuesta mundial a la problemática de los delitos informáticos: el Convenio de Europa sobre Ciberdelincuencia, que no sólo abarcaba el territorio europeo, sino que, además, buscaba su aplicación en otros países y continentes más allá de su sitio de creación, propósito que ha logrado con destacado éxito.

 

Cuando el Convenio de Europa fue aprobado finalmente, después de varios años de estudio y discusión y más de treinta y siete versiones diferentes, se invitó a diferentes países del mundo, incluso fuera de la Unión Europea, a formar parte de él. Desde su promulgación, diversos países europeos no miembros de la Comunidad Económica Europea, así como otras naciones no europeas, entre estos, Estados Unidos, Japón, Canadá y Sudáfrica, vieron con interés el contenido del Convenio sobre la Ciberdelincuencia, en virtud de que representaba una oportunidad valiosa para lograr consenso internacional en la persecución de las nuevas formas de delincuencia, ejecutadas a través de los medios telemáticos. Los países mencionados son los que han suscrito el Acuerdo fuera de la Unión Europea, con miras a incorporarlo a su legislación interna, lo que aconteció con prontitud.

Especial es el caso de los Estados Unidos, el cual también aprobó el Tratado a pesar de que, según es necesario resaltar, ese país tiene como práctica habitual nunca suscribir tratados internacionales que puedan comprometer de alguna manera su independencia de criterio o sus intereses mundiales. No obstante, el Convenio de Budapest sí contó con su aprobación final y ello tiene repercusiones de gran importancia para la persecución penal de la cibercriminalidad, pues allí se encuentran las más importantes empresas y servidores Web de la Internet, tales como Google, Microsoft, Yahoo, Facebook, etc.

 

Este Tratado, en la actualidad, constituye el estándar mundial para la creación de tipos penales y persecución de estas conductas delictivas, amén de su estructura en derecho de fondo, derecho procesal y especialmente el tema de cooperación internacional. Por otro lado, sólo cuatro países de América Latina fueron invitados a ser parte del Convenio de Europa: ellos son Chile, Costa Rica, México y República Dominicana. En el caso de Costa Rica, esta representación técnico-jurídica dio su aval para que dicho Convenio fuese aprobado con prontitud, ello en el año 2006, cuando el Ministerio de Relaciones Exteriores envió a la Procuraduría General de la República, como asesor técnico-jurídico del Estado, la consulta sobre si convenía al país que dicho Acuerdo Internacional fuese suscrito por Costa Rica. La respuesta fue positiva por parte del ente asesor y así quedó plasmado en la Opinión Jurídica N° 57 de 24 de abril de 2006.

 

El tema de la ciberdelincuencia y la seguridad informática va paralelo a todo lo que atañe a las telecomunicaciones; en tal sentido, nuestro país se sumó también a estos esfuerzos internacionales y aprobó, mediante ley N° 9452 de 26 de mayo de 2017, la Convención de Europa sobre Ciberdelincuencia, como estrategia para lograr el mejoramiento de las técnicas de investigación e incrementar la cooperación internacional entre los Estados, para combatir la amenaza de los ciberdelitos. Costa Rica tiene probablemente la mejor legislación sobre delitos informáticos en América Latina, y ha dado un paso fundamental mediante la aprobación del único instrumento internacional existente que facilita la recolección de evidencia electrónica, la investigación contra el ciber-lavado de dinero, protección integral de la niñez y otros crímenes serios, donde se dé la utilización torcida de las telecomunicaciones. Como ejemplo crítico, sólo en Europa los efectos de la ciberdelincuencia pueden llegar a los 5.000 millones de euros cada año en pérdidas para los países.

 

Quizás la consecuencia principal de la adopción plena de los términos del Tratado, es que se ha visto reflejado un remozamiento de la incipiente legislación penal en materia de delitos informáticos, aprobada mediante la ley N° 8131 de 18 de setiembre de 2001, que intentaba regular el tema, mejorar los términos y conceptos en que están redactados los tipos penales, así como crear nuevas figuras que aún no encontraban debida sanción en las normas represivas existentes, tales como la violación de comunicaciones electrónicas, el sabotaje informático o la estafa informática.

 

Ello cambió muy positivamente a partir del año 2012, cuando fueron aprobadas las leyes de reforma al Código Penal para castigar los ciberdelitos, mediante las leyes números 9048 de 10 de julio de 2012 y 9135 de 24 de abril de 2013, que crearon nuevos tipos represivos o modificaron los existentes, por ejemplo, el grooming (seducción de menores de edad por medios electrónicos), la suplantación de identidad, protección de datos personales, phishing (ingeniería social) y pharming (suplantación de páginas Web), extorsión, espionaje electrónico, divulgación falsa por medios electrónicos, etc.  Posteriormente, otras leyes han agregado otras conductas punibles más, tales como la posesión de pornografía infantil, la pornografía virtual, la pseudo-pornografía, la inclusión del concepto de pornografía infantil y la adición de penas más severas de cuatro años o más, lo que lo convierte estos delitos en conductas graves y  por  tanto, susceptibles de ser objeto de persecución internacional mediante convenios como el de Palermo sobre crimen organizado y el de cooperación de Nassau, además de la extensa normativa existente en materia de extradición. Dada la importancia de la cooperación internacional en estas materias, el Convenio de Budapest mantiene un contenido adecuado para perseguir, prevenir o reprender las conductas lesivas de los delincuentes informáticos.

 

Consideramos que cualquier convenio internacional que pretenda dar soluciones globales, debe contemplar en su contenido la posibilidad de tener el territorio de sus suscriptores como uno solo, y reprimir las conductas delictivas efectuadas fuera de sus fronteras con la misma energía como si el hecho hubiese ocurrido en su propio territorio. Ello no es novedoso, pues desde hace décadas existen tratados que ya contemplan esa posibilidad, tales como los acuerdos internacionales sobre drogas o sobre protección de la niñez. No obstante, ello no ocurre en ciertas áreas igualmente sensibles, como es el caso de los delitos cometidos por medio de las tecnologías de la información y la comunicación.

 

III.- ANALISIS DEL PROYECTO DE LEY

 

A pesar de contar con esta importante plataforma legal, tanto nacional como convencional, encontramos que aún no todas las conductas delictivas novedosas se encuentran incluidas dentro de nuestro Código Penal, tales como el acceso ilícito, el mal uso de dispositivos o de contraseñas de acceso a sistemas informáticos, figuras que se incluyen ahora en este proyecto. Aclaramos que esta Procuraduría General ha tenido participación en la redacción y sugerencias de los tipos penales que se verán, sin dejar de lado su espíritu crítico a la hora de analizar esta importante iniciativa de ley.

 

“LEY PARA COMBATIR LA CIBERDELINCUENCIA

 

ARTÍCULO 1- Definiciones

 

Para los efectos de la presente ley y del Código Penal, se define lo siguiente:

1.- (…)

6-           Ciberestafa:  Estafa que se comete por medios informáticos.”

 

Comentario de la PGR: Esta definición debe ampliarse de acuerdo con las características que presenta la estafa informática, tomando en cuenta la complejidad del tipo penal del artículo 217 del Código Penal. Dicha ampliación deberá elaborarse de acuerdo con el contenido del tipo.

 

En la definición que se propone, pareciera que equipara la estafa tradicional con la cometida por medios electrónicos, con lo cual no habría mayor diferencia entre ambas conductas. Pero no es tal, dado que la estafa tradicional requiere de al menos dos elementos para que la conducta del infractor se adecue al tipo penal, como son el engaño y el traslado patrimonial (entre otros). No obstante, en la estafa informática no existe la posibilidad de “engañar” al sistema automatizado, sino de introducir órdenes o códigos para que ejecute lo que se le ordene o programe. De allí que, en la estafa informática, el engaño se asimila a la introducción de comandos para que el sistema ejecute una cierta función no permitida o dé un cierto resultado ilegítimo y desautorizado. La definición que se propone debe completarse tomando en cuenta las características propias de la estafa informática.

 

                                                           ---0---

 

“7-         Captura: Apoderarse, tomar o captar datos, sonidos, charlas, conversaciones, imágenes, vídeos o contenido audiovisual, usualmente sin el conocimiento o consentimiento de la persona.”

 

Comentario de la PGR: Sugerimos que, en lugar del término “capturar”, se utilice la palabra “captación”, que es más atinente a la conducta del sujeto activo.

 

                                                           ---0---

 

“12-       Datos personales sensibles: información relativa al fuero íntimo de la persona.”

 

Comentario de la PGR: Tanto de la creación del tipo penal actual (artículo 196 bis, según fue modificado por la ley N° 9048 de 10 de julio de 2012 y la ley 9135 de 24 de abril de 2013), como de la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales (N° 8968 de 7 de julio de 2011), se extrae una definición que debe emplearse en este apartado de conceptos, so pena de tenerse como una definición incompleta. En este sentido, véase el artículo 3° inciso e) de esta última ley, que indica literalmente:

 

“e) Datos sensibles: información relativa al fuero íntimo de la persona, como por ejemplo los que revelen origen racial, opiniones políticas, convicciones religiosas o espirituales, condición socioeconómica, información biomédica o genética, vida y orientación sexual, entre otros.”  (Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales, N° 8968 de 7 de julio de 2011, artículo 3°, inciso e).

 

                                                           ---0---

 

14-         Delito Computacional: Delitos cometidos mediante la utilización de nuevas tecnologías, medios informáticos, electrónicos, telemáticos, ópticos o magnéticos.”

 

Comentario de la PGR: Los “delitos computacionales” es una forma de definir los delitos tradicionales que son ejecutados por vías electrónicas o digitales. Por ello, sugerimos que se añada a esta definición, al inicio, los términos “Delitos comunes cometidos…”, etc., para distinguirlos de los delitos informáticos propiamente dichos.

 

                                                           ---0---

 

“15-       Documento: Cualquier manifestación con carácter representativo o declarativo, expresada o transmitida por un medio físico, electrónico, telemático o informático, tales como archivos de audio, video o imágenes, indicadas en el artículo 1 de la Ley sobre Registro, Secuestro y Examen de Documentos Privados e Intervención de las Comunicaciones N° 7425 de 1994 o el artículo 6 bis de la Ley Orgánica del Poder Judicial, entre otros.”

 

Comentario de la PGR: En este caso, nos encontramos ante una definición amplia de “documento”, donde se incluyen tanto los documentos físicos como los electrónicos, respetando el Principio de Equivalencia Funcional contenido en la Ley de Certificados, Firmas Digitales y Documentos Electrónicos, N° 8454 de 30 de agosto de 2005, artículo 3°, el cual indica:

 

“Artículo 3º- Reconocimiento de la equivalencia funcional. Cualquier manifestación con carácter representativo o declarativo, expresada o transmitida por un medio electrónico o informático, se tendrá por jurídicamente equivalente a los documentos que se otorguen, residan o transmitan por medios físicos.

En cualquier norma del ordenamiento jurídico en la que se haga referencia a un documento o comunicación, se entenderán de igual manera tanto los electrónicos como los físicos. No obstante, el empleo del soporte electrónico para un documento determinado no dispensa, en ningún caso, el cumplimiento de los requisitos y las formalidades que la ley exija para cada acto o negocio jurídico en particular.” (Ley de Certificados, Firmas Digitales y Documentos Electrónicos, N° 8454 de 30 de agosto de 2005, artículo 3°).

 

Debe tenerse en cuenta que los documentos, sean físicos o electrónicos, no se agotan en los ejemplos del artículo primero de la Ley N° 7425 de 09 de agosto de 1994 o el artículo 6 bis de la Ley Orgánica del Poder Judicial, N° 8 de 29 de noviembre de 1937 (mismas que deberían citarse con su fecha exacta), sino que, en general, son todos aquellos que sean susceptibles de ser utilizados como prueba en un proceso, no importa su naturaleza física o electrónica. Es un detalle importante que debe ser aclarado en esta definición.

 

                                                  ---0---

 

“16-       Fabricación de noticias falsas:  toda creación de uno o más hechos falsos, a través de la utilización de medios creados con el fin de engañar o inducir en error al público en general, tales como sitios Web, páginas electrónicas, cuentas personales en medios digitales, imágenes, audios o videos.”

 

Comentario de la PGR: Véanse nuestras observaciones infra al artículo 236, donde sugerimos que dicha propuesta de reforma sea desechada por las razones que allí se explican, especialmente por la indeterminación de la falsedad, la potencial amenaza a la libertad de expresión y hasta un obstáculo a la libertad de prensa, incluyendo la labor de los profesionales en esa disciplina. Si esta propuesta fuese eliminada del proyecto, no tendría sentido la existencia de la definición de comentario.

 

                                                           ---0---

 

“17-       Invitación pública: cualquier invitación realizada por medios físicos o electrónicos, dirigida al público general o a un grupo de personas.”

“Instalación de programas: Es el proceso de transferencia o copia de los archivos o código de un programa, al sistema informático, en preparación para su ejecución, que puede requerir, o no, configuraciones adicionales en el sistema.”  (lo destacado no es del original).  

 

Comentario de la PGR: Hacemos notar este error de forma. Nótese que esta definición, en el proyecto de ley, no tiene un número asignado (debería ser el inciso 18, pero se transcribió unido al inciso 17). Véase el Alcance N° 144 a la Gaceta N° 119 del 26 de junio de 2019, desde donde se ha publicado el texto con dicho error. Ello significa que las demás definiciones deberán modificarse en un dígito, pasando el actual inciso 18 a ser el inciso 19, hasta el final del artículo de definiciones, culminando con el actual 31, que pasaría a ser el 32. Es importante que este error sea corregido para efectos de aplicar eventualmente la definición que se ofrece.

 

De igual manera, sugerimos que se modifiquen las palabras “sistema informático” por “sistema operativo”, pues ambas expresiones representan diferentes elementos normativos. “Sistema informático” puede referirse a cualquier grupo de computadoras, del tipo que sea, que estén vinculadas entre sí, para compartir recursos o información o efectuar tareas conjuntas. No es lo mismo que el sistema operativo propiamente dicho de la computadora, el cual es el programa principal en el que se instalan los archivos de inicio, de arranque y de comando, y es el que permite la instalación de los programas o aplicaciones que coincidan con ese sistema operativo. Dejamos planteadas estas dos inquietudes para que sean debidamente corregidas.

 

                                                           ---0---

 

20-         Noticia falsa: Hecho falso, incompleto o inexacto, divulgado con conocimiento de su falsedad y con intención de engañar o hacer incurrir en error al destinatario, diferente a la parodia o al ejercicio periodístico.”

 

Comentario de la PGR: Estas diversas definiciones con una temática similar, deberán ser eliminadas puesto que, según se podrá ver en los comentarios a la propuesta de reforma sobre el artículo 236 (difusión de información falsa), hemos concluido que sea igualmente desechado. En todo caso, la posibilidad de demostrar la intención o el conocimiento de la falsedad, según el tenor del inciso 20, es casi peregrina.

 

                                                           ---0---

 

“21-       Pornografía infantil:  toda representación escrita, visual o auditiva producida por cualquier medio, de una persona menor de edad, su imagen o su voz, alteradas o modificadas, dedicada a actividades sexuales explícitas, reales o simuladas. Incluye toda representación de las partes genitales de una persona menor de edad con fines sexuales.”

 

Comentario de la PGR: Esta definición es la que ya existe actualmente en el artículo 173 del Código Penal según la adición efectuada por el artículo 8° de la ley N°10.020 de 09 de setiembre de 2021, y es coincidente con el numeral 2) inciso c) del Protocolo Facultativo de la Convención sobre los Derechos del Niño, relativo a la Venta de Niños, Prostitución Infantil y Utilización de Niños en la Pornografía, aprobado en Costa Rica mediante Ley N° 8172 de 07 de diciembre de 2001. Debe quedar claro que esta definición sólo se está reubicando del actual artículo 173 del Código Penal a este otro numeral de definiciones, y de ninguna manera se está modificando o eliminando del Ordenamiento Jurídico.

 

Se trata más bien de evitar incluir definiciones en los tipos penales y ubicarlos en un numeral apropiado sólo para conceptos, de manera que el juez sepa con certeza dónde acudir para ello.

 

                                                           ---0---

 

26-         Sistema informático: todo dispositivo, tanto aislado o conjunto de dispositivos interconectados o relacionados entre sí, siempre que uno o varios de ellos permitan el tratamiento automatizado de datos en ejecución de un programa.”

 

Comentario de la PGR: Esta definición debe revisarse pues debe distinguirse de un “sistema de información”. Los sistemas informáticos son básicamente equipos de cómputo conectados entre sí que pueden compartir tareas o recursos. Sin embargo, parecen confundirse con el término “sistema de información”, que sí tiene como función recopilar, procesar y dar como resultado información de la naturaleza que sea. De allí que no estemos de acuerdo, como lo sostiene el proyecto, que los sistemas informáticos “permiten el tratamiento automatizado de datos”, pues parece referirse a bases de datos que dan “tratamiento” a datos personales. En materia de autodeterminación informativa, el término “tratamiento” tiene una connotación bastante amplia que implica al menos dieciséis verbos diferentes, tal y como se consigna en el artículo 3° inciso i) de la Ley de Protección de Datos Personales, N° 8968 de 07 de julio de 2011:

 

“i) Tratamiento de datos personales: cualquier operación o conjunto de operaciones, efectuadas mediante procedimientos automatizados o manuales y aplicadas a datos personales, tales como la recolección, el registro, la organización, la conservación, la modificación, la extracción, la consulta, la utilización, la comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a estos, el cotejo o la interconexión, así como su bloqueo, supresión o destrucción, entre otros.” (Ley de Protección de Datos Personales, N° 8968 de 07 de julio de 2011, artículo 3°, inciso i).

 

Por ello, consideramos que los términos utilizados en esta definición deben ser revisados, cambiando, por ejemplo, la palabra “datos” por “instrucciones” e indicando la característica de compartir recursos, procesos o instrucciones donde no exista intervención del operador. También recomendamos que se cree otra definición sobre “sistemas de información”, misma que se echa de menos en este apartado de conceptos. El hecho de que en el Convenio de Europa sobre Ciberdelincuencia de 2001 se incluya esa definición en esos términos, no significa que deba implementarse con un contenido que podría considerarse confuso o poco claro.

 

                                                           ---0---

 

30-         Soporte de almacenamiento: Espacio diseñado al efecto donde se registra o guarda información, el cual puede ser de carácter físico, electrónico, magnético, óptico, genético o de cualquier clase que sea capaz de contener y mantener información. Ejemplo de ello son los discos duros, discos ópticos compactos de todo tipo, unidades de memoria flash, etc. y todos aquellos que, con ese fin, ofrezcan las nuevas tecnologías.”

 

Comentario de la PGR: En la reforma practicada por la ley N° 8148 de 24 de octubre de 2001 (que fue la primera ley general sobre delitos informáticos introducidos en el Código Penal), se utilizó el término “soporte informático” para referirse a los dispositivos de almacenamiento masivo de información (discos duros, disquetes, discos ópticos, superficies magnéticas, cintas o cartuchos de respaldo, etc. Esa expresión era evidentemente inexacta pues el “soporte informático” se refiere a las tareas de mantenimiento que deben darse a los equipos y programas de cómputo por parte de una persona técnica en esos menesteres, no a las superficies o dispositivos aptos para resguardar información electrónica.

 

De allí que, en las reformas practicadas por las leyes 9048 de 10 de julio de 2012 y 9135 de 24 de abril de 2013, se utilizó más bien el término “contenedores electrónicos”, los cuales pueden ser ópticos (Cd’s, Dvd’s, Blu-ray, etc.) o magnéticos (discos duros, disquetes, memoria flash o “llave maya”), cintas magnéticas y en general, cualquier dispositivo apto para almacenar, resguardar y recuperar información en formato electrónico. No obstante, ahora se propone este nuevo término para referirse al mismo tipo de dispositivos de almacenamiento masivo. Quedará a criterio del legislador si desean mantener una u otra definición, aunque el concepto que subyace es el mismo.

 

                                                          

- * -

 

           “ARTÍCULO 2- Difusión de información de interés público

 

Para efectos de aplicación de la presente ley y los tipos penales informáticos contenidos en el Código Penal, no constituirá delito:

1-           La publicación, difusión o transmisión de información de interés público, documentos públicos, datos contenidos en registros públicos o bases de datos públicos de acceso irrestricto cuando se haya tenido acceso de conformidad con los procedimientos y limitaciones de ley.

2-           La copia y uso por parte de las entidades financieras supervisadas por la Sugef de la información y datos contenidos en bases de datos de origen legítimo de conformidad con los procedimientos y limitaciones de ley.

3-           La publicación reiterada e insistente de reportajes o denuncias de interés público.”

 

Comentario de la PGR: Las normas penales costarricenses no se han diseñado ni utilizado para perseguir, conculcar, sancionar o restringir las libertades y garantías reconocidas en la Constitución Política a los ciudadanos. La única norma existente (que podría considerarse como obsoleta o anacrónica, dada la forma como podría afectar la labor periodística), es la Ley de Imprenta N° 32 de 12 de julio de 1902, misma que, merced a las condiciones impuestas por la Sala Constitucional en cuanto a elementos probatorios y responsabilidades personales, se encuentra prácticamente inaplicable. No obstante, con la emisión de las últimas normas sobre delitos informáticos (leyes 9048 de 2012 y 9135 de 2013 ya citadas), que introdujeron una serie de modificaciones al Código Penal, el gremio periodístico interpretó que dichas normas se estaban emitiendo para entorpecer o perseguir al periodismo nacional. De allí que, en la ley N° 9135, se añadieran esos párrafos eximentes de responsabilidad para que quedase claro que las nuevas normas penales no estaban siendo aprobadas para perseguir a nadie, especialmente a esa agrupación profesional.

 

Tanto el primero como el segundo párrafo de esta iniciativa de ley ya se encuentran contenidos en los actuales artículos 196 y 196 bis, así que no se está creando nada nuevo, sino sólo transcribiendo y reubicando dichas disposiciones en otra norma nueva y eliminándolas de los nuevos tipos penales propuestos, sin quitar ninguna disposición que pudiese ser interpretada como de censura o eventual persecución penal de la investigación periodística.

 

- * -

 

“ARTÍCULO 3- Investigación criminal

Para efectos de aplicación de la presente ley y los tipos penales informáticos contenidos en el Código Penal, no constituirá delito:

1-           La ingeniería social por parte de las autoridades en el marco de una investigación criminal.

2-           La comisión de una acción típica contenida en un tipo penal informático presente en el Código Penal o esta ley, si la misma ha sido realizada con la autorización de un juez penal.

3-           La captación de datos de ubicación geográfica obtenidos en el desarrollo de los actos y procedimientos de carácter policial o judicial llevados a cabo en el marco o en el transcurso de investigaciones de naturaleza informática, electrónica o telemática, mediante el uso necesario de herramientas electrónicas, programas o aplicaciones informáticas, aparatos electrónicos o sistemas de telecomunicaciones.”

 

Comentario de la PGR: La posibilidad de que la policía judicial, en el marco de una investigación penal, pueda utilizar herramientas de ingeniería social, es un tema del que no se ha legislado en nuestro país. Precisamente por el enorme desarrollo que han tenido las tecnologías de la información y comunicación, según hemos indicado antes, se ha producido un desequilibrio notable entre la investigación criminal en ciberdelincuencia y las posibilidades de comisión de los delitos, aunado a la posibilidad de anonimato efectivo o desaparición pronta de los delincuentes y la facilidad en el desvanecimiento de las pruebas electrónicas. De allí que aboguemos porque los investigadores policiales, involucrados en una materia tan especializada como esta, tengan la posibilidad de utilizar todas las herramientas que brinden las nuevas tecnologías, sin que ello implique una trasgresión al Ordenamiento Jurídico (teoría del agente provocador).

 

La utilización de este tipo de medidas ha mostrado ser exitosa en casos, por ejemplo, de reducción de penas cuando el imputado tiene la posibilidad de confesar y colaborar con los investigadores para lograr un resultado más positivo en el proceso penal. Pensemos, a manera de ejemplo, en la posibilidad de que un agente judicial tenga la posibilidad de ingresar en forma encubierta en una red de pedófilos, o en un grupo de delincuentes expertos en estafas informáticas. Los resultados de esas experiencias derivarían en una gran cantidad de información que ayudaría mucho en los resultados de la investigación. Debemos tener en cuenta que los grupos de cibercriminales usualmente no están limitados por las fronteras territoriales, sino que tienen un campo de actuación que abarca el mundo entero, sin distingo de nacionalidad, ubicación, idioma, nivel social o cultural. Cualquier persona puede ser víctima de estos gremios criminales.

 

Por ello, de lo que se trata es de flexibilizar las normas penales en los casos que así se requieran, siempre que se cuente con los debidos protocolos de manejo y la autorización de un juez que garantice el marco de actuación de los investigadores.

 

En este sentido, así como existe un Centro de Intervención de Telecomunicaciones dentro del Poder Judicial, igual deberán crearse las normas internas que permitan la intervención de los investigadores judiciales en sitios Web o grupos de mensajería instantánea, donde se pueda obtener información valiosa para el buen desarrollo del proceso penal, sin quebrantar normas constitucionales tales como las garantías de intimidad o privacidad, e incluso el respeto a los datos personales.

 

Finalmente, debemos enfocarnos en las posibilidades de rastreo con que cuentan los investigadores judiciales. En la actualidad, la legislación prevé los datos de localización y los datos de tráfico, según el artículo 43 de la Ley General de Telecomunicaciones, N° 8642 de 4 de junio de 2008. Empero, tales datos se consideran como datos personales de acceso restringido, por lo cual sólo podrían tener conocimiento de ellos el titular de los datos y la Administración Pública (véase la Ley de Protección de Datos N° 8968 ya citada, artículo 3°, en cuanto a la definición de Datos de acceso restringido). En este caso, se está abogando porque los investigadores tengan la posibilidad de efectuar un rastreo de geolocalización en tiempo real y durante un lapso de tiempo determinado.

En principio, los datos de localización requieren de la orden de un juez pues se podrían estar vulnerando datos íntimos o datos sensibles. Si bien obtener los datos de localización no implica la imposición del contenido de algún tipo de comunicación privada,  situación ésta en la cual también se requeriría de autorización judicial, según prevé la Ley sobre Registro, Secuestro y Examen de Documentos Privados e Intervención de las Comunicaciones N° 7425 de 09 de agosto de 1994, sino sólo de la ubicación geográfica del sujeto investigado, con miras a obtener información de los sitios en que ha estado, se trata de un dato de acceso restringido que atrae la protección de la ley, en este caso, la N° 8968 de 07 de julio de 2011, sobre datos personales. Si se cuenta con dicha autorización judicial, no cabe duda que estos datos serían de gran valor como medio probatorio dentro de un proceso penal. A mayor abundamiento, véase la resolución de la Sala Constitucional N° 4035-2014 de 21 de marzo de 2014.

 

                                                                       - * -

 

“ARTÍCULO 6- Cooperación de los proveedores de servicios electrónicos en el marco de una investigación de delitos informáticos

Todo proveedor de servicios electrónicos u operador de telecomunicaciones se encuentra obligado a:

1-           Conservar y proteger la integridad de los datos electrónicos o similares relacionados con una acción delictiva, a solicitud de la autoridad judicial competente, por un lapso de cuatro años o hasta su prescripción legal.

2-           Cumplir con la entrega de información requerida por los Tribunales de Justicia, en un plazo máximo de 24 horas, dentro de la investigación de un delito informático donde se encuentre en peligro la vida, la salud o la integridad física de uno o varias personas.

3-           Cumplir con la entrega de datos de abonado, de tráfico o de localización requeridos por los Tribunales de Justicia, en un plazo máximo de 48 horas, dentro de la investigación de un delito informático o vinculado con pornografía infantil.

4-           Cumplir con la entrega de datos de tráfico, de localización o de abonado requeridos por por [sic] los Tribunales de Justicia, en un plazo máximo 7 días hábiles, dentro de la investigación de un delito cometido por vías informáticas.

5-           Proteger la confidencialidad de los datos y de las acciones requeridas por las autoridades judiciales. La obligación de secreto funcional se extiende a empleados o funcionarios del proveedor u operador, así como a las empresas o personas que le brinden servicios, en concordancia con la obligación de confidencialidad señalada en el Código Procesal Penal.

Los datos de abonado, de localización o de tráfico, en el marco de una investigación penal judicial, podrán ser entregados ante solicitud del Ministerio Público o de la Policía Judicial, si el proveedor de servicios cuenta con el consentimiento de sus clientes, indicado en los términos del contrato de servicio o política de privacidad. En caso contrario, requerirá de autorización judicial. El proveedor podrá requerir que la entrega de la información sea autorizada por un juez penal, para cumplir con su legislación local.

Todo proveedor u operador costarricense de relevancia en servicios electrónicos o de telecomunicaciones deberá hacer un reporte anual de transparencia con respecto a la entrega de información de sus clientes a las autoridades judiciales y clasificada por el tipo de investigación de delitos para el cual fue solicitada.”

 

Comentario de la PGR: En general, concordamos con los términos y obligaciones que se imponen a los proveedores de servicios.

 

Por otra parte, la aprobación de este proyecto de artículo, en los términos actuales, implicaría una modificación tácita al artículo 43 de la Ley General de Telecomunicaciones, N° 8642 de 2008 ya citado, el cual indica:

 

 

“ARTÍCULO 43.- Datos de tráfico y localización

Los datos de tráfico y de localización relacionados con los usuarios finales que sean tratados y almacenados bajo la responsabilidad de un operador o proveedor, deberán eliminarse o hacerse anónimos cuando no sean necesarios para efectos de la transmisión de una comunicación o para la prestación de un servicio.

Los datos de tráfico necesarios para efectos de la facturación de abonados y los pagos de las interconexiones, podrán ser tratados hasta la expiración del plazo durante el cual pueda impugnarse, legalmente, la factura o exigirse el pago.

Los datos de localización podrán tratarse solamente si se hacen anónimos o previo consentimiento de los abonados o usuarios, en la medida y por el tiempo necesario para la prestación de un servicio.”

 

Corresponderá al legislador indicar de qué manera se modificaría este numeral 43, quizás añadiendo un párrafo final donde se indiquen las excepciones en que dichas comunicaciones deberán mantenerse, en especial lo referente a la posibilidad u obligación de que los proveedores de los servicios conserven dicha información, o cuando se tenga noticia de un hecho delictivo en que deberán poner en conocimiento a las autoridades judiciales o bien, mediante la orden de un juez que conozca la investigación. De lo que se trata es que haya una actuación expedita de parte de los actores involucrados en las telecomunicaciones, en conjunto con las pesquisas judiciales.

 

Finalmente, llamamos la atención al error de forma que se nota en el inciso 4), segunda línea, donde se repite la preposición “por”. Este error de repetición consta en La Gaceta donde se publicó el proyecto de ley en comentario.

 

- * -

 

“ARTÍCULO 7- Remoción de contenido en casos de Acoso Cibernético o Pornografía infantil

Dentro de un máximo de 24 horas posteriores a la interposición de la denuncia por los delitos de acoso cibernético o pornografía infantil, a solicitud del Ministerio Público, un juez deberá resolver la solicitud de remoción del contenido publicado o difundido en la ejecución del delito informático, dirigida al proveedor de servicios electrónicos o al ofensor en cualquier medio que tenga bajo su control.

El juez deberá valorar que, a través de esta medida, no se pueda generar una afectación irreparable a la libertad de expresión y/o al derecho de acceso a la información.

El juez podrá conceder la remoción parcial del contenido, como puede ser la eliminación de datos específicos de un documento o contenido, si considera que con esto se logra un balance entre la protección de los derechos de la víctima y la libertad de expresión.”

 

Comentario de la PGR: Como se extrae de la lectura de esta propuesta, la intención es proteger la imagen de la persona expuesta a una situación de acoso cibernético o participante en un caso de pornografía infantil, de manera que la divulgación sostenida de ese tipo de material produzca el mínimo efecto negativo posible sobre las víctimas del delito. De allí la urgencia de que el juez penal pueda resolver en un plazo corto la eliminación o remoción del contenido delictivo o mortificante. En este caso, será el proveedor de servicios quien deba bloquear o eliminar dichos documentos.

 

No obstante, es necesario que se aclare que esta iniciativa legal podrá aplicarse siempre que se hayan recabado las pruebas necesarias para la investigación judicial, previamente a la eventual eliminación de contenidos. Por esto es que se deja en libertad al juzgador para que indique qué parte de la documentación es la que se debe bloquear o eliminar, por ejemplo, la fotografía, vídeos, imágenes o algún otro elemento que pueda contener datos personales sensibles o de acceso restringido. Tal sería nuestra sugerencia para que se contemple dentro de la redacción del numeral propuesto.

 

- * -

 

“ARTÍCULO 8- Acceso transfronterizo a datos alojados en el extranjero

Las autoridades judiciales, dentro del marco de una investigación judicial y por las vías diplomáticas que correspondan, podrán:

1-           Tener acceso o recibir datos informáticos almacenados en otro país, si se obtiene el consentimiento lícito y voluntario de la persona legalmente autorizada para revelar los datos.

2-           Tener acceso a datos informáticos almacenados que se encuentren disponibles desde nuestro territorio, con independencia de la ubicación geográfica de dichos datos.”

 

Comentario de la PGR: Encontramos esta redacción algo confusa. En el encabezado del artículo que se propone debe especificarse a qué se refiere la expresión “por las vías diplomáticas que correspondan”. En este caso, pareciera que la iniciativa de ley prevé que sólo por vía diplomática se podrá obtener información alojada en el extranjero, cuando ello no funciona necesariamente de esa manera, dado que el Convenio de Europa sobre Ciberdelincuencia (Budapest 2001), aprobado en nuestro país por ley N° 9452 de 26 de mayo de 2017, indica que cierta información podrá accederse cuando esté disponible para el público, es decir, debe referirse a datos de acceso irrestricto que no requiere autorización judicial o administrativa para conocerlos y utilizarlos.

 

Su artículo 32 indica con claridad:

 

“Artículo 32 - Acceso transfronterizo a datos almacenados, con consentimiento o cuando estén a disposición del público.

Una Parte podrá, sin la autorización de otra Parte:

a.- tener acceso a datos informáticos almacenados que se encuentren a disposición del público (fuente abierta), con independencia de la ubicación geográfica de dichos datos; o

b.- tener acceso o recibir, a través de un sistema informático situado en su territorio, datos informáticos almacenados situados en otra Parte, si la Parte obtiene el consentimiento lícito y voluntario de la persona legalmente autorizada para revelar los datos a la Parte por medio de ese sistema informático.”

 

Por lo tanto, en el caso del párrafo primero debe aclararse que dicha disposición se aplicará en los casos en que se refiera a datos informáticos donde se exija la autorización por parte del titular o bien, mediante la orden de un juez que pueda ser aplicada fuera de nuestras fronteras, de acuerdo con los procedimientos que se utilicen en esos casos.

 

En el segundo párrafo, sugerimos que se especifique que ese acceso a datos informáticos se podrá efectuar siempre que no se trate de datos personales sensibles o de acceso restringido, si es que están ubicados en nuestro país o bien, si se trata de información existente en otros países, adecuar la solicitud a la legislación que corresponda en esos otros Estados requeridos. Con la redacción propuesta en la iniciativa de ley, da la apariencia de que las autoridades de investigación tienen acceso irrestricto a cualquier tipo de datos, dentro o fuera de nuestras fronteras, disposición que rozaría con las normas existentes en Costa Rica sobre protección de datos personales o de protección de la intimidad.

 

- * -

 

 “ARTÍCULO 9- Reformas al Código Penal. Refórmanse los artículos 7, 167, 167 bis, 173, 173 bis, 174, 194, 194 bis, 196, 196 bis, 198, 209, 217 bis, 223, 229 bis, 229 ter, 230, 231, 232, 233, 234 236, 263 y 281 del Código Penal No.4573 de 4 de mayo de 1970, cuyos textos dirán:

 

“Artículo 194.-”. Hacemos notar que, en el encabezado del artículo 9° afectante, se menciona que se reformará este numeral. No obstante, la propuesta de modificación no lo incluye aquí, sino en el artículo 11 del proyecto, donde se propone crear un tipo penal nuevo, denominado “Acoso cibernético”. Por tanto, deberá eliminarse la referencia en dicho encabezado. El comentario respectivo de esta representación técnico-jurídica consta allí.

 

- * -

 

“Artículo 194 bis. -”. Al igual que en el comentario anterior, notamos que, en el encabezado del artículo 9° afectante, se menciona que se reformará este numeral. No obstante, la propuesta de modificación no lo incluye aquí, sino en el artículo 11 del proyecto, donde se propone crear un tipo penal nuevo, denominado “Ciberacoso sexual”. Por tanto, deberá eliminarse la referencia en dicho encabezado. El comentario respectivo de esta representación técnico-jurídica consta allí.

 

- * -

 

(Párrafo primero)

 

 “Artículo 196- Violación de comunicaciones

Será reprimido con pena de prisión de uno a tres años a quien, con peligro o daño para la intimidad o privacidad de otro, y sin su autorización, se apodere, acceda, modifique, altere, suprima, intervenga, intercepte, abra, entregue, venda, remita o desvíe de su destino comunicaciones dirigidas a otra persona o sus documentos privados.”

 

Comentario de la PGR: El primer párrafo del artículo que se propone en este proyecto, no presenta mayores modificaciones con el párrafo actual del numeral 196. La única diferencia es la reubicación del término “documentos”, al que además se le añade la palabra “privados”, para restringir sólo a ese tipo de instrumentos la posibilidad de interceptación o desvío. Puede resultar lógico pues, si un documento tiene carácter público, su conocimiento no estaría violentando la privacidad o intimidad de la supuesta víctima. En cuanto a las comunicaciones propiamente dichas, su protección y sanción se mantienen incólumes.

 

                                                           ---0--

 

(Párrafo segundo)

 

“Será reprimido con pena de prisión de uno a cuatro años a quien, con peligro o daño para la intimidad de otro, utilice o difunda el contenido de comunicaciones o documentos privados que carezcan de interés público.”

 

Comentario de la PGR: En el segundo párrafo, si bien la redacción es la misma que la actual, se eleva la pena en el extremo superior que pasa de tres a cuatro años. No encontramos ninguna justificación en aumentar la pena por una conducta que es idéntica a la anterior pues, en ambos casos, se trata de la difusión de documentos privados o que carezcan de interés público. En ese sentido, recomendamos que la pena propuesta se mantenga para que sea igual a la actual, esto es, de uno a tres años, de la misma manera que se establece en el párrafo primero de este proyecto de artículo.

 

 

                                                           ---0---

(Párrafo tercero)

 

“Será reprimido con pena de prisión de uno a tres años a quien, en perjuicio de una persona física o jurídica, intervenga o capture comunicaciones confidenciales entre dos sistemas informáticos.”

 

Comentario de la PGR: Este tercer párrafo castiga la intervención o captura de comunicaciones confidenciales entre dos sistemas informáticos. La necesidad de este tipo penal nace de las observaciones efectuadas por consultores del Consejo de Europa sobre la legislación nacional punitiva, donde se notó la ausencia de un tipo penal que castigase esa acción. En este caso, se trata de las comunicaciones que puedan efectuarse entre dos sistemas de información conectados entre sí, aunque deberán cumplirse dos condiciones: una de ellas es que exista perjuicio o daño para una persona y el otro requisito, es que dichas comunicaciones sean confidenciales. Recomendamos que se apruebe esta reforma para así cumplir con las especificaciones del Convenio de Budapest sobre Ciberdelincuencia (artículo 3°), el cual indica:

 

“Artículo 3 - Interceptación ilícita

Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para tipificar como delito en su derecho interno la interceptación deliberada e ilegítima, por medios técnicos, de datos informáticos comunicados en transmisiones no públicas efectuadas a un sistema informático, desde un sistema informático o dentro del mismo, incluidas las emisiones electromagnéticas procedentes de un sistema informático que contenga dichos datos informáticos. Cualquier Parte podrá exigir que el delito se haya cometido con intención delictiva o en relación con un sistema informático conectado a otro sistema informático.”

                                                           ---0---

(Párrafo cuarto)

 

“Será reprimido con pena de prisión de seis meses a tres años a quien promueva, incite, instigue, prometa o pague un beneficio patrimonial a un tercero para que ejecute las conductas descritas en los dos párrafos anteriores.” (el destacado no es del original, sino que se resalta para mostrar el motivo del comentario).

 

Comentario de la PGR: Se pretende castigar al instigador o autor intelectual de estas conductas delictivas. No obstante, este párrafo cuarto contiene un evidente error material, pues hace alusión, en su parte final, a “los dos párrafos anteriores”, cuando en realidad debería referirse a los tres párrafos precedentes. El error ocurre al introducirse un tercer apartado (conforme con el Convenio de Budapest) donde actualmente sólo hay dos. En esa situación anterior, sí tenía sentido referirse a los dos párrafos anteriores; no obstante, ahora son tres párrafos los que deben ser abarcados, de manera que también incluya el párrafo primero del artículo.

 

Si no se corrige dicho desliz, nos enfrentaríamos a la inconveniente situación de que solamente el autor material de la acción delictiva podría ser castigado, no así el instigador o promotor del hecho punible, quien quedaría sin castigo si la acción es ejecutada por otra persona. Es decir, no cabría la posibilidad de sancionar al instigador o promotor de las conductas indicadas en el párrafo primero, mismas que son el núcleo de este tipo penal.

 

Por otra parte, debe también corregirse, en este párrafo cuarto, la expresión “a un tercero”, y cambiarse por “otro” u “otra persona”. Ese tipo de enunciados son de preocupación para los fiscales encargados de investigar la participación de los eventuales imputados, pues la expresión “a un tercero” parece referirse a un sujeto diferente en la tercera persona del singular (yo, primera persona; tú, segunda persona; él, tercera persona), lo que ha causado confusión para determinar a quién debe imputarse la conducta. Este mismo error ha sido encontrado tanto en las normas vigentes como en este proyecto de ley, falta que procuraremos señalar cuando sea encontrada, según veremos en otros numerales de este proyecto de ley.

 

                                                           ---0---

 

(Párrafo quinto)

 

“La pena será de dos a cuatro años de prisión en los siguientes casos:

a)           Las conductas sean realizadas por las personas encargadas de la recolección, entrega o salvaguarda de los documentos o comunicaciones.

b)           Las conductas sean realizadas personas encargadas de administrar o dar soporte al sistema informático, o bien, que en razón de sus funciones tengan acceso a dicho sistema o a los soportes de almacenamiento.

c)           La difusión de los documentos o comunicaciones privadas tengan un alcance a una cantidad de personas en medios electrónicos igual o superior al equivalente al 1% de la población nacional.”

 

Comentario de la PGR: Finalmente, en la parte última del artículo se señalan las circunstancias de agravación. La pena queda igual que en el tipo penal vigente, lo mismo que el inciso a), pero las circunstancias agravantes se refieren a la totalidad de las conductas y no sólo al párrafo primero, como es la redacción actual. No obstante, es necesario que el encabezado de este párrafo quinto se modifique para que guarde mayor coherencia en la redacción. Nuestra sugerencia es que el encabezado diga “La pena será de dos a cuatro años de prisión cuando…” o bien, “La pena será de dos a cuatro años de prisión si…”, de manera que se clarifique a qué se refiere y cuándo deberán aplicarse las circunstancias de agravación.

 

El inciso a) no presenta ningún cambio con respecto al tipo penal actual.

 

El inciso b) sí contiene un cambio que debe ser estudiado con cuidado, pues limita su aplicación sólo al “sistema informático” y no a la “red informática o telemática”, como es su redacción vigente o bien, a un sistema de información. En otras palabras, si la interceptación o desvío de documentos se efectúa desde una red informática o telemática, no aplicaría la circunstancia de agravación, pues la redacción propuesta sólo hace referencia a un sistema informático. La diferencia estriba en que la red informática o telemática es la forma más común de comunicación entre equipos de cómputo, lo que implica la conexión entre varias computadoras, mientras que un sistema informático bien podría estar ubicado en un único equipo de cómputo.

 

Por lo tanto, sugerimos que se incluya en este inciso b) los términos “red informática o telemática” y “sistema de información”. No encontramos razón para cercenar de la manera indicada esas expresiones que constan hoy día en el inciso vigente, mismas que deben conservarse.

 

De igual forma, es necesario que se agreguen las palabras “por las”, de manera que se precise que la conducta será “realizada por las personas”, etc. Se aclara que dicha omisión puede constatarse en la publicación del proyecto de ley en La Gaceta.

 

Finalmente, el inciso c) se crea como una forma de medición del alcance de los hechos delictivos, es decir, determinar cuán extenso pudo haber sido el daño ocasionado a una persona por la divulgación de los documentos o comunicaciones privadas, en consonancia con la cantidad de personas que pudo haber tenido contacto con la información filtrada. A pesar de este posible criterio de extensión, tómese en cuenta que, cuando una noticia es divulgada por un medio de comunicación masiva o en una red social, su alcance puede ser casi la totalidad de la población del país o más aún, pues es de esperar que también traspase las fronteras. De hecho, se trataría de un número indeterminable de personas.

 

Nuestra sugerencia es que se explique a qué se refiere la frase “cantidad de personas en medios electrónicos”, es decir, si se hace referencia sólo a las personas que efectivamente tienen acceso a medios electrónicos, o si esos medios electrónicos abarcan también los medios tradicionales de comunicación masiva como radio, televisión y prensa, o si son las personas con acceso a redes abiertas como Internet o redes sociales, o que dispongan de aparatos electrónicos de comunicación (teléfonos inteligentes, tabletas, computadoras, etc.); todo ello por cuanto no es lo mismo el número de habitantes de un país que el número de personas que tienen acceso efectivo a medios de comunicación masiva o que cuenten con la posibilidad de utilizar los aparatos de comunicación, que brindan las modernas tecnologías (dada la situación realista de la brecha tecnológica), ni se aclara si se incluye la totalidad de la población residente o sólo los mayores de edad, ni tampoco se indica qué ocurre con las personas fuera del territorio nacional que puedan tener acceso, etc.

 

De igual manera, debería indicarse cuál entidad fijaría dicho número, por ejemplo, si es la Corte Plena (tal y como ocurre actualmente con la definición del término “salario base” el cual se fija anualmente y es publicado en el Boletín Judicial), el Tribunal Supremo de Elecciones, el Instituto Nacional de Estadísticas y Censos o cuál otra entidad. Es un tema que podría resultar complicado o confuso, por lo que debe clarificarse pues en el Derecho Penal la letra de la ley debe ser perfectamente clara y transparente, sin dejar lugar a interpretaciones antojadizas que puedan dar al traste con la aplicación de la norma, ni tampoco dejarse al arbitrio del juez.

 

En conclusión, nuestra recomendación puntual es que se considere la eliminación ese inciso c) de este proyecto de artículo.

 

- * -

 

(Párrafo primero)

 

“Artículo 196 bis- Violación de datos personales

Será sancionado con pena de prisión de uno a tres años a quien en beneficio propio o de un tercero, con peligro o daño para la intimidad o privacidad y sin la autorización del titular de los datos, se apodere, modifique, interfiera, acceda, copie, transmita, publique, difunda, recopile, inutilice, intercepte, retenga, venda, compre, desvíe para un fin distinto para el que fueron recolectados o dé un tratamiento no autorizado a las imágenes o datos de una persona física o jurídica, almacenados en sistemas informáticos o en soportes de almacenamiento.”

 

Comentario de la PGR: El primer párrafo presenta el mismo error que, a nuestro juicio, se mantiene en la redacción vigente de este tipo penal, donde se habla de la obtención de un beneficio. El problema con la aplicación de ese artículo sería precisamente la escasa posibilidad de demostrar el supuesto beneficio para el trasgresor. En primer lugar, habría que especificar qué significa “beneficio”, es decir, si se trata de algún estipendio económico o una contraprestación en especie, o simplemente la satisfacción personal de haber “dado tratamiento”, entregado, transmitido o cedido los datos personales de otra persona. Además de la indeterminación de ese concepto, nos enfrentaríamos a la situación de que, si ese beneficio no existió o no puede ser demostrado, cualquier sujeto podría dar a conocer los datos personales de otros, de la categoría que sea (sensibles o de acceso restringido) sin que exista sanción alguna.

 

Debido a esto, nuestra primera recomendación es que se elimine el elemento del “beneficio” para el sujeto activo. Bastará con que se produzca un daño o un perjuicio contra la víctima, en su intimidad o privacidad, para que el tipo penal pueda ser aplicado. Si dicho daño no se produjese o no pudiese ser demostrado, se podrían aplicar simplemente las sanciones administrativas que contempla la Ley de Protección de Datos, N° 8968 de 2011, si ello fuese posible.

 

También volvemos a llamar la atención sobre el uso del término “de un tercero” pues, según indicamos antes, los fiscales encargados de la aplicación del tipo penal han manifestado dificultades y confusión para determinar a quién podría imputarse el beneficio de la acción, pues no queda claro a qué se refiere el artículo cuando habla de un “tercero”. Véanse las observaciones al párrafo cuarto del proyecto de artículo anterior 196, párrafo segundo, donde también nos referimos a este mismo punto, y también recomendamos que sea sustituido por “otro” u “otra persona”.

 

Además, sugerimos que se elimine la referencia a personas “jurídicas”, pues la protección de datos u autodeterminación informativa sólo resguarda a personas físicas, dado que el rango de protección constitucional y la ley especial sólo protegen a los ciudadanos, no a las personas jurídicas.

 

En otro orden de cosas, hacemos la observación sobre la última frase de la iniciativa de artículo, donde, otra vez, se alude a datos personales “almacenados en sistemas informáticos o en soportes de almacenamiento.”, lo que muestra una limitación importante, dado que los datos personales podrían estar alojados también en sitios no electrónicos, es decir, en bases de datos manuales. Nótese que el artículo 2° párrafo primero de la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales (N° 8968 de 07 de julio de 2011), menciona expresamente tanto las bases de datos manuales como automatizadas:

 

 

“ARTÍCULO 2.- Ámbito de aplicación

 

Esta ley será de aplicación a los datos personales que figuren en bases de datos automatizadas o manuales, de organismos públicos o privados, y a toda modalidad de uso posterior de estos datos.” (el subrayado no es del original).

 

Por tanto, no debe ser que en este proyecto se excluyan las bases de datos manuales, y que la protección se dirija sólo a los repositorios electrónicos, pues a fin de cuentas no importa cuál sea el origen del dato personal o de dónde ha sido tomado. En todo caso, la posibilidad de que un dato esté en formato manual y que luego se convierta en electrónico, mediante un proceso de digitalización, es muy simple para efectos de tratamiento o divulgación.

 

Nuestra sugerencia concreta es que se incluyan también las bases de datos manuales o físicas, pues así se brindaría una protección más amplia para el ciudadano como titular de los datos.

 

Sobre este mismo punto, encontramos que la redacción vigente del artículo hace alusión a los datos “almacenados en sistemas o redes informáticas o telemáticas, o en contenedores electrónicos, ópticos o magnéticos.” No obstante, en el artículo propuesto se indican sólo los “sistemas informáticos o soportes de almacenamiento”, expresiones que consideramos limitan el alcance de aplicación de la norma, puesto que la información de datos personales podría estar contenida (y lo está) también en sistemas de información (bases de datos electrónicas). Hacemos esa observación para que el legislador tenga en cuenta el cambio negativo que podría producirse si se aprueba este proyecto, con la omisión de esos términos.

                                                 

(Párrafo segundo)

 

“La misma pena indicada en el párrafo anterior se impondrá a quien, con peligro a la intimidad o privacidad de una o más personas, se apodere o difunda datos personales sensibles y confidenciales sin el consentimiento del titular de los datos.”

 

Comentario de la PGR: Existe aquí un error de conceptos que debe corregirse, so pena de hacer inaplicable esta disposición. De acuerdo con la Ley de Protección de Datos (N° 8968 de 2011) ya citada antes, existen cuatro categorías de datos: datos sensibles, datos de acceso restringido, datos de acceso irrestricto y datos del comportamiento financiero de la persona. Nos interesa enfocarnos brevemente en los dos primeros conceptos.

 

Por “datos sensibles”, según comentamos en el artículo primero de esta iniciativa de ley (el cual proponemos que se complete), deben entenderse los datos referentes al fuero interno de una persona, tales como sus ideas políticas, religiosas o espirituales, su condición socioeconómica, origen racial, información biomédica o genética, vida y orientación sexual, entre otros, tal y se consigna en el artículo 3° de la Ley de Protección de Datos. A la vez, existen los “datos de acceso restringido”, los cuales se caracterizan porque sólo tiene acceso a ellos el titular del dato o la Administración Pública. Ejemplo de ello son la imagen o fotografía, dirección exacta del domicilio, número telefónico privado, condenatorias judiciales, datos biométricos, etc., pero también otros como los datos suministrados a la Caja Costarricense del Seguro Social, al Ministerio de Hacienda, al Banco Central de Costa Rica, los de tipo tributario o los recopilados por una entidad bancaria o financiera.

 

El punto de discordia aquí es que tanto los datos sensibles como los datos de acceso restringido son confidenciales, es decir, se tienen como secretos y fuera del conocimiento del común de las personas. Por lo tanto, si se habla de “datos sensibles y confidenciales”, es una reiteración innecesaria y confusa.

 

Además, y es esta otra recomendación concreta para que se corrija, se están dejando de lado los datos de acceso restringido, que también son confidenciales y se encuentran en una categoría similar a los datos sensibles. Como ejemplo adicional de datos restringidos, pensemos en el caso del secreto bancario, la información del registro de accionistas o de los salarios del sector privado, todos los cuales son también datos de acceso restringido y, por tanto, son merecedores de una protección idéntica.

 

(Párrafo tercero)

 

“Será sancionado con pena de prisión de tres a cinco años a quien copie o se apodere de una base de datos electrónica de datos personales, sin la autorización de los titulares de los datos personales contenidos en ésta o del responsable de la base de datos.”

 

Comentario de la PGR: En el párrafo tercero encontramos dos puntos que consideramos deben modificarse. El primero de ellos, es que el tipo penal no puede limitarse sólo a bases de datos electrónicas según hicimos énfasis en el comentario al párrafo primero, y por las mismas razones allí indicadas; es decir, que la Ley de Protección de Datos (N° 8968) abarca tanto las bases de datos automatizadas como las manuales, por lo cual resulta lógico suponer que debería dársele igual tratamiento, en la parte de sanciones penales, cuando el apoderamiento recaiga sobre una base de datos manual o sistema de información. Por lo tanto, recomendamos dicha inclusión.

 

Para mayor respaldo, véase el artículo 3° inciso a) de la citada ley, que dice:

 

 

“ARTÍCULO 3.- Definiciones

 

Para los efectos de la presente ley se define lo siguiente:

a)      Base de datos: cualquier archivo, fichero, registro u otro conjunto estructurado de datos personales, que sean objeto de tratamiento o procesamiento, automatizado o manuales, cualquiera que sea la modalidad de su elaboración, organización o acceso.”  (el subrayado no es del original).

 

El segundo punto sobre el que tenemos dudas serias se refiere a la eximente de responsabilidad del sujeto activo, cuando el responsable de una base de datos dé su autorización para copiarla o apoderarse de ella. El responsable de la base de datos no es el titular de esa información ni su propietario. De acuerdo con la Ley de Protección de Datos (artículo 3° inciso h), sus funciones se limitan a decidir la finalidad de una base de datos, las categorías de datos personales que se registrarán y el tratamiento que se les dará a esos datos. Nada más.

 

“h) Responsable de la base de datos: persona física o jurídica que administre, gerencie o se encargue de la base de datos, ya sea esta una entidad pública o privada, competente, con arreglo a la ley, para decidir cuál es la finalidad de la base de datos, cuáles categorías de datos de carácter personal deberán registrase y qué tipo de tratamiento se les aplicarán (…)”

 

Así las cosas, tampoco debería tener la potestad de autorizar la copia o difusión de una base de datos a su cargo, y que ello a su vez implique eximir de responsabilidad penal a otra persona infractora. No existe disposición alguna en nuestra legislación que autorice funciones a un encargado de bases de datos, más allá de lo que indica la norma citada.

 

(Párrafo cuarto)

 

“Será sancionado con pena de prisión de seis meses a un año a quien, con peligro o daño para la intimidad o privacidad, por cualquier medio capte u obtenga la ubicación geográfica de una persona, en tiempo real o de forma periódica y sin la autorización del titular del dato, excepto cuando exista orden o sentencia judicial que así lo ordene.”

 

Comentario de la PGR: La geolocalización de un individuo puede considerarse como un dato personal de acceso restringido. Por tanto, se justifica la posibilidad de que sea la persona, en tanto titular o propietario de sus datos personales, quien decida si desea que ese dato sea conocido o no por terceras personas. La excepción que se añade, aparte de la autorización del sujeto, es cuando exista una orden judicial para ello, por ejemplo, en los casos de intervención de las telecomunicaciones o secuestro de documentos privados que prevé la ley N° 7425 de 1994 (ya citada), que regula este tema; o bien, en el caso de sentencia firme que así lo disponga, como sería la situación de un condenado al que se le imponga tener constantemente un dispositivo electrónico para conocer su ubicación en determinado momento. Así las cosas, recomendamos la aprobación de esta posible nueva disposición, la cual tiene un fuerte vínculo con la protección de datos personales.

 

No obstante la anterior sugerencia, proponemos que también se incluya como excepción el caso de una persona que tiene a su cargo un menor de edad o a un incapaz o bien, en una situación de tutela o curatela, donde la posibilidad de saber la ubicación de esa persona pueda ser necesaria para su seguridad personal, su salud o incluso su vida.

 

(Párrafo quinto)

 

“La pena será de dos a cuatro años de prisión cuando las conductas descritas en los tres párrafos iniciales:

a)      Sean realizadas por personas encargadas de administrar o dar soporte al sistema informático, o bien, que en razón de sus funciones tengan acceso a dicho sistema o a los soportes de almacenamiento.

b)      Los datos personales vulnerados sean de carácter sensible.

c)      Cuando el actor se valga del anonimato para realizar la acción delictiva.”

 

Comentario de la PGR: En el inciso a) encontramos una omisión similar a la que hemos señalado antes, en lo que se refiere al uso del término “sistema informático” dado que, según hemos señalado varias veces, una base de datos (que es en realidad un sistema de información y no necesariamente un sistema informático), puede ser manual o electrónica. Por ello, sugerimos que esta posible disposición se complete con la inclusión de los sistemas de información y bases de datos manuales. De igual manera, debe extenderse la protección a las redes informáticas o telemáticas, tal y como consta en el numeral vigente.

 

En el inciso b) también encontramos una limitación importante, pues sólo se hace referencia a datos de carácter sensible, siendo que deberían incluirse los datos de acceso restringido, dado que unos y otros son confidenciales y, por tanto, son merecedores de idéntica protección.

 

En otro orden de cosas, sí creemos que deben incluirse otras categorías de datos como elementos agravantes del tipo. En el artículo 196 bis vigente se tienen como especialmente protegidos los datos personales que correspondan a un menor de edad o incapaz. Empero, en esta propuesta de ley se excluyen esas categorías. Nuestra propuesta concreta es que se incluyan esos datos personales de menores de edad (dado el interés superior del niño) o de un incapaz, ambos en un posible inciso d).

 

- * -

“Artículo 198- Captación ilegal de manifestaciones verbales y actos íntimos”

 

 

(Párrafo primero)

 

“Será reprimido, con prisión de seis meses a tres años, a quien, con daño a la intimidad o privacidad y sin consentimiento de los participantes de una comunicación oral, grabe sus manifestaciones verbales, no destinadas al público o que, mediante procedimientos técnicos, escuche manifestaciones privadas que no le estén dirigidas, excepto si existe orden judicial que lo autorice. La misma pena se impondrá́ a quien instale aparatos, instrumentos o sus partes, con el fin de interceptar o impedir las comunicaciones orales o escritas, logren o no con su propósito.”

 

Comentario de la PGR: El párrafo primero es muy similar al texto vigente actual, con la diferencia de que se rebaja la pena de un año a seis meses, y que se hace referencia expresa al posible daño a la intimidad o privacidad de la víctima. Además, se amplía la prohibición de la comunicación, pues pasa de castigar a quien escuche manifestaciones privadas que no le estén dirigidas, a sancionar expresiones verbales no destinadas al público. No encontramos mayores diferencias entre el tipo penal actual y el propuesto, excepto en su redacción, que busca el mismo propósito, pero con diferentes palabras sin variar el tipo penal en mayor medida.

 

Nuestra principal observación es la frase final del primer párrafo, donde se sanciona la “interceptación” de “comunicaciones orales o escritas”. La palabra “interceptación” debe ser eliminada pues dicha conducta ya está sancionada en el actual artículo 196, mismo que trata precisamente del castigo por la intervención no autorizada de las comunicaciones. El error que señalamos es de tipo histórico, pues hizo falta analizar los tipos penales existentes con conductas idénticas, todo ello con el objeto de armonizar la legislación punitiva.

 

El artículo 198 tuvo una modificación en su redacción efectuada mediante la Ley de Secuestro, Registro e Intervención de las Comunicaciones, misma que reformó ese numeral al introducir la palabra “interceptación” de “comunicaciones orales o escritas”. Anteriormente y durante esa época, el artículo 196 sancionaba sólo la intervención de comunicaciones telegráficas o telefónicas y no fue sino con las reformas efectuadas por la ley N° 9048 de 10 de julio de 2012, que se castiga la intervención de comunicaciones en general, ya sean físicas o electrónicas, utilizando para ello el denominado Principio de Equivalencia Funcional, ya mencionado antes, el cual equipara con la misma validez legal los documentos físicos y los electrónicos. Hubiera sido deseable que se actualizasen y armonizaran dichos tipos penales en ese momento, pero obviamente no ocurrió así.

 

En tal sentido, quedan planteadas estas inquietudes legislativas.

 

Por otra parte, la posibilidad de impedir una comunicación podría verse también como un ataque de denegación de servicio, conducta ilícita mediante el cual puede impedirse el funcionamiento o la comunicación entre equipos de cómputo y redes de comunicación. En tal caso, debería especificarse que esa conducta de impedir la comunicación se aplicaría siempre que no se trate de un ataque de denegación de servicio, según se señala en el actual artículo 229 ter inciso d) del Código Penal, que dice:

 

“Artículo 229 ter. - Sabotaje informático

Se impondrá pena de prisión de tres a seis años al que, en provecho propio o de un tercero, destruya, altere, entorpezca o inutilice la información contenida en una base de datos, o bien, impida, altere, obstaculice o modifique sin autorización el funcionamiento de un sistema de tratamiento de información, sus partes o componentes físicos o lógicos, o un sistema informático.

La pena será de cuatro a ocho años de prisión cuando:

 a) (…) 

d)      Sin estar facultado, emplee medios tecnológicos que impidan a personas autorizadas el acceso lícito de los sistemas o redes de telecomunicaciones.”

 

En conclusión, el legislador deberá considerar la eliminación de la palabra “interceptar” que obra al final del párrafo primero de este tipo penal, dado que esa conducta ya está sancionada en el artículo 196, tanto en su versión vigente como en el proyecto de artículo propuesto. De igual forma, si se decide mantener la sanción por “impedir” una comunicación, deberá especificarse que dicho castigo se aplicaría siempre que no se trata de un ataque de denegación de servicio indicado en citado numeral 229 ter inciso d).

 

(Párrafo segundo)

 

“La misma pena indicada en el párrafo anterior se impondrá a quien capture un acto sexual, con daño a la intimidad o privacidad y sin el consentimiento de todos los participantes del acto.”

 

Comentario de la PGR: El párrafo segundo trata de la “captura” de un acto sexual, verbo que sugerimos sea sustituido por la palabra “captar” o directamente “grabar imágenes” o “filmar vídeos” en un soporte audiovisual, que son términos más precisos que “capturar”, dado que éste se refiere más bien a aprisionar, arrestar, aprehender, sujetar o encarcelar, lo que haría inaplicable el tipo penal. “Captar” o “filmar” o “grabar” son verbos más exactos y puntuales, por lo cual sugerimos su inclusión o bien, “producir material audiovisual” (como se denomina esta acción en la ley que se verá), etc. Por otra parte, la acción se refiere sólo al acto sexual. Quizás podría ampliarse más este término para que abarque también los actos íntimos en general, que pueden o no incluir el acto sexual. Sería una forma de proteger aún más la privacidad de los participantes en una relación de naturaleza precisamente tan íntima.

 

Además, en el artículo primero de este proyecto de ley, en la sección de Definiciones, se habla de “acto íntimo”, no de “acto sexual”, lo que daría mayor coherencia y armonía a esta iniciativa legislativa. En tal sentido quedan planteadas nuestras sugerencias.

 

(Párrafo tercero)

“Será reprimido con prisión de seis meses a dos años a quien, con daño a la intimidad o privacidad, capture las partes íntimas de una persona que no desee mostrarlas en público, ya sea porque las tiene parcialmente cubiertas o porque se encuentra en un lugar privado donde no se sepa observado.”

 

Comentario de la PGR: El párrafo tercero hace alusión a la grabación o filmación de las partes íntimas de una persona, especialmente en sitios privados donde la posible víctima tenga una expectativa razonable de privacidad. La observación que reiteramos se refiere al verbo “capturar”, para que se modifique por “filmar en vídeo” o “captar imágenes”, sin excluir alguna frase genérica tal como “producir material audiovisual”, según veremos.

 

De igual forma, consideramos que se podría modificar el elemento normativo, como serían las partes íntimas (que no se definen y podrían ser imprecisas), protección que consideramos insuficiente pues, por ejemplo, podría hacerse una filmación o captación de una persona, en un estado de intimidad, sin que se muestren sus partes íntimas. Entonces, tal acción no sería punible dado que este tipo penal se limita a una parte corporal sin hacer una referencia más amplia a la intimidad corporal, incluyan o no partes íntimas. En la redacción actual, pareciera que sólo hace referencia a los órganos sexuales humanos, cuando podría hacer alusión a la intimidad de la persona, variando la redacción para que se refiera a este elemento en concreto. Recordemos que la palabra “intimidad” viene del latín “intimus”, superlativo que se refiere a algo secreto, recóndito, que no está a la vista de otra persona.

 

A manera de concordancia y para evitar problemas de antinomias normativas, transcribimos la adición recientemente aprobada por la Ley contra el Acoso Sexual Callejero, N° 9877 de 10 de agosto de 2020, al Código Penal (artículo 175 quinquies), el cual indica:

 

“Artículo 175 quinquies- Producción de material audiovisual. Quien, en un espacio público, de acceso público o en un medio de transporte remunerado de personas, grabe, capte o produzca material de audio, visual o audiovisual con connotación sexual de otra persona, sin su consentimiento, será reprimido con una pena de prisión de diez meses a dieciocho meses o de treinta a cuarenta y cinco días multa, siempre que la conducta no constituya un delito con mayor pena de prisión.

La pena será de dieciocho meses a tres años de prisión o de cuarenta y cinco a sesenta días multa, en caso de que dicho material fuera enviado, mostrado o transmitido a una tercera persona, con fines de lucro o no, siempre que la conducta no constituya un delito con mayor pena de prisión.”

 

Nótese que la diferencia principal es que el hecho punible debe llevarse a cabo en sitios públicos, diferente al artículo propuesto, donde se hace referencia sólo a sitios privados. Es decir, no son tipos penales que entren en colisión.

 

- * -

 

“Artículo 209.-” Hacemos notar que, en el encabezado del artículo afectante, se menciona que se reformará este numeral. No obstante, la propuesta de modificación no lo incluye aquí, sino en el artículo 10 del proyecto general, donde se propone una adición de un inciso 8) al delito de hurto agravado. Por tanto, deberá eliminarse la referencia en dicho encabezado. El comentario de esta representación técnico-jurídica consta allí.

 

- * -

 

“Artículo 217 bis- Estafa informática

Se impondrá prisión de dos a seis años a quien, en perjuicio de una persona física o jurídica, manipule o influya en el ingreso, en el procesamiento o en el resultado de los datos de un sistema automatizado de información, ya sea mediante el uso de datos falsos o incompletos, el uso indebido de datos, programación, valiéndose de alguna operación informática o artificio tecnológico, o bien, por cualquier otra acción que incida en el procesamiento de los datos del sistema o que dé como resultado información falsa, incompleta o fraudulenta, con la cual procure u obtenga un beneficio patrimonial o indebido para sí o para otro.”

 

Comentario de la PGR: El párrafo primero del artículo se mantiene idéntico al actual, excepto en la pena, que baja de tres a dos años en su extremo menor, aunque el máximo se mantiene en seis años. Es este un tema de política criminal que deberá ser decidido por el legislador.

 

(Inciso 1)

“La pena será de tres a diez años de prisión cuando:

1.- Las conductas sean cometidas contra sistemas informáticos públicos, bancarios o de entidades financieras.”

 

Comentario de la PGR: Encontramos reparos en este inciso primero del artículo propuesto. En el inciso 1) se comete el error de confundir un “sistema informático” con un “sistema de información”, que no es necesariamente lo mismo. Ya hemos hecho énfasis en esta diferenciación en los párrafos anteriores y hemos concluido en que se trata de un error de conceptos, que debe corregirse. En la redacción actual y vigente de ese artículo se habla, correctamente a nuestro juicio, de “sistemas de información públicos, sistemas de información bancarios y de entidades financieras”.

 

Estos términos hacen referencia a un conjunto de datos que interactúan entre sí para lograr un fin común, compuesto básicamente por tres partes como son la entrada, el procesamiento (o “caja negra”) y la salida. Este sistema básico actúa dentro de un ambiente y está sujeto a un proceso de retroalimentación que es producido en el propio ambiente en el que interactúa. Nótese que el concepto de sistema implica la noción de sinergia, es decir, que el todo es mayor que la suma de sus partes.

 

En el sistema de información, la entrada serán siempre datos y la salida será información, que viene a ser el conjunto ordenado de datos que mueven a la toma de decisiones. De hecho, todo sistema de información es, a su vez, un sistema para el soporte en la toma de decisiones, llámese registro civil, registro de propiedades, registro de accionistas, registro de propiedad intelectual, etc., pues todos ellos ayudan en la recolección, almacenamiento, procesamiento, recuperación y distribución de la información que emiten como salida, según corresponda. Cualquier sistema de información utilizará un programa de base de datos automatizado para efectuar sus funciones. Suele estar ubicado en un único equipo de cómputo (un “servidor” de cómputo) desde donde se puede alimentar con datos nuevos o modificando o eliminando los existentes, o brindando un servicio de consulta.

 

No obstante, en el proyecto de artículo se habla de “sistemas informáticos”, concepto más limitado que hace referencia a la parte física y de comunicación entre equipos de cómputo. El Convenio de Europa sobre Ciberdelincuencia, en su artículo primero, inciso a), lo define como “…todo dispositivo aislado o conjunto de dispositivos interconectados o relacionados entre sí, siempre que uno o varios de ellos permitan el tratamiento automatizado de datos en ejecución de un programa”.

 

Dichos términos no son sinónimos, sino que el segundo concepto se asimila más a la parte de procesamiento o “caja negra” del sistema, y que responde a un conjunto interdependiente de componentes lógicos (programas o software), físicos (hardware) y el componente humano, que es el personal informático. Nuestra recomendación es que se utilice el término “sistema de información”, según consta ya en el párrafo primero del artículo propuesto y en el artículo vigente. Por otra parte, si el legislador lo tiene a bien, el único remedio que encontramos sería utilizar ambos términos para que no quede ninguna duda.

 

            De hecho, nuestra principal preocupación (y es por eso que se incluyó el artículo 217 bis en este conjunto de reformas) es que se cambiara la conjunción “y” (inclusiva) por la “o” (excluyente) en la redacción de ese artículo, pues en la actualidad, la versión vigente de la norma habla de “sistemas de información públicos, sistemas de información bancarios y de entidades financieras”, lo que hace casi inaplicable este artículo en el tanto, para aplicar la sanción agravante, se requeriría que los sistemas vulnerados sean de información bancaria y financiera al mismo tiempo, cuando la intención original, a la hora de redactar este numeral, es que se refiriera a uno u otro tipo, pero no ambos al mismo tiempo; es decir, sistemas de información públicos, sistemas de información bancarios o de entidades financieras.

 

(Inciso 2)

 

“2.- El autor es un empleado encargado de administrar o dar soporte al sistema informático, o bien, que en razón de sus funciones tenga acceso al mismo, o a los soportes de almacenamiento.”

 

Comentario de la PGR: En cuanto al inciso 2), nuevamente solicitamos que se indique que se trata de un sistema de información y no sólo de un “sistema informático”. La persona encargada de dar soporte a un sistema informático puede tener funciones que abarquen los componentes físicos y de comunicación de equipo de cómputo, como puede ser un cambio de disco duro, de pantalla, de teclado, de una tarjeta interna, o añadir más memoria aleatoria al equipo e incluso, actualizar programas, sistemas operativos, programas utilitarios, etc. Es por esto que en la redacción del artículo vigente se hace énfasis en la persona encargada de dar soporte a la red informática o telemática, típicamente funciones que tiene un encargado de labores relacionadas con el hardware, no necesariamente con un sistema de información.

 

En cambio, la persona encargada de dar soporte a un sistema de información tratará exclusivamente con el componente lógico, es decir, los programas o “software” que contengan los datos. Este tipo de labores pueden ser, por ejemplo, de alimentación diaria de una base de datos donde se añadan o modifiquen las fichas o reseñas que consten en ese programa. Esta persona no tiene que ser especialista en la parte física del equipo o del sistema operativo, o en la instalación de programas en general, sino que deberá estar dedicado casi exclusivamente a la alimentación y mantenimiento de la base de datos, sin que se requiera que sea un experto en computación.

 

Lo que ocurre es que esta persona, encargada de alimentar con datos al sistema de información, sí tendrá mayores posibilidades de cometer un delito pues cuenta con los permisos necesarios para ingresar al sistema, sean por ejemplo su nombre de usuario y clave correspondiente, autorizaciones que no tiene una persona encargada de dar mantenimiento o soporte a los equipos y programas.

 

Consideramos que, con esta explicación, queda suficientemente aclarado y justificado el por qué debe hacerse una distinción entre el encargado de dar soporte a un sistema informático y el encargado de dar soporte a un sistema de información.

 

(Inciso 3)

 

“3.- El monto de lo defraudado excediere de diez veces el salario base.”

 

Comentario de la PGR: Es este un inciso nuevo que se añadiría como circunstancia de agravación. No tenemos mayores comentarios al respecto excepto que se modifique la preposición “de” y se cambie por la partícula “en”, de manera que diga “excediere en diez veces”. Otra opción es que se elimine del todo esa oración, sin que por ello pierda sentido la intención del legislador. De igual forma, sugerimos que se haga referencia a la ley que regula el término “salario base”, indicando que se trata de la ley N° 7337 de 5 de mayo de 1993.

 

- * -

 

“Artículo 223- Apropiación y retención indebidas

Se impondrá la pena establecida en el artículo 216 del Código Penal, según el monto de lo apropiado o retenido al que, teniendo bajo su poder o custodia una cosa mueble, un valor ajeno o activo digital, por un título que produzca la obligación de entregar o devolver, se apropiare de ello o no lo entregare o restituyere a su debido tiempo, en perjuicio de otro. Si no hubiere apropiación sino uso indebido de la cosa, con perjuicio ajeno, la pena se reducirá, a juicio del juez.

En todo caso, previamente el imputado será prevenido por la autoridad que conozca del asunto, para que, dentro del término de cinco días hábiles, devuelva o entregue el bien y, si lo hiciere no habrá delito, sin perjuicio de las acciones civiles que a las que pudiere recurrir el dueño.”

 

Comentario de la PGR: Este artículo es idéntico al numeral vigente, con la única diferencia que se añaden las palabras “activo digital”, conceptuado en el primer artículo del proyecto de ley, referente a las definiciones, como “Cualquier recurso u objeto que existe de forma electrónica y que alguien puede utilizar, poseer o administrar, por lo que tiene asociado un derecho.”. Aquí podríamos pensar en los avances de las nuevas tecnologías que han dado lugar a bienes electrónicos, tal como las criptomonedas, mismas que han alcanzado un valor notable en el sector financiero y que son aceptadas como medio de pago en muchos sitios. Igualmente, podríamos pensar en un bien intangible como un programa de cómputo (“software”) en un disco duro o soporte magnético u óptico o bien, una licencia para el uso de dicho programa. No tenemos mayores comentarios al respecto.

 

Sí consideramos urgente llamar la atención para que el legislador corrija la referencia que se hace en la primera oración del primer párrafo, donde la pena se remite a lo que indique el artículo 216 del Código Penal (delito de estafa). El artículo 223 actual tiene esa redacción anacrónica según fue ordenada por el numeral 1° de la ley N° 6726 de 10 de marzo de 1982. En aquel momento, el legislador se estaba refiriendo a la pena que se indicaba el artículo 216 con el contenido de esa época, la cual era de seis meses a diez años. No obstante, por medio del artículo 1° de la ley N° 7337 de 5 de mayo de 1993, el texto del artículo 216 se modificó sustancialmente, y las penas variaron en gran medida, situación que no fue prevista por el legislador de 1982 ni fue advertida por el legislador de 1993.

 

El texto vigente del artículo 216 indica:

 

“Artículo 216.-Quien induciendo a error a otra persona o manteniéndola en él, por medio de la simulación de hechos falsos o por medio de la deformación o el ocultamiento de hechos verdaderos, utilizándolos para obtener un beneficio patrimonial antijurídico para sí o para un tercero, lesione el patrimonio ajeno, será sancionado en la siguiente forma:

1.- Con prisión de dos meses a tres años, si el monto de lo defraudado no excediere de diez veces el salario base.

2.- Con prisión de seis meses a diez años, si el monto de lo defraudado excediere de diez veces el salario base.

Las penas precedentes se elevarán en un tercio cuando los hechos señalados los realice quien sea apoderado o administrador de una empresa que obtenga, total o parcialmente, sus recursos del ahorro del público, o por quien, personalmente o por medio de una entidad inscrita o no inscrita, de cualquier naturaleza, haya obtenido sus recursos, total o parcialmente del ahorro del público.”  (así reformado por el artículo 1º de la ley Nº 7337 de 5 de mayo de 1993.)

 

Como es fácil concluir, el legislador de 1982 no podía estar haciendo referencia a este texto futuro, sino al de su tiempo, que era simplemente de seis meses a diez años. Sugerimos, pues, que no se haga remisión a otros artículos del propio Código Penal o de otras leyes para fijar las penas, tomando en cuenta que la dinámica de las modificaciones legislativas cambia la ubicación o el contenido de los artículos, lo que puede causar una confusión importante para el operador jurídico a la hora de tratar de aplicar una norma, como la indicada o tratar de interpretar el monto de la pena que debe imponer. Más aún, sólo piénsese en el caso de que dicho artículo principal fuere derogado o anulado. Ello implicaría la imposibilidad absoluta de utilizar cualquier otro artículo que esté vinculado de alguna forma a aquél.

 

Por ello, sugerimos que se indique directamente en el artículo correspondiente la pena con que se castigará la acción delictiva, sin remisiones a otros numerales.

 

- * -

 

“Artículo 229 bis- Daño informático

Siempre que no constituya delito con una pena superior, se impondrá pena de prisión de uno a tres años al que sin autorización del titular o excediendo la que se le hubiera concedido y en perjuicio de otra persona, suprima, modifique o destruya la información contenida en un sistema o red informática o telemática, o en soportes de almacenamiento.

La pena será de tres a seis años de prisión, si la información suprimida, modificada, destruida es insustituible o irrecuperable.”  (el resaltado no es del original, sino que se destaca para mostrar el cambio propuesto).

 

Comentario de la PGR: El daño informático se encuentra regulado también en otras normas específicas, tales como en el artículo 95 del Código Tributario, N° 4755 de 3 de mayo de 1971, donde se prevé la sanción por destruir, inutilizar o alterar cualquier programa de cómputo declarado como restringido:

 

“ARTÍCULO 95.- Manejo indebido de programas de cómputo

Será sancionado con pena de tres a diez años de prisión, quien sin autorización de la Administración Tributaria, se apodere de cualquier programa de cómputo, utilizado por ella para administrar la información tributaria y sus bases de datos, lo copie, destruya, inutilice, altere, transfiera, o lo conserve en su poder, siempre que la Administración Tributaria los haya declarado de uso restringido, mediante resolución.”

 

También en los artículos 219 y 221 de la Ley General de Aduanas, N° 7557 de 20 de octubre de 1995, se castiga el daño informático que recaiga sobre bienes o instrumentos utilizados en las actividades aduaneras:

 

“ARTICULO 219.- Ocultamiento o destrucción de información

Será reprimido con prisión de uno a tres años quien oculte, niegue o altere información a la autoridad aduanera o destruya libros de contabilidad, sus anexos, archivos, registros, mercancías, documentos y otra información de trascendencia tributaria o aduanera; asimismo, sistemas y programas computarizados o soportes magnéticos o similares que respalden o contengan esa información.”

“ARTICULO 221.- Delitos informáticos

Será reprimido con prisión de uno a tres años quien:

a) (…)

b) Se apodere, copie, destruya, inutilice, altere, facilite, transfiera o tenga en su poder, sin autorización de la autoridad aduanera, cualquier programa de computación y sus bases de datos, utilizados por el Servicio Nacional de Aduanas, siempre que hayan sido declarados de uso restringido por esta autoridad.

c) Dañe los componentes materiales o físicos de los aparatos, las máquinas o los accesorios que apoyen el funcionamiento de los sistemas informáticos diseñados para las operaciones del Servicio Nacional de Aduanas, con la finalidad de entorpecerlas u obtener beneficio para sí o para otra persona.”

 

Además, en la Ley de Administración Financiera de la República y Presupuestos Públicos, N° 8131 de 18 de setiembre de 2001, artículo 111, incisos a) y b), encontramos la sanción a conductas similares:

 

“Artículo 111. Cometerán delito informático, sancionado con prisión de uno a tres años, los funcionarios públicos o particulares que realicen, contra los sistemas informáticos de la administración financiera y de proveeduría, alguna de las siguientes acciones:

a.- Apoderarse, copiar, destruir, alterar, transferir o mantener en su poder, sin el debido permiso de la autoridad competente, información, programas o bases de datos de uso restringido.

b.- Causar daño, dolosamente, a los componentes lógicos o físicos de los aparatos, las máquinas o los accesorios que apoyan el funcionamiento de los sistemas informáticos.”

 

La razón de ser de esta modificación yace en la frase “en perjuicio de otra persona”, para sustituir la expresión actual “en perjuicio de un tercero”, consecuencia de la recomendación de los fiscales del Ministerio Público para que se clarifique a quién debe tenerse como perjudicado. Este punto ya había sido explicado párrafos arriba, en nuestros comentarios al artículo 196, párrafo cuarto y en las observaciones al artículo 196 bis.

 

Finalmente, deberá hacerse la excepción en cuanto a la aplicación de este tipo penal en materia aduanera, tributaria y de presupuestos públicos, puesto que ya existen sanciones específicas en esos campos, según hemos citado. Puede ser mediante una frase inicial en el encabezado del tipo, tal como “con excepción de lo que indiquen las normas especiales, …”, etc.

 

- * -

“Artículo 229 ter- Sabotaje informático

 

(Párrafo primero)

 

Se impondrá pena de prisión de uno a seis años al que destruya, altere, entorpezca o inutilice la información contenida en una base de datos electrónica, o bien, impida, altere, obstaculice o modifique sin autorización el funcionamiento de un sistema automatizado de tratamiento de información, sus partes o componentes físicos o lógicos, o un sistema informático.”

 

Comentario de la PGR: Encontramos algunas diferencias importantes y serias en el contenido de este numeral, especialmente la omisión que destacaremos al final de estos comentarios. En primera instancia, notamos que las penas disminuyen de tres a un año en el rango menor y queda igual en el nivel superior, de seis años.

 

Por otra parte, y con consonancia con las observaciones que ya hemos planteado a lo largo de estos comentarios, sugerimos que se modifique la expresión “base de datos electrónica” por “sistema de información”. Si bien todo sistema de información tiene como programa de soporte una base de datos, debe extenderse la protección a todos sus componentes, no considerados aisladamente, sino toda parte que implique o tenga vinculación con el programa, tales como los datos compilados o sus índices, tablas, informes, formularios e incluso sus copias de respaldo. Debe tenerse en cuenta que no es lo mismo el programa de base de datos que los datos contenidos en él, o los archivos que pueda generar al momento de ejecutarlo.

 

(Párrafo segundo)

 

“La pena será́ de tres a ocho años de prisión cuando:

a)           Como consecuencia de la conducta del autor sobrevenga peligro colectivo o daño social.

b)           La conducta se realice por parte de un empleado encargado de administrar o dar soporte al sistema informático, o bien, que en razón de sus funciones tenga acceso a dicho sistema, o a los soportes de almacenamiento.”

 

Comentario de la PGR: En este inciso b) deben sustituirse las palabras “sistema informático” por “sistema de información”, según explicamos en detalle en los párrafos anteriores (en las observaciones al artículo 217 bis), donde creemos haber explicado las diferencias entre uno y otro concepto, lo que bien puede ameritar una precisión en el planteamiento de todo artículo donde se hagan esas referencias.

 

                                                           ---0---

 

“c)         El sabotaje afecte infraestructura crítica de Costa Rica o un país extranjero.

e)      El sabotaje atente contra un servicio digital que utilice una cantidad de personas igual o superior al equivalente del 1% de la población nacional.”

 

Comentario de la PGR: Debe especificarse qué significa la cifra de 1% de la población nacional, tal y como los hemos indicado en detalle párrafos arriba [ver el comentario al proyecto del artículo 196, párrafo quinto, inciso c)], donde expusimos nuestras dudas sobre cómo se puede determinar ese porcentaje de personas que utilizan un servicio digital, término éste que tampoco se define ni determina. Por ejemplo, con la irrupción de la televisión digital en Costa Rica, estaríamos en presencia sin duda de un “servicio digital”. Si se interrumpiese dicho servicio, estaríamos en presencia de la acción delictiva. No obstante, el tipo penal no señala si los servicios correspondientes que se vean afectados deberán ser de naturaleza pública o si también abarcarán a las empresas privadas de telecomunicaciones.

 

La redacción de ese inciso debe revisarse con cuidado pues se indica, no que ese servicio sea afectado, sino que sea utilizado por el 1% de la población. En otras palabras, sólo se estarían protegiendo empresas de ciertas dimensiones, con cantidades de usuarios que deberían superar los cincuenta y cinco mil personas. Sugerimos, pues, una redacción más clara y precisa para este apartado o bien, considerar su eliminación.

 

Consideramos que debe restituirse el inciso c) del artículo 229 ter vigente, donde se indica que el sistema sea “de carácter público o la información esté contenida en bases de datos públicas”. No parece adecuado que se haya cercenado ese importante inciso, pues la protección que debe darse a los sistemas públicos de información debe ser mayor, tomando en cuenta la naturaleza de los datos allí almacenados.

 

Pensemos en la información tan delicada que obra en las bases de datos del Registro Civil o de los Registros Nacionales, o de la Caja Costarricense del Seguro Social, del Sistema Nacional de Información y Registro Único de Beneficiarios del Estado (SINIRUBE), del Registro de Accionistas, de la Superintendencia de Entidades Financieras, o los registros tributarios del Ministerio de Hacienda, o del Ministerio de Educación Pública, entre muchos otros. Todas esas bases de datos merecen una protección especial por parte del legislador, lo que justifica que esta disposición punitiva se mantenga.

 

De igual manera, abogamos porque se conserve también la disposición que castiga el delito conocido en la doctrina penal como “ataque de denegación de servicio que, en el caso de Costa Rica, está incluido actualmente en el inciso d) del artículo 229 ter vigente, que castiga con mayor severidad a quien “Sin estar facultado, emplee medios tecnológicos que impidan a personas autorizadas el acceso lícito de los sistemas o redes de telecomunicaciones.”  De acuerdo con lo sostenido, sugerimos que dicha disposición sea incluida nuevamente como un inciso dentro de este proyecto de artículo.

 

Finalmente, al igual que el artículo anterior sobre daño informático, deberá hacerse la excepción en cuanto a la aplicación de este tipo penal en materia aduanera, tributaria y de presupuestos públicos, puesto que ya existen sanciones específicas en esos campos, según hemos citado en el comentario a dicho numeral.

 

- * -

 

“Artículo 230- Suplantación de identidad

 

Será sancionado con pena de prisión de uno a tres años quien suplante la identidad de una persona física, jurídica, marca o aplicación informática, en cualquiera red social, sitio de internet, medio electrónico, tecnológico de información o tienda digital de aplicaciones informáticas.”

 

Comentario de la PGR: Encontramos pocas variaciones entre el contenido del tipo penal vigente y el propuesto. Simplemente se han agregado las palabras “marca o aplicación informática”, para sustituir la frase “marca comercial” y, al final, se agrega también la protección sobre las tiendas digitales de aplicaciones informáticas. No obstante, llamamos la atención del legislador en cuanto a que la oración quedaría finalmente como “marca informática”, sin especificar a qué se refiere con tal expresión, o si incluye también las marcas comerciales. Recomendamos esta aclaración.

 

- * -

 

“Artículo 231- Espionaje industrial o comercial.

Se impondrá prisión de dos a seis años al que, sin autorización del titular o responsable, valiéndose de cualquier manipulación informática o tecnológica, se apodere, transmita, copie, modifique, destruya, utilice, bloquee o recicle información de valor para el tráfico económico de la industria y el comercio.”

 

Comentario de la PGR: No existen mayores variaciones entre este numeral y el texto del artículo vigente. El cambio más notorio de ellos se localiza en la denominación del tipo penal, que pasaría de llamarse “espionaje informático” a “espionaje industrial o comercial”, designación más acertada y atinente al contenido del tipo penal, pues el espionaje informático es un término más amplio e indeterminado. Nos adherimos a esa modificación. El otro punto es la rebaja en el mínimo de la pena, que pasa de tres a dos años. Corresponderá al legislador evaluar la conveniencia o no de dicha reforma, con base en el criterio de la política criminal que apoye.

 

- * -

 

“Artículo 232- Instalación o propagación de programas informáticos maliciosos

Será sancionado con prisión de uno a siete años quién sin autorización, y por cualquier medio, instale programas informáticos maliciosos en un sistema informático.”

 

Comentario de la PGR: La única variación con el encabezado actual del artículo vigente, es el incremento en el nivel superior de la pena, que pasaría de seis a siete años. Se trata de un tema de política criminal que corresponderá ser decidido por el legislador.

 

                                                           ---0---

 

“La misma pena se impondrá́ en los siguientes casos:

a)           A quien induzca a error a una persona para que instale o ejecute un programa informático malicioso en un sistema informático.”

 

Comentario de la PGR: Recomendamos ampliar los términos de este inciso a) para que abarque también a las redes informáticas o telemáticas, así como a los soportes ópticos o magnéticos que puedan estar ligados a los sistemas, tal y como se encuentra en la legislación actual. Expresar sólo que la instalación se lleve a cabo en un sistema informático es insuficiente, tomando en cuenta que el programa malicioso pueda estar tanto en las memorias de almacenamiento masivo como en la memoria de acceso aleatorio o el archivo de comandos, y de allí expandirse a otros programas, sistemas informáticos o equipos de cómputo a través de las redes de comunicación, según se vayan ejecutando. De hecho, el tipo penal debería hacer alusión a los equipos de cómputo como elementos individuales y no sólo a un sistema informático.

                                                           ---0---

 

“b)         A quien, sin autorización, instale programas dañinos en sitios de Internet legítimos, con el fin de convertirlos en sitios de Internet atacantes.      “

 

Comentario de la PGR: Se propone, como primer requisito, que no exista autorización para la instalación de programas. No se comprende quién podría estar facultado para dar la autorización para instalar programas dañinos en sitios Web legítimos, que se entiende son ajenos. Por tanto, nuestra primera recomendación es eliminar las palabras “sin autorización”, pues no puede ser que la autorización de alguien sea un eximente de responsabilidad penal para el infractor.

 

Nuestra segunda recomendación es que se especifique que se trata de programas “informáticos” dañinos (adjetivo que no se incluye), tal y como se encuentra en la redacción vigente de este inciso, donde se indica con claridad que se trata de programas o aplicaciones informáticas dañinas. A manera de ejemplo de la importancia de clarificar el tipo de programa de que se trate, véase la ley N° 7397 de 03 de mayo de 1994 y su fe de erratas.

 

                                                           ---0---

 

“iii)        Obtenga el control a distancia de un sistema informático para que forme parte de una red de ordenadores zombi.”

 

Comentario de la PGR: No debe dejar de mencionarse la posibilidad de que el ataque informático abarque también a las redes informáticas y todo el complejo sistema de comunicación que implica, tal y como está actualmente en el numeral vigente, y no sólo a un sistema informático. Recomendamos su inclusión.

 

                                                           ---0---

 

vii)         Tenga la capacidad de copiar una base de datos electrónica de datos personales.”

 

Comentario de la PGR: Debería considerarse la eliminación de este último apartado, pues un programa capacitado para copiar bases de datos no hará distinción en el contenido de los datos, si son personales o no, pues igualmente serán reproducidos en otro soporte magnético u óptico. Esta circunstancia haría muy difícil la aplicación del agravante penal.

 

- * -

 

“Artículo 233- Suplantación de páginas electrónicas

Se impondrá pena de prisión de uno a tres años a quien, en perjuicio de otra persona, suplante sitios legítimos de la red de Internet.

La pena será de dos a seis años de prisión cuando, como consecuencia de la suplantación del sitio legítimo de Internet, capture información confidencial de una persona física o jurídica para beneficio propio o de otra persona.”

 

Comentario de la PGR: Este es el delito denominado “pharming” en la jerga de la ciberdelincuencia y consiste, como se describe en el tipo penal propuesto, en la suplantación de páginas electrónicas, es decir, sitios Web legítimos. Las páginas Web falsas tienen toda la apariencia de ser las verdaderas, pues se trata de una copia literal del lugar legítimo, con sus mismos tipos de letra, logos, imágenes, hipervínculos, leyendas, mensajes, etc. De allí que sea difícil para el usuario promedio poder distinguir las páginas verdaderas de las falsificadas. Quizás la única diferencia a simple vista sea la dirección Web en la barra de direcciones del navegador que se esté utilizando, pero es un detalle importante que es difícil de descubrir para la persona poco ducha en la detección de lugares peligrosos, detalle que es muy complicado de exigir para una población poco alfabetizada digitalmente, como es la costarricense.

Una forma sencilla de llevar a cabo el engaño (conocido como “phishing” o técnicas de ingeniería social, según veremos más adelante), es mediante mensajes de correo electrónico o de mensajería instantánea, e incluso en redes sociales. Una vez en el sitio fraudulento, el usuario puede caer en el engaño y suministrar información confidencial, típicamente datos financieros como el nombre de usuario y contraseña de cuentas bancarias que facilitarán el ingreso del infractor a los bancos o entidades similares, para sustraer el patrimonio de la víctima. Como se ve, es una situación muy seria y dañina para el ciudadano, la cual requiere de la intervención del legislador penal.

 

En el párrafo segundo, notamos que el margen inferior de la pena se reduce de tres a dos años, en relación con el texto vigente. Los elementos normativos que constan en el numeral actual, donde se indica que la acción punitiva debe llevarse a cabo mediante engaño o haciendo incurrir en error a la víctima, deberían conservarse como condiciones del incremento de la pena.

 

En este mismo párrafo, sugerimos que se cambie la palabra “capture” por “capte u obtenga”, verbos más apropiados en la ocurrencia de la acción delictiva.

 

Finalmente, sugerimos que se elimine la última frase que dice “para beneficio propio o de otra persona”, dado que la acción que se castiga es la apropiación de la información confidencial de la víctima, que a su vez dará pie eventualmente para una sustracción patrimonial. Si el transgresor obtuvo o no un beneficio para sí o para otra, es independiente de la acción principal. La acción punible ya ocurrió y no puede ser que no se sancione o se le exima de castigo al sujeto activo si no hubo beneficio de algún tipo, pues la afectación sobre la información confidencial de la víctima (que parece ser especialmente de tipo financiero) ya ha producido su efecto, con independencia de si el infractor obtiene o no un beneficio de algún tipo.

 

- * -

 

“Articulo 236- Difusión de información falsa

 

Será sancionado con pena de uno a cuatro años de prisión a quien fabrique y difunda, a través de medios informáticos, una noticia falsa capaz de distorsionar o causar perjuicio a la seguridad y estabilidad del sistema financiero o de sus usuarios.

La misma pena indicada en el párrafo anterior se impondrá a quien fabrique y difunda, a través de medios informáticos, una noticia falsa con el fin de afectar la decisión del electorado en un proceso de plebiscito, referéndum o electoral nacional o extranjero.

La pena será de tres a seis años de prisión cuando a raíz de la difusión de la noticia falsa sobreviniere peligro de muerte para una o varias personas.”

 

Comentario de la PGR: Sugerimos que este proyecto de artículo sea desechado, pues se trataría de un tipo de delito electoral, los cuales se regulan y sancionan en el Código Electoral, N° 8765 de 19 de agosto de 2009 y sus reformas, concretamente en el Título VI (Ilícitos Electorales), Capítulo I (Delitos Electorales), a partir del artículo 271 y siguientes. Si fuere la voluntad del legislador crear un tipo penal específico para castigar las noticias falsas que puedan influir negativamente en el votante, sugerimos que se remita al artículo 279 del Código Electoral, denominado precisamente “Delito contra la libre determinación del votante”, e insertar allí un artículo 279 bis donde se señale con precisión cuál será la conducta punible, así como el castigo por la infracción. Eso sí, deberá tramitarse como un proyecto de ley aparte del presente, de manera que se analice en profundidad su contenido y conveniencia.

 

El problema principal que encontramos es definir qué debe tenerse por “falsedad”, dado que la definición que se ofrece en el artículo primero del proyecto es insuficiente. Allí se conceptúa la noticia falsa como “toda creación de uno o más hechos falsos, a través de la utilización de medios creados con el fin de engañar o inducir en error al público en general”. Tal explicación es insuficiente pues no indica qué debe entenderse por “hechos falsos”, es decir, si su “creación” puede ser sólo una sugerencia maliciosa del autor, o una mala interpretación de la realidad, o una expresión sacada de contexto, etc. No se explica tampoco si la ausencia de los elementos materiales que no se ajusten a la realidad debe ser total o también parcial, o si corresponde antes que esté sujeto a la interpretación del sujeto activo (publicador de la noticia falsa) o de la propia persona afectada. No se especifica si el ofendido será una persona física o también jurídica (que en este caso ya existe el artículo 153 del Código Penal que castiga la difamación de personas jurídicas). Sólo se le da énfasis a la forma de transmisión de la nota quimérica.

 

Así las cosas, un partido político no podría invocar la existencia de una noticia falsa que le afecte, pues aparentemente este proyecto de artículo sólo sería aplicable a las personas físicas, aunque para esto ya existen otros remedios legales, según hemos mencionado en lo referente a delitos contra el honor.

 

En suma, encontramos problemas para establecer cuál es el bien jurídico tutelado, si es el honor de un político (que debe ser más tolerante que el común de los ciudadanos en razón de ser una figura pública, de acuerdo con la jurisprudencia), o de un partido político o la pureza del sufragio, etc. El punto central de una noticia falsa deberá ser su contenido y no la forma de difusión (física o electrónica), dado que podría también abarcar (y afectar penalmente) al medio de comunicación que la difunda (prensa, televisión, red social). El contenido de una nota aparentemente falsa presenta problemas de indeterminación, pues bien puede estar sujeta a la simple interpretación de los involucrados, por lo que no encontramos una forma objetiva de definir su apego a la “verdad” que se esgrima como justificación.

 

De igual forma, el tipo penal no prevé la posibilidad de un eximente de responsabilidad, como sería, por ejemplo, la prueba de la verdad, como sí se da en los delitos contra el honor o bien, que se trate de un tipo penal perseguible sólo por acción privada.

 

También deberá analizarse en detalle si una disposición penal de este tipo pueda estar rozando con normas de rango superior, pues podría considerarse que una actuación aparentemente sancionable está atentando contra la libertad de expresión del ciudadano. En conclusión, reiteramos la necesidad de que este artículo sea eliminado del proyecto de ley.

 

- * -

 

“Artículo 263- Entorpecimiento de servicios públicos

 

Será reprimido con prisión de seis meses a dos años, a la persona que, sin crear situación de peligro común, impidiere, estorbare o entorpeciere el normal funcionamiento de los transportes por tierra, agua y aire a los servicios públicos de comunicación o de sustancias energéticas.

La pena será de tres a ocho años si las acciones descritas en el párrafo anterior fuesen cometidas mediante el uso de dispositivos o artificios tecnológicos, o cuando el autor es un empleado encargado de administrar o dar soporte al sistema informático, o que en razón de sus funciones tengan acceso a dichos sistemas o soportes de almacenamiento.”

 

Comentario de la PGR: Debe considerase la inconveniencia de aprobar el párrafo segundo de esta iniciativa de artículo. Nótese que nos encontramos ante una conducta que, según se señala en el primer párrafo, no crea una situación de peligro común, así que el bien jurídico tutelado tendría una afectación mínima. En este caso, el bien jurídico protegido es la continuación o prestación continua del servicio público, de ahí que la expresión “no crear una situación de peligro común” refiere a la no producción de un daño mayor.  

 

Por ello, no se justifica la creación de un párrafo segundo donde la pena por tal hecho (de seis meses a dos años, según indica el párrafo segundo), se incremente de tres a ocho años, sólo porque se está haciendo uso de dispositivos tecnológicos o si el autor es el encargado de administrar o dar soporte al sistema informático.

 

Como ya hemos explicado líneas arriba, el encargado de dar mantenimiento a un sistema informático tiene como función garantizar el adecuado funcionamiento del sistema, ya sea en cuanto al incremento de sus elementos tecnológicos (mayor memoria masiva, más memoria aleatoria, mejores tarjetas de video, mejores procesadores), como en la comunicación óptima con otros equipos de cómputo. Por supuesto, esta situación implica además la implementación de políticas de seguridad física y lógica a cargo de la empresa o institución pública. Es decir, no estamos ante los casos de gravedad sobre la infraestructura crítica del país que ya se castigan en el delito de sabotaje informático, por lo cual consideramos innecesaria esta adición normativa.

 

Entendemos la intención del legislador en tratar de castigar la misma conducta del párrafo primero, pero agravando la pena dado el medio empleado (expansivo, dañoso) “…mediante el uso de dispositivos o artificios tecnológicos…” o bien, por la condición del sujeto que los manipula; sin embargo, parece que el empleo de dichos elementos no provoca un incremento en el daño. Sí debe el legislador valorar el extremo mayor de pena propuesto, que es realmente alto.

 

- * -

 

“Artículo 281- Asociación ilícita

 

Será reprimido con prisión de uno a seis años, quien tome parte en una asociación de dos o más personas para cometer delitos, por el solo hecho de ser miembro de la asociación.

La pena será de cuatro a ocho años de prisión si el fin de la asociación es cometer actos de terrorismo, secuestro extorsivo, cibercrímenes o delitos en que se vean involucrados menores o incapaces.”

 

Comentario de la PGR: El primer párrafo se mantiene igual a la redacción vigente.

 

El segundo párrafo añade la frase “cibercrímenes o delitos en que se vean involucrados menores o incapaces”. Resulta importante que se añadan los delitos informáticos pues sin duda es una práctica que constituye criminalidad organizada, razón por la cual deberá modificarse el artículo 7° del Código Penal, sobre delitos internacionales, para que se incluyan los cibercrímenes y demás conductas donde se utilicen medios tecnológicos que faciliten la ejecución de estas infracciones. Recomendamos que se apruebe el artículo en comentario según los términos propuestos.

 

- * -

 

“ARTÍCULO 10- Adición al artículo 209 del Código Penal.  Adiciónase un inciso 8 al artículo 109 (SIC) del Código Penal No.4573 de 4 de mayo de 1970, el cual dirá:

 

Artículo 209- Hurto Agravado   

 

Se aplicará prisión de uno a nueve años, si el valor de lo sustraído no excede de cinco veces el salario base, y de cinco a diez años, si fuere mayor de esa suma, en los siguientes casos:

[...]

8)           Si se hiciere a través de la vulneración de sistemas de autenticación o mediante el uso de claves de acceso, tarjetas magnéticas, electrónicas, llaves inalámbricas o dispositivos similares, chips, brindados por las nuevas tecnologías, incluyendo tarjetas bancarias de crédito, débito, firmas electrónicas, certificados digitales o de cualquier otra índole, que hubieren sido sustraídos, hallados, vulnerados, clonados, retenidos, copiados o reproducidos por cualquier medio.”

 

Comentario de la PGR: El párrafo propuesto (octavo) es novedoso y no existe en la actualidad en nuestro Código Penal. Ante todo, debemos señalar el error material que existe en el encabezado, pues se menciona el artículo 109 del Código Penal, pero lo correcto es artículo 209.

 

Esta propuesta, planteada en su momento por fiscales del Ministerio Público, responde a la necesidad de clarificar la penalidad de una serie de conductas que no han sido reguladas debidamente por el legislador, ni sancionadas por las autoridades judiciales, en el tanto se trata de situaciones que vienen aparejadas por el advenimiento de las nuevas tecnologías. Se trata de castigar la reproducción o el uso no autorizado de las tarjetas de debido, crédito o similares, al igual que las claves de acceso a sistemas financieros o cajeros automáticos, todo lo cual responde a la proliferación de conductas punibles que no están previstas ni definidas en la legislación penal. Recomendamos su aprobación y que, además, se incluyan las tarjetas bancarias virtuales.  

- * -

 

“ARTÍCULO 11- Adiciónanse al Código Penal No.4573 de 4 de mayo de 1970 los artículos 194, 194 bis, 196 ter, 196 quater, 217 ter, 232 bis, 233 bis que dirán:

Artículo 194- Acoso cibernético

Será reprimido con pena de prisión de seis meses a tres años a quien acose a una o varias personas y, de este modo, altere gravemente el desarrollo de su vida cotidiana, a través alguna de las siguientes acciones:

1-           El envío de mensajes o publicaciones por medios electrónicos, reiterado o insistente, de contenido ofensivo, o con información de la víctima o de sus seres queridos, que le hagan sentir vigilada.

2-           La adquisición, de forma insistente o reiterada, de bienes o servicios a nombre de la víctima sin su consentimiento.

3-           La invitación pública a terceras personas a que se comuniquen o agredan a la víctima, sin conocimiento o la autorización de ésta.

4-           La difusión de imágenes, audio o vídeos de carácter sexual o pornográfico, donde aparezca o tenga participación la víctima.

5-           La difusión de imágenes, audios o vídeos de carácter sexual o pornográfico donde falsamente se le atribuya a la víctima participar o aparecer en estos.

6-           El control remoto o a distancia, reiterado o insistente, de los dispositivos de la víctima que cuenten con acceso a Internet u otras redes, y sin autorización de la persona afectada.

7-           La publicación o envío de mensajes con amenazas hacia la víctima o sus familiares, en una red social, aplicación de mensajería, blog o medio social dirigido al público general.

8-           De forma insistente o reiterada vigile, persiga o busque cercanía física con la víctima.

La pena será́ de dos a cuatro años, cuando:

1-           A raíz de las conductas desplegadas por el actor la víctima atente contra su vida o integridad física, o bien, que afecte su salud psicológica.
2-           Las conductas realizadas por el actor tengan un alcance a una cantidad de personas en medios electrónicos igual o superior al equivalente al 1% de la población nacional.

3-           Las conductas realizadas por el actor se hagan a través de la creación de uno o más perfiles falsos en medios sociales.

4-           Las [sic] víctima sea una persona menor de edad o incapaz.”

 

Comentario de la PGR: Aclaramos que, anteriormente, el artículo 194 había sido derogado por el numeral 2° de la ley N° 6726 de 10 de marzo de 1982. Ahora podría ser restablecido por este nuevo tipo penal, con otro contenido, que trata sobre el acoso cibernético, práctica nefasta y condenable que prolifera en nuestro país precisamente con el acceso irrestricto de la población a las tecnologías de información y comunicación, más la posibilidad de brindan los sitios Web de permitir la alimentación de contenidos y la eventualidad del anonimato de los infractores. Estas conductas, altamente reprochables, merecen la sanción del legislador penal. Se busca proteger la intimidad y privacidad de las personas, así como la convivencia pacífica y respetuosa con las personas con las que tengan algún tipo de vínculo, incluso familiar, profesional, estudiantil, laboral o vecinal, como parte de la libertad personal y de toma de decisiones del ciudadano, quien debe tener la facultad de escoger con quién desea relacionarse y a quiénes desea evitar.

 

La legislación positiva ha definido el ciberacoso, “ciberbullying” o acoso cibernético en la forma siguiente:

 

“b) Ciberbullying, ciberacoso o acoso cibernético:  la utilización de las tecnologías de la información y la comunicación (TIC) para realizar acoso escolar o "bullying" (Internet, redes sociales virtuales, telefonía móvil, videojuegos "online", "YouTube" o cualquier otro medio virtual que surja en el futuro).” (Ley para la Prevención y el Establecimiento de Medidas Correctivas y Formativa frente al Acoso Escolar, N° 9404 de 19 de octubre de 2016).

 

Cabe destacar que la ley citada no entra en contradicción con el tipo penal propuesto. Antes bien, es éste quien puede complementar la norma existente con otro tipo de sanción.

 

Muy puntualmente, añadimos algunas observaciones. En el inciso primero, proponemos que se añada, al final, la frase “o perseguida” para complementar la situación de angustia de la víctima de esa acción.

 

En el inciso segundo, donde se sanciona la adquisición de bienes o servicios a nombre de la víctima, debe aclararse que esos artículos o servicios no solicitados se estarán cobrando pecuniariamente a ésta, lo que puede implicar una afectación patrimonial importante para la persona afectada.

 

Dentro de las circunstancias de agravación que se proponen en la segunda parte del artículo en comentario, sugerimos eliminar el inciso 2), que trata de que el alcance de personas sea igual o superior al 1% de la población nacional, tomando en cuenta lo difícil o casi imposible de esa definición, según hemos explicado en detalle en las observaciones supra a los proyectos de artículo 196, párrafo quinto, inciso c) (sobre violación de comunicaciones), así como el comentario del artículo 229 ter, inciso d) (referente al sabotaje informático).

 

Allí mismo, en el inciso 3), proponemos aclarar o sustituir la frase “medios sociales” por la frase “medios de comunicación electrónicos”, para hacer referencia a los medios de comunicación que brinden las nuevas tecnologías, como serían las redes sociales, blogs, páginas Web, etc., en que exista la posibilidad de crear perfiles falsos.

 

Tomando en cuenta el monto de la condena, cuyo margen superior es de tres años (lo que daría pie para una ejecución condicional de la pena, así como a la aplicación de medidas alternas), recomendamos que también se señalen sanciones alternativas, como la posible reeducación del imputado mediante cursos sobre el tema de la importancia del respeto a la privacidad e intimidad de los demás, e incluso la orden de un tratamiento psicológico con profesionales calificados. También deben existir medidas cautelares impuestas por el juez, tales como la incomunicación del infractor con la víctima, por cualquier medio físico o electrónico, así como el cese de actividades que impliquen algún tipo de cercanía física con ella, similares a lo que ocurre en situaciones de violencia doméstica.

Finalmente, debe corregirse el párrafo 4) final, para que el artículo “La” aparezca en singular y no en plural. Este error de redacción consta también en la publicación de este proyecto de ley en el Diario Oficial La Gaceta.

 

- * -

 

“Artículo 196 ter- Difusión o tráfico de contraseñas o vulnerabilidades

 

Será reprimido con pena de prisión de seis meses a dos años de prisión a quien, en perjuicio de otra persona, difunda o comercie una o varias contraseñas, códigos de acceso o datos informáticos similares que permitan tener acceso a la totalidad o a una parte de un sistema informático. La pena será de tres a cinco años de prisión cuando la información filtrada provenga de bases de datos que afecte a un número de personas igual o superior al equivalente al 1% de la población nacional.

Será reprimido con pena de prisión de un año a cuatro años de prisión a quien adquiera, compre, consiga o venda vulnerabilidades de una aplicación o sistema informático que permitan la comisión de un delito informático.”

 

Comentario de la PGR: El artículo propuesto resulta novedoso puesto que no existe en la legislación nacional sanciones para el mal uso genérico de contraseñas, con las excepciones que se dirán. Resulta conveniente la creación de este tipo penal, no sólo por la necesidad imperiosa de proteger el acceso no autorizado a los sistemas informáticos y de información, sino también para cumplir con la disposición que obra en el Convenio de Europa sobre Ciberdelincuencia de 2001, el cual indica, en lo que interesa:

 

“Artículo 6 - Abuso de los dispositivos

 

1 Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para tipificar como delito en su derecho interno la comisión deliberada e ilegítima de los siguientes actos:

a.- la producción, venta, obtención para su utilización, importación, difusión u otra forma de puesta a disposición de:

i.- (…)

ii.-  una contraseña, un código de acceso o datos informáticos similares que permitan tener acceso a la totalidad o a una parte de un sistema informático, con el fin de que sean utilizados para la comisión de cualquiera de los delitos contemplados en los artículos 2 a 5; y

b.- la posesión de alguno de los elementos contemplados en los anteriores apartados a. i) o ii) con el fin de que sean utilizados para cometer cualquiera de los delitos previstos en los artículos 2 a 5. Cualquier Parte podrá exigir en su derecho interno que se posea un número determinado de dichos elementos para que se considere que existe responsabilidad penal.” (el subrayado no es del original).

            Sobre este mismo tópico, las normas punitivas que hemos hallado sobre sanciones por el uso no autorizado de contraseñas y vulnerabilidades similares, muy específicas, se encuentran en los artículos 96 y 97 del Código Tributario, N° 4755 de 3 de mayo de 1971; los artículos 221 y 222 de la Ley General de Aduanas, N° 7557 de 20 de octubre de 1995, así como en la Ley de Administración Financiera de la República y Presupuestos Públicos, N° 8131 de 18 de setiembre de 2001, artículo 111, inciso c), normas penales que contemplan castigos contra esas prácticas, incluso si se dan de manera culposa (elemento este que bien podría añadirse a este numeral, con una penalidad disminuida, según recomendaremos luego).

 

A manera de información complementaria para el legislador, en el Código Tributario, los artículos citados indican:

 

“ARTÍCULO 96.- Facilitación del código y la clave de acceso. -

Será sancionado con prisión de tres a cinco años, quien facilite su código y clave de acceso, asignados para ingresar a los sistemas de información tributarios, para que otra persona los use.” (Así reformado por el artículo 2º de la ley N° 7900 de 3 de agosto de 1999).

“ARTÍCULO 97.- Préstamo de código y clave de acceso. -

Será sancionado con prisión de seis meses a un año quien, culposamente, permita que su código o clave de acceso, asignados para ingresar a los sistemas de información tributarios, sean utilizados por otra persona.” (El subrayado no es del original)

(Así reformado por el artículo 2º de la ley N° 7900 de 3 de agosto de 1999).

 

A su vez, los artículos 221 y 222 de la Ley General de Aduanas, N° 7557 de 20 de octubre de 1995, ordenan:

 

“ARTICULO 221.- Delitos informáticos

Será reprimido con prisión de uno a tres años quien:

a) (…)

d) Facilite el uso del código y la clave de acceso asignados para ingresar en los sistemas informáticos. La pena será de seis meses a un año si el empleo se facilita culposamente.”

“ARTICULO 222.- Agravante.

La pena será de tres a cinco años cuando, en alguna de las causales del artículo anterior, concurra una de las siguientes circunstancias:

a) (…)

b) Intervenga, en calidad de autor, instigador o cómplice, un funcionario público en ejercicio de sus funciones, con ocasión de ellas o con abuso de su cargo.”  (El subrayado no es del original).

 

Finalmente, la Ley de Administración Financiera de la República y Presupuestos Públicos, N° 8131 de 18 de setiembre de 2001, artículo 111, inciso c), señala:

 

“Artículo 111. Cometerán delito informático, sancionado con prisión de uno a tres años, los funcionarios públicos o particulares que realicen, contra los sistemas informáticos de la administración financiera y de proveeduría, alguna de las siguientes acciones:

a.- (…)

  c.- Facilitar a terceras personas el uso del código personal y la clave de acceso asignados para acceder a los sistemas.”

 

Como puede concluirse, el contenido de los artículos citados puede servir de orientación y ejemplo sobre las conductas que se desean penalizar. El punto es que el legislador, hasta la fecha, sólo ha contemplado esas conductas como delictivas en materia aduanera, tributaria y en el caso de los sistemas de administración financiera y presupuestos públicos, no así en otras situaciones donde el uso indebido de claves o dispositivos de acceso a sistemas informáticos o sistemas de información no están incluidos, aunque, a nuestro concepto, deberían estarlo precisamente porque ello permite el acceso no autorizado a sitios que deben estar especialmente protegidos, ya sea de tipo público o privado.

 

Recordemos los casos de acceso no autorizado que se han producido en los Registros Nacionales, que han devenido además en alteración de la información que allí consta, pero que no se han podido castigar precisamente por la ausencia de normas punitivas. De allí nuestra aceptación de que este tipo penal sea debidamente incluido en nuestra legislación penal.

 

Ahora bien y muy puntualmente, sugerimos que, en el párrafo primero, se adicione la frase para que indique “en perjuicio de una persona física, jurídica o institución pública”, de manera que el campo de aplicación sea más amplio. También nos parece correcto se añada la frase “sistema informático o sistema de información”, pues ya hemos explicado anteriormente y en detalle que no se trata de los mismos conceptos. Véanse las observaciones al artículo 217 bis), donde creemos haber explicado las diferencias entre uno y otro concepto.

 

En cuanto a la frase final del primer párrafo, que trata de la afectación al 1% de la población, sugerimos que sea eliminada por las razones que ya hemos explicado antes (referentes a la indeterminación de ese número de habitantes, formal y materialmente), así manifestado en los comentarios a los artículos 196 párrafo quinto, inciso c), sobre violación de comunicaciones, y en el comentario al artículo 229 ter, inciso d), referente al sabotaje informático.

Además, proponemos una circunstancia de agravación en los casos en que intervenga un funcionario público en ejercicio de sus funciones, con ocasión de ellas o con abuso de su cargo, tal y como se señala, correctamente a nuestro juicio, en el texto citado de la Ley General de Aduanas.

 

De igual manera, deberá incorporarse una circunstancia de agravación si las contraseñas o dispositivos aptos para la comisión del delito, permiten el ingreso a bases de datos públicas, tales como las que hemos mencionado antes, especialmente si contienen datos confidenciales, sensibles o de acceso restringido, de tipo financiero, bancario, hacendario, tributario, etc., a criterio del legislador.

 

Finalmente, para evitar problemas de antinomia o contradicciones legislativas, debería aclararse que este tipo penal excluye las situaciones que se presentasen en materia aduanera, tributarias y de presupuestos públicos, según los artículos de las leyes vigentes que hemos citado.

 

- * -

 

“Artículo 196 quater-  Acceso Ilícito  

 

Siempre que no constituya delito con una pena superior, será́ reprimido con pena de seis meses a un año de prisión a quien, evadiendo medidas de seguridad y con fines maliciosos, acceda a un sistema informático, sin la autorización del titular.”

 

Comentario de la PGR: No es un delito que exista actualmente en Costa Rica, con las excepciones encontradas en el Código Tributario y la Ley General de Aduanas, ambos cuerpos normativos recién citados. Así, por ejemplo, en el artículo 221 de la Ley General de Aduanas, N° 7557 de 20 de octubre de 1995, se penaliza el acceso ilícito a los sistemas informáticos del Servicio Nacional de Aduanas:

 

“ARTICULO 221.- Delitos informáticos

Será reprimido con prisión de uno a tres años quien:

a)      Acceda, sin la autorización correspondiente y por cualquier medio, a los sistemas informáticos utilizados por el Servicio Nacional de Aduanas.

b)      (…)”

c)       

También en el numeral 94 del Código Tributario, N° 4755 de 3 de mayo de 1971, se castiga el acceso no autorizado a los sistemas de información o bases de datos de la Administración Tributaria:

 

  “ARTÍCULO 94.- Acceso desautorizado a la información

Será sancionado con prisión de uno a tres años quien, por cualquier medio tecnológico, acceda a los sistemas de información o bases de datos de la Administración Tributaria, sin la autorización correspondiente.” (Así reformado por el artículo 2º de la ley N° 7900 de 3 de agosto de 1999).

 

Entonces, si bien no se trata de una conducta desconocida en nuestro Ordenamiento Jurídico, es notorio que el legislador penal sólo ha aplicado esta figura en contextos más restringidos, lo que no obsta para que también se cree un tipo penal más amplio que castigue dicha acción. Con esta elaboración punitiva estaríamos cumpliendo con lo preceptuado en el Convenio de Europa sobre Ciberdelincuencia de 2001, ley N° 9452 de 26 de mayo de 2017, el cual decreta en su artículo 2° la creación del tipo penal sobre acceso ilícito:

 

“Artículo 2 - Acceso ilícito

 

Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para tipificar como delito en su derecho interno el acceso deliberado e ilegítimo a la totalidad o a una parte de un sistema informático. Cualquier Parte podrá exigir que el delito se cometa infringiendo medidas de seguridad, con la intención de obtener datos informáticos o con otra intención delictiva, o en relación con un sistema informático que esté conectado a otro sistema informático.” (El subrayado no es del original)

 

Podría ser que se considere que el acceso ilícito que se está cometiendo es sólo un acto preparatorio para un delito mayor, lo cual haría que esa conducta se subsuma en el hecho principal, pero eso deberá verse en los casos concretos. También deberá desaplicarse en los eventos en que dicha conducta ocurra para efectos de estudios académicos o laborales o bien, para efectos de poner a prueba la seguridad o solidez de un sistema informático o de información, casos en donde el dolo no estaría contemplado como conducta final ni se considere que el bien jurídico tutelado esté en peligro (caso de la situación que es conocida en la doctrina penal como “agente provocador”).

 

También debe especificarse que las medidas de seguridad pueden ser físicas o tecnológicas, lo que implica que, si dichas medidas no existieren o fuesen de fácil elusión, no habría delito, pues el elemento principal que subyace es la experticia del sujeto activo para cometer el ilícito, tomando en cuenta sus destrezas y conocimiento de los sistemas informáticos, de los programas que puedan servir para sus propósitos y sus habilidades para eludir las medidas tecnológicas de seguridad.

 

Debe eliminarse la frase “y con fines maliciosos”, pues esto implica añadir factores del dolo dentro de los elementos normativos del tipo penal. En todo caso, dichos “fines” serían no sólo complicados para definirlos como concepto, sino que también muy difíciles de comprobar, lo que podría impedir la aplicación del tipo penal.

Finalmente, debe incluirse tanto a los sistemas informáticos como a los sistemas de información, mismos que, según hemos explicado supra en varios comentarios, no son sinónimos.

 

- * -

 

“Artículo 217 ter- Compras ilícitas mediantes [sic] tarjetas Será sancionado con pena de prisión de dos a cinco años de prisión a quien adquiera bienes o servicios, a través del uso de una tarjeta de crédito o de débito no expedida en su favor, o mediante el uso de otro medio de pago electrónico, sin la autorización del titular."

 

Comentario de la PGR: Nuestra primera recomendación es, en la denominación del tipo penal, modificar la palabra “mediantes” para que quede en singular; con dicho error aparece en el proyecto de ley publicado en La Gaceta. En ese mismo punto, sobre el nombre del tipo penal, creemos que debe cambiarse pues lo que sería ilícito no son las compras, sino el medio empleado de pago indebido o ilegítimo que se haría por ellas. 

 

Por otra parte, esta conducta podría considerarse como complementaria del proyecto de artículo 209 inciso 8), referente al hurto agravado. En este caso, se refiere al pago de bienes y servicios que se hagan mediante una tarjeta de débito o crédito no emitida a nombre del infractor, o sin autorización del titular del documento electrónico. Sin embargo, recomendamos unificar ambos tipos penales para evitar cualquier problema de antinomia normativa, puesto que, del análisis pormenorizado de esta propuesta, parecen estar ya incluidos sus supuestos de hecho en el inciso propuesto antes. La solución sería eliminar este artículo e incluirlo dentro de la iniciativa del numeral indicado 209 inciso 8), de manera que ese comportamiento se vea efectivamente como un hurto agravado por el uso de medios electrónicos, mismos que ya están mencionados en detalle en el primer numeral propuesto. O bien, perfectamente podría ser insertado como un nuevo inciso 9), aparte y armonizado, dentro el artículo indicado.

- * -

 

“Artículo 232 bis- Abuso de dispositivos

Se impondrá pena de prisión de uno a cinco años a quien distribuya, produzca, venda, compre, obtenga para su utilización o importe un dispositivo o programa informático diseñado o adaptado principalmente para la comisión de delitos informáticos.”

 

Comentario de la PGR: El párrafo propuesto implica el cumplimiento de la directriz señalada en el ya citado artículo 6° del Convenio de Europa sobre Ciberdelincuencia de 2001, el cual estatuye:

 

“Artículo 6 - Abuso de los dispositivos

1.- Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para tipificar como delito en su derecho interno la comisión deliberada e ilegítima de los siguientes actos:

a.- la producción, venta, obtención para su utilización, importación, difusión u otra forma de puesta a disposición de:

i.- un dispositivo, incluido un programa informático, diseñado o adaptado principalmente para la comisión de cualquiera de los delitos previstos de conformidad con los anteriores artículos 2 a 5;

ii.- (…)

b.- la posesión de alguno de los elementos contemplados en los anteriores apartados a. i) o ii) con el fin de que sean utilizados para cometer cualquiera de los delitos previstos en los artículos 2 a 5. Cualquier Parte podrá exigir en su derecho interno que se posea un número determinado de dichos elementos para que se considere que existe responsabilidad penal.” (los subrayados no son del original).

 

Recomendamos su aprobación en los términos indicados, añadiendo además el término “poseer”, verbo que también se incluye en el Convenio de marras.

 

- * -

“Artículo 233 bis- Ingeniería social

 

Siempre que no constituya delito con una pena superior, se impondrá pena de prisión de seis meses a dos años a quien, mediante engaño, capture u obtenga datos personales o información confidencial apta para la comisión de un delito informático.” (el subrayado no es del original, sino que se destaca para mostrar un error en el tipo penal)

 

Comentario de la PGR: El artículo que se propone se refiere al llamado “phishing” o técnicas de ingeniería social, neologismo anglosajón referente a la acción de “pescar” información sensible, especialmente de tipo financiero, para defraudar a la víctima. Se trata de engañar a la persona simulando que se trata de una entidad legítima que requiere de la intervención del usuario para “corregir” algún supuesto error del sistema, corroborar información almacenada o evitar un posible mal uso de las cuentas bancarias o sitios donde el cliente tenga dinero o bienes pecuniarios. También, el argumento falaz de la comunicación podría ser pedirle datos para entregarle algún premio o devolución de dinero “mal rebajado” por “errores administrativos”, devolución de impuestos, cambios en los sistemas bancarios, etc. La lista de pretextos y engaños es extensa y dependerá de la imaginación y astucia del infractor, para lograr que el posible afectado dé esa información mediante la cual será posible captar u obtener ciertos datos confidenciales de tipo financiero o bancario, con los cuales podrá defraudar el patrimonio de la víctima.

 

Si bien este tipo penal ya existe dentro del artículo 233 del Código Penal vigente, su redacción es más bien ambigua pues confunde la práctica de la ingeniería social con la suplantación de páginas Web. No obstante, es necesario aclarar que las técnicas del “phishing” no se agotan en la redirección del usuario hacia una página Web falsa, sino que la ingeniería social puede darse a través de redes sociales, mensajería instantánea o correos electrónicos, en los cuales se incluyen hipervínculos que pueden llevar a la víctima potencial a otros lugares o aplicaciones donde también se podría captar su información confidencial.

 

Por ello, abogamos por la creación de este artículo 233 bis, que viene a complementar lo indicado en los comentarios al proyecto de artículo 233, a los que nos remitimos párrafos arriba.

 

Ahora bien, el tipo penal propuesto debe corregirse en la forma que planteamos a continuación.

 

En primer lugar, debe eliminarse la palabra “personales” pues la captación de datos personales ya se encuentra penalizada en el artículo 196 bis, tanto en el tipo penal vigente en la actualidad como en esta iniciativa legislativa ya comentada. En este caso, debe indicarse con claridad a qué tipo de datos se refiere, si son datos financieros, bancarios, números de cuenta de entidades financieras, números y claves de tarjetas de débito o crédito, físicas o virtuales, nombre de usuario y contraseñas, número de acceso a cajeros automáticos, etc., todos ellos ciertamente confidenciales y que permiten la defraudación patrimonial de la víctima.

 

Esta última frase podría ser combinada con la expresión final del artículo propuesto, de manera que se abarque la expresión general de “apta para la comisión de un delito informático”, con la finalidad concreta que hemos explicado, pues en realidad todo ataque de ingeniería social tiene como objetivo primordial la sustracción del patrimonio de la víctima.

 

- * -

 

“ARTÍCULO 12-         Adiciónese el inciso k) al artículo 244 del Código Procesal Penal, el texto dirá:

Artículo 244- Otras medidas cautelares.  Siempre que las presunciones que motivan la prisión preventiva puedan ser evitadas razonablemente con la aplicación de otra medida menos gravosa para el imputado, el tribunal competente, de oficio o a solicitud del interesado, deberá imponerle en su lugar, en resolución motivada, alguna de las alternativas siguientes:

[...]

k)           La prohibición de usar un ordenador, sistema o aplicación informática si existe peligro de la comisión de uno o más delitos informáticos.  Si la prohibición de la utilización de un ordenador o sistema informático puede dejar sin medios para subsistir al imputado o afecte de forma grave el derecho de acceso a la información, se podrá instalar una aplicación informática controlada por las autoridades que genere un registro de las acciones realizadas por el imputado en el ordenador, siempre que el mecanismo no capture comunicaciones privadas.”

 

Comentario de la PGR: No tenemos mayores comentarios sobre esta posible disposición, excepto que puede ser complementaria para los casos en los que se dicte una ejecución condicional de la pena o una sanción que pueda cumplirse con medidas alternativas a la privación de libertad, situaciones que de alguna manera podrían poner al condenado en contacto con las tecnologías de la información y la comunicación, e incurrir en conductas igualmente punibles, como en el caso de la ingeniería social, la suplantación de páginas Web, el acoso cibernético, la violación de comunicaciones o de datos personales, sabotaje informático, etc.

 

En este caso, sugerimos que esta disposición deba ser autorizada por un juez, ya sea en la sentencia o como parte de las medidas cautelares iniciales del proceso penal, pues su aplicación podría ser violatoria del principio de confidencialidad de las comunicaciones. De igual manera, al igual que en los otros tipos penales comentados, proponemos que se modifique la palabra “capture” por “capte” o “registre”, verbos más apropiados para describir esa función tecnológica.

 

- * -

 

“ARTÍCULO 13-         Se reforma el artículo 9 de la Ley sobre Registro, Secuestro y Examen de Documentos Privados e Intervención de las Comunicaciones y sus reformas, No.7425 de 09 de agosto de 1994, cuyo texto se leerá como sigue:

“Artículo 9- Autorización de intervenciones

Dentro de los procedimientos de una investigación policial o jurisdiccional, los tribunales de justicia podrán autorizar la intervención de comunicaciones orales, escritas o de otro tipo, incluso las telecomunicaciones fijas, móviles, inalámbricas y digitales, cuando involucre el esclarecimiento de los siguientes delitos: delitos informáticos, delitos computacionales con penas de hasta cuatro años de prisión; secuestro extorsivo, corrupción agravada, proxenetismo agravado, fabricación o producción de pornografía, tráfico de personas y tráfico de personas para comercializar sus órganos; homicidio calificado; genocidio, terrorismo y los delitos previstos en la Ley sobre estupefacientes, sustancias psicotrópicas, drogas de uso no autorizado, legitimación de capitales y actividades conexas, No.7786 de 30 de abril de 1998  y sus reformas.

En los mismos casos, dichos tribunales podrán autorizar la intervención de las comunicaciones entre los presentes, excepto lo dispuesto en el segundo párrafo del artículo 26 de la presente Ley; cuando se produzcan dentro de domicilios y recintos privados, la intervención solo podrá autorizarse si existen indicios suficientes de que se lleva a cabo una actividad delictiva.”  (el destacado no es del original, sino que se muestra para indicar la reforma propuesta).

 

Comentario de la PGR: Cabe recordar que es la tercera vez que se intentan incluir los delitos informáticos dentro de los hechos punibles que pueden ser investigados, mediante la intervención de las comunicaciones. La primera vez se trató mediante el proyecto que sirvió de base a la promulgación de la ley N° 8148 de 24 de octubre de 2001, pero no se aprobó porque había una iniciativa de ley que también lo modificaba, aunque tampoco se sancionó. El segundo intento de inclusión fue con la ley N° 9048 de 10 de julio de 2012, pero fue rechazado por infringir el Principio de Conexidad, de acuerdo con el criterio de la Sala Constitucional.

 

Una vez más, abogamos porque los delitos informáticos y computacionales, en los casos que sean necesarios, puedan ser investigados mediante este importante recurso, tomando en cuenta el nivel de especialización, conocimiento y hasta sofisticación que puede requerir la comisión de estos hechos delictivos, mismos que son usualmente cometidos por delincuentes organizados. Se señala el margen de cuatro años para que sólo se incluyan aquí los denominados “delitos graves”, que es requisito para la aplicación de ciertos convenios internacionales que así lo requieren, como se señala en el artículo 2° inciso b) de la Convención de las Naciones Unidas Contra la Delincuencia Organizada Transnacional (Convenio de Palermo, 2000), aprobada en Costa Rica mediante ley N° 8302 de 12 de setiembre de 2002. No obstante, es necesario clarificar que, de acuerdo con el artículo 24 de la Constitución Política, se estatuye que una norma de esta naturaleza deberá ser sancionada por mayoría calificada, situación que podría implicar su desaprobación si no se cuenta con el número suficiente de diputados y diputadas que consideren a cabalidad el valor de esta reforma.

 

- * -

 

“ARTÍCULO 14-         Adiciónanse los incisos 3) y 4) al artículo 23 de la Ley sobre Registro, Secuestro y Examen de Documentos Privados e Intervención de las Comunicaciones No.7425 de 09 de agosto de 1994, cuyo texto dirá:

Artículo 23- Obligaciones de los responsables de las empresas de comunicación

Serán obligaciones de los funcionarios responsables de las empresas o instituciones públicas y privadas a cargo de las comunicaciones:

[...]

3-           Conservar los datos de tráfico y datos de localización de las telecomunicaciones, por un periodo mínimo de cuatro años o hasta su prescripción legal.

4-           Mantener un sistema de bitácoras actualizadas que permitan identificar una dirección ip con el abonado del servicio, en un intervalo de tiempo específico.”

 

Comentario de la PGR: Al igual que la posible reforma propuesta en el artículo anterior, se trata de una iniciativa de ley que deberá ser aprobada por mayoría calificada; es decir, al menos treinta y ocho diputados. El propósito de esta propuesta es favorecer la lucha contra la ciberdelincuencia, pero con la colaboración de las empresas de telecomunicaciones, cuyos servicios puedan haber sido utilizados por los infractores para la comisión de delitos informáticos. En este caso, se trata de obtener la información del rastro digital que pueda haber quedado en el almacenamiento masivo de los servidores o equipos de cómputo de la empresa de telecomunicaciones, de manera que este tipo de datos pueda servir para la investigación del delito.

 

Cabe destacar que sólo estas empresas son las que guardan información de esa naturaleza y no existe, en la actualidad, ninguna norma que les obligue a mantener datos de tráfico y localización, es decir, la pueden desechar de inmediato si esa fuese su decisión, lo que implica la destrucción de posible evidencia digital de gran valor para las autoridades judiciales. Conviene señalar, además, que este tipo de datos de tráfico o localización no hace referencia a los contenidos de las comunicaciones, sino a información consistente, por ejemplo, en la ubicación del sujeto en cierto momento, números telefónicos de origen y destino, tiempo de la comunicación, etc. Es decir, no implica ningún tipo de violación a la intimidad o al contenido de las telecomunicaciones del ciudadano.

 

Por otra parte, en cuanto al párrafo 4), también resulta de suma importancia contar con información de la llamada dirección I.P. (Internet Protocol) al momento de llevar adelante una investigación policial, que involucre las telecomunicaciones de los abonados que estén siendo investigados por algún tipo de hecho delictivo. La dirección I.P. identifica el número de conexión que se le ha asignado a cualquier aparato tecnológico (computadora, tableta o teléfono inteligente, por ejemplo) al momento de conectarse a una red abierta, como lo es la Internet.

 

Existen dos tipos de direcciones I.P., ya sean estáticas o dinámicas. Las primeras se refieren a un número único y constante asignado a equipos de cómputo o similares con una conexión permanente a Internet, que no necesita ser modificada. Las segundas, en cambio, son direcciones que son otorgadas aleatoriamente a los aparatos tecnológicos según se vayan conectando en cierto momento, día y hora a una red. Dicha dirección es única y específica para cada comunicación durante el lapso de la conexión, por lo que se trata de una prueba técnica de peso para las pesquisas judiciales, así como para la averiguación de los hechos y procedimientos de identificación de las personas involucradas en un evento delictivo. De allí la importancia de contar con esta información durante la investigación judicial y en el eventual proceso penal.

En conclusión, recomendamos la aprobación de estas adiciones legales por su valor probatorio dentro del proceso penal.

 

- * -

 

III.- CONCLUSIONES Y RECOMENDACIONES:

 

Luego de haber analizado en detalle este proyecto normativo denominado “Ley para Combatir la Ciberdelincuencia”, tramitado en la Asamblea Legislativa bajo el número N° 21.187, hemos arribado a las siguientes conclusiones:

 

1.- ARTÍCULO 1.- Definiciones. - Debe prestarse atención a las definiciones que constan en el párrafo 6), 7), 12), 14), 15), 16), 21), 26) y 30), mismas que deben modificarse o completarse, según corresponda. Igualmente, debe enumerarse correctamente el párrafo ubicado después del 16), el cual carece de numeración y que debería ser el 17), corriendo la numeración subsecuente hasta el 30), que pasaría a ser el 31).

 

2.- ARTÍCULO 2.- Difusión de información de interés público. - No hay mayores comentarios, excepto por la explicación indicada del porqué de la reubicación de esas disposiciones.

 

3.- ARTÍCULO 3.- Investigación criminal. - Consideramos acertada la posibilidad de que los agentes policiales tengan la oportunidad de utilizar todas las herramientas que brinden las nuevas tecnologías, al momento de iniciar una investigación policial, sin que ello implique una trasgresión al Ordenamiento Jurídico, incluyendo el rastreo por geolocalización de un imputado, mismo que, al ser un dato de acceso de acceso restringido, requeriría de autorización judicial.

 

4.- ARTÍCULO 6.- Cooperación de los proveedores de servicios electrónicos en el marco de una investigación de delitos informáticos.- Deberá armonizarse este proyecto de artículo con el numeral 43 de la Ley General de Telecomunicaciones, N° 8642 de 4 de junio de 2008, referente a los datos de tráfico y localización, de manera que sean conservados por cuatro años o hasta su prescripción legal, en consonancia con la reforma planteada al artículo 9° de la Ley sobre Registro, Secuestro y Examen de Documentos Privados e Intervención de las Comunicaciones, N° 7425 de 09 de agosto de 1994, según se verá. Finalmente, debe corregirse la preposición repetida en el inciso 4).

 

5.- ARTÍCULO 7.- Remoción de contenido en casos de Acoso Cibernético o Pornografía infantil. - En general, estamos de acuerdo con este artículo que busca la protección de la intimidad y privacidad de las víctimas. No obstante, es necesario que se aclare que esta propuesta de numeral podrá aplicarse siempre que se hayan recabado las pruebas necesarias para la investigación, previamente a la eventual eliminación de contenidos.

 

6.- ARTÍCULO 8.- Acceso transfronterizo a datos alojados en el extranjero.- La redacción es algo confusa, pues no se explica si se refiere exclusivamente a las pruebas que requieran de legitimación diplomática, puesto que el artículo 32 del Convenio de Europa sobre Ciberdelincuencia (Budapest 2001), aprobado en nuestro país por ley N° 9452 de 26 de mayo de 2017, indica que cierta información podrá accederse cuando esté disponible para el público.

En el segundo párrafo, sugerimos que se especifique que ese acceso a datos informáticos se podrá efectuar siempre que no se trate de datos sensibles o de acceso restringido, si es que están ubicados en nuestro país o bien, si se trata de información existente en otros países, adecuar la solicitud a la legislación que corresponda de esos otros Estados requeridos.

 

7.- ARTÍCULO 9- Reformas al Código Penal.

 

A.- Artículo 194.- En el encabezado del artículo 9° afectante se menciona que se reformará este numeral. No obstante, la propuesta de modificación no se incluye allí, sino en el artículo 11 del proyecto, donde se propone crear un tipo penal nuevo, denominado “Acoso cibernético”. Por tanto, deberá eliminarse la referencia en dicho encabezado.

 

B.- Artículo 194 Bis. - Ídem del comentario anterior. La propuesta de modificación no se incluye aquí, sino en el artículo 11 del proyecto, donde se propone crear un tipo penal nuevo, denominado “Ciberacoso sexual”. Por tanto, deberá eliminarse la referencia en dicho encabezado.

 

C.- Artículo 196- Violación de comunicaciones. –

 

En la reforma propuesta en el párrafo segundo recomendamos que la pena se modifique, para que sea igual a la actual, esto es, de uno a tres años, de la misma manera que se establece en el párrafo primero.

 

En el párrafo cuarto, es necesario corregir la frase final que dice “los dos párrafos anteriores”, para que se refiera a los tres párrafos precedentes. El error ocurre al introducir un tercer apartado donde originalmente sólo había dos. También corregirse la expresión “a un tercero”, y cambiarse por “otro” u “otra persona”.

 

En el párrafo quinto, el encabezado debe modificarse para que diga “La pena será de dos a cuatro años de prisión cuando…” o bien, “La pena será de dos a cuatro años de prisión si…”, de manera que se clarifique a qué se refiere y cuándo deberán aplicarse las circunstancias de agravación. En el inciso b) de este párrafo quinto deben incluirse los términos “red informática o telemática” y “sistema de información”. En cuando al inciso c), la alusión que se hace al 1% de la población es indeterminada por las múltiples razones que allí se explican. Recomendamos que ese inciso c) sea suprimido.

 

D.- Artículo 196 bis- Violación de datos personales. - En el párrafo primero, debe eliminarse el requisito de que exista un beneficio para el infractor o para otra persona, pues bastará con que el daño se produzca en su privacidad o intimidad.

 

Debe eliminarse la frase “de un tercero” y que sea sustituido por “otro” u “otra persona”. Debe eliminarse la referencia a personas jurídicas, pues la autodeterminación informativa sólo aplica para personas físicas. Deben incluirse también los registros manuales, no sólo los automatizados, así como agregar también los sistemas de información o bases de datos electrónicas.

 

En el párrafo segundo, debe corregirse la frase “datos sensibles y confidenciales”, ya que es una reiteración innecesaria. Además, los datos personales de acceso restringido deben estar incluidos, pues también son confidenciales y se encuentran en una categoría similar a los datos sensibles.

 

En el párrafo tercero, una vez más insistimos en que deben estar incluidas tanto las bases de datos electrónicas como las manuales. También debe eliminarse la posibilidad de que la autorización del responsable de una base de datos, exima de responsabilidad penal a un infractor.

 

En el párrafo cuarto, sobre geolocalización, sugerimos que también se incluya como excepción el caso de una persona que tiene a su cargo un menor de edad o a un incapaz, al igual que en una situación de tutela o curatela, donde la posibilidad de saber la ubicación de esa persona pueda ser necesaria para su seguridad personal, su salud o incluso su vida.

 

En el párrafo quinto, inciso a), deben agregarse los sistemas de información y bases de datos manuales. En el inciso b) deben incluirse los datos personales de acceso restringido. También planteamos la posibilidad de que se incluyan como especialmente protegidos los datos personales de menores de edad (dado el interés superior del niño) o de un incapaz, ambos en un posible inciso d), según se recoge actualmente en el texto vigente del tipo penal.

 

E.- Artículo 198- Captación ilegal de manifestaciones verbales y actos íntimos. -  En el párrafo primero, la palabra “interceptación” debe ser eliminada pues dicha conducta ya está sancionada en el actual artículo 196, referente a la intervención no autorizada de las comunicaciones. En el mismo párrafo, al final, debe especificarse que la conducta de “impedir la comunicación” se aplicaría siempre que no se trate de un ataque de denegación de servicio, según se señala en el actual artículo 229 ter, inciso d). Por ello, recomendamos que esas palabras “impedir la comunicación” se eliminen.

 

El párrafo segundo trata de la “captura” de un acto sexual, verbo que sugerimos sea sustituido por la palabra “captar” o directamente “grabar imágenes” o “filmar vídeos” en un soporte audiovisual o “producir material audiovisual”, que son términos más precisos que “capturar”. También podría ampliarse más este término para que abarque también actos íntimos en general, que podrían o no incluir el acto sexual.

En el párrafo tercero, nuestra observación se refiere al verbo “captar”, donde sugerimos que se modifique por “filmar en vídeo” o “captar imágenes”, sin excluir alguna frase genérica tal como “producir material audiovisual”.  

 

De igual forma, consideramos que se podría modificar el elemento normativo, como serían las partes íntimas (que no se definen y podrían ser imprecisas) y se amplíe por “estado de intimidad”, ya sea que incluya o no “partes íntimas”. Finalmente, si cobijan situaciones diferentes, puede ser factibles que se mantengan.

 

F.- Artículo 209.- En el encabezado del artículo 9° afectante se incluye la mención de reforma a este numeral. No obstante, la propuesta de modificación no lo abarca aquí, sino en el artículo 10, donde se propone una adición de un inciso 8) al hurto agravado. Por tanto, deberá eliminarse esta mención en dicho encabezado.

 

G.- Artículo 217 bis- Estafa informática. - La rebaja del margen menor de la pena corresponderá definirla al legislador de acuerdo con su política criminal.

 

En el inciso 1) se confunden los términos “sistema informático” con “sistema de información”, que no significan lo mismo ni son sinónimos. Abogamos por la utilización del elemento normativo “sistema de información”.

 

En el inciso 2) debe explicarse que se trata de un “sistema de información” y no sólo un “sistema informático”.

 

En el inciso 3) solicitamos verificar la redacción de ese texto.

 

H.- Artículo 223- Apropiación y retención indebidas. - El legislador debe corregir la referencia que se hace en la primera oración del primer párrafo, donde la pena se remite a lo que indique el artículo 216 del Código Penal (delito de estafa). El artículo 223 actual tiene esa redacción anacrónica según fue ordenada por el numeral 1° de la ley N° 6726 de 10 de marzo de 1982. En aquel momento, el legislador se estaba refiriendo a la pena que se indicaba el artículo 216 con el contenido de esa época, la cual era de seis meses a diez años. No obstante, por medio del artículo 1° de la ley Nº 7337 de 5 de mayo de 1993, el texto del artículo 216 se modificó sustancialmente y las penas variaron en gran medida, situación que no fue prevista por el legislador de 1982 ni fue advertida por el legislador de 1993.

 

Por ello, sugerimos que se indique directamente en el artículo correspondiente la pena con que se castigará la acción delictiva, sin remisión a otros numerales.

 

I.- Artículo 229 bis- Daño informático. –

 

Sugerimos que se señale la excepción en cuanto a la aplicación de este tipo penal en materia aduanera, tributaria y de presupuestos públicos, puesto que ya existen sanciones específicas en esos campos. Puede ser mediante una frase inicial en el encabezado del tipo, tal como “con excepción de lo que indiquen las normas especiales…” etc.

 

J.- Artículo 229 ter- Sabotaje informático. - La rebaja del margen menor de la pena corresponderá definirla al legislador de acuerdo con su política criminal.

También sugerimos que se modifique la expresión “base de datos electrónica” por “sistema de información”.

 

En el inciso b) deben sustituirse las palabras “sistema informático” por “sistema de información”.

 

En el inciso d), debe revisarse la redacción pues se indica, no que ese servicio sea afectado, sino que sea utilizado por el 1% de la población. En otras palabras, sólo se estarían protegiendo empresas de ciertas dimensiones, con cantidades de usuarios que deberían superar las cincuenta y cinco mil personas. También puede considerarse su eliminación.

 

Debe restituirse el inciso c) del artículo 229 ter vigente, donde se indica que el sistema sea “de carácter público o la información esté contenida en bases de datos públicas”.

 

Abogamos porque se mantenga también la disposición que castiga el denominado “ataque de denegación de servicio”, que está incluido actualmente en el inciso d) del artículo 229 ter vigente, que castiga con mayor severidad a quien “Sin estar facultado, emplee medios tecnológicos que impidan a personas autorizadas el acceso lícito de los sistemas o redes de telecomunicaciones.” Es inexplicable esta omisión.

 

Al igual que en el artículo anterior, debe de señalarse la excepción en cuanto a la aplicación de este tipo penal en materia aduanera, tributaria y de presupuestos públicos, puesto que ya existen sanciones específicas en esos campos.

 

K.- Artículo 230- Suplantación de identidad. - Recomendamos que se aclaren los términos del artículo en cuanto lo que sería una “marca informática”, sin especificar a qué se refiere con tal expresión, o si incluye también las marcas comerciales.

 

L.- Artículo 231- Espionaje industrial o comercial. - Aprobamos el cambio de denominación del tipo penal, pues el término “espionaje informático” es de difícil conceptualización y no compagina con el contenido del artículo.

 

M.- Artículo 232- Instalación o propagación de programas informáticos maliciosos. - En el inciso a) recomendamos ampliar su contenido para que abarque también a las redes informáticas o telemáticas, así como a los soportes ópticos o magnéticos que puedan estar ligados a los sistemas, tal y como se encuentra en la legislación actual.

 

En el inciso b), nuestra primera recomendación es eliminar las palabras “sin autorización”. Nuestra segunda recomendación es que se especifique que se trata de programas “informáticos” dañinos, tal y como se encuentra en la redacción vigente de este inciso, donde se indica con claridad que se trata de programas o aplicaciones informáticas dañinas.

 

Al final del inciso e), al inicio de las circunstancias agravantes, debe indicarse sobre quién recaerá el castigo por esta acción, pues en este encabezado no se explica con claridad.

 

En el subinciso iii) recomendamos que se incluya la posibilidad de que el ataque informático abarque también a las redes informáticas, no sólo a un sistema informático.

El subinciso iv) puede eliminarse pues parece inaplicable, dado que un programa de copia de bases de datos no hace distinción entre el contenido copiado, sean datos personales o de otro tipo.

 

N.- Artículo 233- Suplantación de páginas electrónicas. - En el párrafo segundo, recomendamos conservar los elementos normativos que constan en el artículo vigente, donde se indica que la acción punitiva debe llevarse a cabo mediante engaño o haciendo incurrir en error a la víctima, como condiciones del incremento de la pena.

 

En este mismo párrafo, sugerimos que se cambie la palabra “capture” por “capte u obtenga”, verbos más apropiados en la ocurrencia de la acción delictiva.

 

Finalmente, sugerimos que se elimine la última frase que dice “para beneficio propio o de otra persona”, pues basta con que la sustracción de información se haya dado para que se configure el tipo penal.

 

Ñ.- Artículo 234- Facilitación del delito informático. –

 

Avalamos la modificación de este tipo penal en los términos que se indican en el proyecto de ley.

 

O.- Artículo 236- Difusión de información falsa. - Hemos aportado una serie de explicaciones de por qué debe eliminarse esta propuesta de reforma, especialmente por razones de imprecisión del bien jurídico tutelado y de la persona afectada, duplicidad de tipos penales, la dificultad de definición del elemento normativo y la ausencia de la “prueba de la verdad”. Incluso podrían considerarse razones de constitucionalidad, de libertad de expresión y de entorpecimiento de la labor periodística. Quizás podría estudiarse en un proyecto de ley aparte, dentro de los delitos electorales que prevé el Código Electoral, pero no dentro de esta iniciativa de ley.

 

P.- Artículo 263- Entorpecimiento de servicios públicos. - Consideramos innecesaria la aprobación de esta propuesta legislativa por motivos de razonabilidad y proporcionalidad. No se justifica la creación de un párrafo segundo donde la pena por tal hecho (de seis meses a dos años) se incremente de tres a ocho años, sólo porque se está haciendo uso de dispositivos tecnológicos o si el autor es el encargado de administrar o dar soporte al sistema informático, puesto que la afectación al bien jurídico tutelado es mínima. Si el párrafo se mantuviese, debe valorarse el incremento del extremo mayor de la pena, que es alto.

 

Q.- Artículo 281- Asociación ilícita. - Recomendamos su aprobación para que se incluyan los delitos informáticos dentro de esta categoría, dado que se trata de una categoría delictiva que bien puede incluir la criminalidad organizada.

 

8.- ARTÍCULO 10- Adición al artículo 209 del Código Penal.

 

Artículo 209- Hurto Agravado. - Recomendamos su aprobación pues se trata de castigar el uso no autorizado de las tarjetas de debido, crédito o similares, claves de acceso a sistemas financieros o cajeros automáticos, todo lo cual responde a la proliferación de conductas punibles que no están previstas ni definidas en la legislación penal. También deben incluirse las tarjetas bancarias virtuales.

 

9.- ARTÍCULO 11- Adiciónanse al Código Penal No.4573 de 4 de mayo de 1970 los artículos 194, 194 bis, 196 ter, 196 quater, 217 ter, 232 bis, 233 bis que dirán:

 

A.- Artículo 194- Acoso cibernético. - En el párrafo primero, proponemos que se añada, al final, la frase “o perseguida” para complementar la situación de angustia de la víctima de esa acción.

 

En el párrafo segundo, donde se sanciona la adquisición de bienes o servicios a nombre de la víctima, debe aclararse que esos artículos o servicios no solicitados se estarán cobrando pecuniariamente a ésta.

 

En las circunstancias de agravación, sugerimos eliminar el inciso 2), que trata de que el alcance de personas sea igual o superior al 1% de la población nacional, dadas la complicada posibilidad de definir ese número, tal y como hemos explicado en varios comentarios de este proyecto de ley.

 

Dentro del subinciso 3), proponemos sustituir la frase “medios sociales” por la frase “medios de comunicación electrónicos”, para hacer referencia a los medios de comunicación que brinden las nuevas tecnologías.

 

Recomendamos que también se establezcan sanciones alternativas, como la posible reeducación del imputado mediante cursos sobre el respeto a la privacidad e intimidad ajenas o bien, el tratamiento psicológico profesional. También deben existir medidas cautelares impuestas por el juez, como la incomunicación del infractor con la víctima, por cualquier medio físico o electrónico, así como el cese de actividades que impliquen algún tipo de cercanía física con ella.

 

Modificar la partícula gramatical “La” para que aparezca en singular.

 

B.- Artículo 194 bis- Ciber-acoso sexual. - Debe tomarse en cuenta también la situación en que estas acciones ocurran entre grupos etarios de menores de edad como circunstancia agravante, o cuando se dé el evento que indica el artículo 159 sobre las diferencias de edad en una posible relación impropia.

 

C.- Artículo 196 ter- Difusión o tráfico de contraseñas o vulnerabilidades. - Consideramos muy conveniente la creación de este tipo penal para proteger el acceso no autorizado a los sistemas informáticos y de información en general, del cual tenemos los ejemplos en materia tributaria, aduanera y de presupuestos públicos.

 

Como recomendaciones adicionales, en el párrafo primero debería añadirse la frase “en perjuicio de una persona física, jurídica o institución pública”, de manera que el campo de aplicación sea más amplio. También debe adicionarse la frase “sistema informático o sistema de información”. La frase final del primer párrafo, que trata de la afectación al 1% de la población, sugerimos que sea eliminada por las razones ya explicadas a lo largo de este análisis.

 

Proponemos una circunstancia de agravación en los casos en que intervenga un funcionario público en ejercicio de sus funciones, con ocasión de ellas o con abuso de su cargo. También deberá tenerse como circunstancia de agravación si las contraseñas o dispositivos empleados para la comisión del delito, permiten el ingreso a bases de datos públicas, tales como las que hemos mencionado antes, especialmente si contienen datos confidenciales, sensibles o de acceso restringido, de tipo financiero, bancario, hacendario, tributario, etc.

 

Debería aclararse que este tipo penal excluye las situaciones que se presentasen en materia aduanera, tributarias y de presupuestos públicos, pues ya existe regulación punitiva en esas áreas.

 

Finalmente, debe incluirse un tipo penal culposo, como existe en las materias señaladas, pero que no existe para otros casos igualmente importantes.

 

D.- Artículo 196 quater-  Acceso Ilícito. -  

 

Podría considerarse que el acceso ilícito que se está cometiendo es sólo un acto preparatorio para un delito mayor, lo cual haría que esa conducta se subsuma en el hecho principal, pero eso deberá verse en los casos concretos.

Deberán eximirse los casos en que dicha conducta ocurra para efectos de estudios académicos, educativos o laborales o para efectos de poner a prueba la seguridad o solidez de un sistema informático o de información, casos en donde el dolo no estaría contemplado como conducta final ni existe una amenaza al bien jurídico tutelado.

 

También debe especificarse que las medidas de seguridad pueden ser físicas o tecnológicas, lo que implica que, si dichas medidas no existieren, no habría delito, pues el elemento que subyace es la experticia del sujeto activo para cometer el ilícito.

 

Debe eliminarse la frase “y con fines maliciosos”, pues esto implica añadir factores del dolo dentro de los elementos normativos del tipo penal. En todo caso, dichos “fines maliciosos” serían complicados de definir como concepto y difíciles de comprobar, lo que podría impedir la aplicación del tipo penal.

 

En el tipo penal deben incluirse tanto los sistemas informáticos como los sistemas de información.

 

E.- Artículo 217 ter- Compras ilícitas mediante tarjetas. - Esta conducta podría considerarse como complementaria del proyecto de artículo 209 inciso 8), referente al hurto agravado. Recomendamos unificar ambos tipos penales para evitar cualquier problema de antinomia normativa, puesto que parecen estar ya incluidos sus supuestos de hecho en el inciso propuesto antes. La solución sería eliminar este artículo como reforma independiente e incluirlo dentro de la propuesta del numeral indicado 209 inciso 8), de manera que ese comportamiento se vea efectivamente como un hurto agravado por el uso de medios electrónicos, mismos que ya están mencionados en detalle en el primer numeral propuesto. O bien, perfectamente podría ser insertado como un inciso 9), aparte y novedoso, para el artículo indicado.

 

También recomendamos modificar la denominación del tipo penal, pues lo que sería ilícito no son las compras, sino el medio de pago indebido o ilegítimo que se haría por ellas.

 

F.- Artículo 232 bis- Abuso de dispositivos. - Recomendamos su aprobación en los términos indicados, añadiendo además el término “poseer”, verbo que también se incluye en el artículo 6° del Convenio de Europa sobre Ciberdelincuencia de 2001.

 

G.- Artículo 233 bis- Ingeniería social. - Abogamos por la creación de este artículo 233 bis, que viene a complementar lo indicado en los comentarios al proyecto de artículo 233 sobre suplantación de páginas electrónicas.

Debe eliminarse la palabra “personales” pues la captación de datos personales ya se encuentra penalizada en el artículo 196 bis, tanto en el tipo vigente como en este proyecto legislativo. En este caso, debe indicarse con claridad los tipos de datos que se protegerán.

 

10.- ARTÍCULO 12- Adiciónese el inciso k) al artículo 244 del Código Procesal Penal, el texto dirá:

 

Artículo 244- Otras medidas cautelares. En general, concordamos con la intención de crear este tipo penal sobre medidas cautelares. No obstante, sugerimos que se recuerde que esta disposición deba ser autorizada por un juez, ya sea en la sentencia o como parte de las medidas cautelares de inicio del proceso, pues podría ser violatorio del principio de confidencialidad de las comunicaciones.

 

También sugerimos que se cambie la palabra “captura” por “capte” o “registre”.

 

11.- ARTÍCULO 13- Se reforma el artículo 9° de la Ley sobre Registro, Secuestro y Examen de Documentos Privados e Intervención de las Comunicaciones y sus reformas, N° 7425 de 09 de agosto de 1994.

 

Artículo 9- Autorización de intervenciones. - Concordamos con que los delitos informáticos y computacionales deben ser susceptibles de ser investigados por medio de la intervención de las comunicaciones de los posibles infractores. No obstante, debe tenerse en cuenta que la aprobación de esta reforma requerirá de mayoría calificada por parte de los señores diputados y diputadas, de acuerdo con el artículo 24 de la Constitución Política.

 

12.- ARTÍCULO 14- Adiciónense los incisos 3) y 4) al artículo 23 de la Ley sobre Registro, Secuestro y Examen de Documentos Privados e Intervención de las Comunicaciones N° 7425 de 09 de agosto de 1994.

 

Artículo 23- Obligaciones de los responsables de las empresas de comunicación. - Ídem del comentario anterior. Se trata de un artículo de gran importancia en lo concerniente a la recopilación de pruebas digitales, por lo que abogamos por su aprobación, que deberá ser por mayoría calificada de la Asamblea Legislativa.

 

-*-

 

Esperando que estas observaciones y sugerencias sean de utilidad para las decisiones finales sobre este importante proyecto de ley, nos suscribimos atentos.

 

 

Cordialmente,

 

 

 

 

José Enrique Castro Marin                                 José Francisco Salas Ruiz

Dirección Derecho Penal                                     Dirección Derecho Informático

 

                                               

JECM/JFSR/vzv