Expertos recomiendan una revisión más profunda en cuanto a la parte jurídica de la Ley de Ciberseguridad, para que sea más concreta, pues hay verbos que no están bien definidos y, en la práctica litigante, pueden convertirse en vacíos legales o reiterarse con lo establecido.
En Guatemala, el Código Penal tipifica ciertos delitos informáticos, para los cuales, hay penas asignadas. Sin embargo, estos no corresponden a las modalidades de los ilícitos que se cometen utilizando redes o sistemas informáticos.
Esa ausencia es la que pretende suplir la iniciativa 6347, Ley de Ciberseguridad que la Comisión de Asuntos de Seguridad Nacional del Congreso de la República tiene en revisión previo a ser dictaminada para presentarla a discusión ante el pleno. Pero, en opinión de profesionales del derecho consultados por Prensa Libre, aún requiere de una revisión profunda desde el punto de vista penal.
Según esta propuesta, los profesionales del derecho pueden interpretar la proporcionalidad en función del tipo y la afectación del delito cometido, alineándose también con los estándares internacionales del Convenio de Budapest, el cual enfatiza la proporcionalidad en la persecución y sanción de ciberdelitos, especialmente cuando involucran el uso de tecnologías para afectar derechos fundamentales, dice el costarricense, Juan Ignacio Zamora Montes de Oca, máster en Derecho Informático.
«Se tipifican delitos existentes»
El objeto principal de la iniciativa 6347, entre otros según su Artículo 1, es “la tipificación de conductas delictivas, para prevenir erradicar y sancionar los ciberdelitos. Así mismo, se estipulan reglas procesales necesarias para incorporar los medios de prueba digitales que permitan la obtención de evidencias y pruebas electrónicas en el proceso penal, para una investigación eficaz y la cooperación interinstitucional e internacional en la materia”.
De acuerdo con ese planteamiento, la Ley de Ciberseguridad que se pretende aprobar en el Congreso de la República, estaría tipificando, como su nombre lo indica, los “ciberdelitos” o “delitos informáticos” que, específicamente no existen en la legislación del país.
En ese aspecto, los abogados entrevistados coinciden en que dicha tipificación tanto en la definición de las figuras delictivas como en las penas que se les asignan guardan concatenación con el Código Penal, aunque no necesitan hacerlo por el hecho de que cada ley es totalmente autónoma y cada país va gravando según su conveniencia y la naturaleza de lo que se quiere proteger.
Estos son algunos de los hechos ilícitos tipificados en el Título II, los cuales se basan en el número del salario mínimo vigente, para actividades no agrícolas.
- Artículo 7. ACCESO ILÍCITO prisión de 4 a 6 años y multa de 20 (Q.72,691.80) a 200 (Q.726,918.00) salarios mínimos mensuales vigentes para actividades no agrícolas.
- Artículo 8. INTERCEPTACION ILICITA prisión de 6 a 10 años multa desde 100 (Q.363,459.00) a 200 (Q.726,918.00) mínimos mensuales vigentes para actividades no agrícolas.
- Artículo 9. ATAQUE A LA INTEGRIDAD DE LOS DATOS INFORMÁTICOS
Prisión será de 5 a 7 años y multa de 100 (Q.363,459.00) a 200 (Q.726,918.00) salarios mínimos mensuales vigentes para actividades no agrícolas.
Prisión será de 6 a 8 años y multa de 200 (Q.726,918.00) a 500 (1,817,296.50) salarios mínimos mensuales vigentes para actividades no agrícolas.
- Artículo 10. ATAQUE A LA INTEGRIDAD DEL SISTEMA INFORMÁTICO
prisión de 6 a 9 años y multa de 100 (Q.363,459.00) a 300 (Q.1,090,377.90) salarios mínimos mensuales vigentes para actividades no agrícolas.
prisión 7 a 10 años y multa de 100 (Q.363,459.00) a 500 (1,817,296.50) salarios mínimos mensuales vigentes para actividades no agrícolas.
- Artículo 11. FALSIFICACIÓN INFORMÁTICA. Prisión 2 a 6 años y multa de 20 (Q.72,691.80) a 200 (Q.726,918.00) salarios mínimos mensuales vigentes para actividades no agrícolas.
- Artículo 12. APROPIACIÓN DE IDENTIDAD AJENA.
prisión de 3 a 6 años y multa de 40 (Q. 145,183.60) a 100 (Q.363,459.00) salarios mínimos mensuales vigentes para actividades no agrícolas.
prisión de 4 a 7 años y multa de 40 (Q. 145,183.60) a 200 (Q.726,918.00) salarios mínimos mensuales vigentes para actividades no agrícolas.
- Artículo 13. ABUSO DE DISPOSITIVOS. prisión de 3 a 6 años y multa de 20 (Q.72,691.80) a 200 (Q.726,918.00) salarios mínimos mensuales vigentes para actividades no agrícolas.
- Artículo 14. FRAUDE INFORMÁTICO. prisión de 4 a 8 años y multa de 100 (Q.363,459.00) a 300 (Q.1,090,377.90) salarios mínimos mensuales vigentes para actividades no agrícolas.
Fuente: Iniciativa de Ley 6347.
Derecho reparador o sancionador
Zamora refiere que la iniciativa 6347 propone procedimientos para la confiscación de activos obtenidos a través de actividades fraudulentas. En los artículos 24 y 25 se mencionan las medidas de recuperación de activos, instando a la colaboración interinstitucional e internacional para localizar y recuperar bienes mal habidos. Ambos se alinean al estándar internacional en el combate de ciberdelitos.
Si bien el Convenio de Budapest no fija montos ni penas exactas, en su Artículo 13, el mismo respalda la idea de penas efectivas y disuasorias. “Ambos documentos (la iniciativa 6347 como el Convenio), reflejan la importancia de adaptar las penas a la naturaleza y la severidad del delito, en función de su impacto en la seguridad pública”, indica Zamora.
Por otro lado, observa; “la iniciativa sugiere penas que podrían variar entre los 2 y 10 años de prisión dependiendo de la gravedad del ciberdelito, el impacto en la sociedad y la infraestructura crítica. Aquí es donde debe de tomarse en cuenta qué busca el Derecho Penal a nivel de Guatemala y del proceso, si pretende aplicar un derecho penal reparador o sancionador”, observa Zamora.
Para el abogado litigante César Calderón, los delitos contenidos en el proyecto de ley, así como los verbos que han puesto para cada delito, avanza la mayor cantidad de fenómeno criminológico cibernético. “Si en el futuro se inventa algo más, bastará con agregarle nominaciones adjetivos o verbos a la ley”, indica.
Hay que tomar en cuenta que ninguno de los delitos de esta iniciativa de ley puede ser considerado un delito menos grave, por lo que son competencia de los Juzgados de Primera Instancia. Por consiguiente, el procedimiento que deberá seguirse obligadamente es el penal común, expresa Abraham Girón, abogado penalista y consultor.
Observa que, con la creación de la figura de “Fraude informático” contenido en el artículo 14 de la iniciativa de ley, se impone una pena de 4 a 8 años; sin embargo, la redacción de ese artículo es confusa desde su punto de vista y podría representar un problema determinar cuándo se debería aplicar ese delito y cuando se aplica la estafa que se señala en el Código Penal, cuya penalización va de 6 meses a 4 años, por lo que es considerado como un delito menos grave y por lo tanto excarcelable.
¿Una ley de traspaso?
Según Girón, en lo que a la confiscación en particular se refiere, la iniciativa de ley no aporta nada diferente a lo ya regulado en la legislación procesal vigente, al punto que no hay un artículo en concreto que se refiera a esos elementos. “Remite al Código Procesal Penal, con lo que ni siquiera debieron regular tal tema en esa iniciativa”, subraya.
De acuerdo con el abogado y notario litigante Wellington Puac, a la iniciativa le falta mucho para que sea una ley técnica. “La ley es muy ambigua. Como abogados litigantes, vemos muchísimos vacíos que los defensores pueden utilizar para tener sentencias absolutorias, dando como resultado que las acciones queden impunes”.
Para Girón, “siendo la ley de ciberseguridad un tema que no se ha regulado en el país, sí requiere de una discusión profunda y merece una mayor revisión, porque precisamente la ciberseguridad debe iniciar con un sistema legal completo, claro y eficiente que permita la flexibilidad y agilidad que conlleva el mundo digital, debería de pensarse un poco en el “soft law”, como modalidad para proveerle eso a la regulación sobre ciberseguridad”, apunta.
“Ley debe ir más allá”
Por otro lado, si bien el Convenio de Budapest no fija montos ni penas exactas, su exposición en cuanto a los tipos penales que maneja, se lee más sencilla y clara, con respecto a cómo se plantea en la iniciativa de ley en proceso de aprobación. Esto es debido a que los convenios son guías directivas sobre las regulaciones mínimas que deben tener los Estados Parte. “En ese sentido, la iniciativa de ley debería arriesgarse a ir más allá en los mínimos propuestos en el Convenio y adecuarlo más a la realidad criminal que afronta el país en lo cibernético” apunta el abogado Girón.
Hace la observación de que ese Convenio tiene dos protocolos adicionales los cuales regulan diferentes aspectos. “Estos no son considerados por la iniciativa, por lo cual sería oportuno que, si se va a dar la aprobación de una ley en materia de ciberseguridad, se aproveche a efectuar una regulación general que aborde todos los aspectos relacionados al Convenio de Budapest”, expresa el jurista.
El abogado Puac, observa que en el Titulo II, de la iniciativa 6347 el cual regula los “Ciberdelitos”, lo que hay, son acciones (no hay omisiones), por lo tanto, son acciones dolosas, realizadas con intención de causar un daño, típicas, antijuridicas, culpables y punibles, reguladas con el fin de proteger y/o restaurar un bien jurídico que protege la legislación guatemalteca. Por consiguiente, a su criterio, con el fin de no gozar de medidas sustitutivas, la pena mínima de prisión debería ser de 6 años y la máxima de 15.
Por aparte el fiscal Raúl Pérez Bámaca, de la Fiscalía contra Delitos Transnacionales del Ministerio Público (MP), indica que se han discutido los elementos de las nuevas figuras delictivas contenidos en la iniciativa de ley y consideran que, al menos con la pena mínima de seis años de prisión, se tendrá la oportunidad de ejercer una persecución penal efectiva y eficaz para neutralizar el fenómeno criminal. De esa cuenta, los operadores de justicia ya no tendrán la excusa de obligar a fases conciliatorias o administrativas previas como sucede ahora.
Revisar regla de reparación digna
Para el abogado Calderón, al especificarse en la iniciativa de ley que las penas tienen de 4 a 6 años de cárcel, está indicando que al pasar de 5 años no va a ser excarcelable y que necesariamente el sentenciado va a ir a la cárcel hasta por 10 años.
Ahora, lo que va a variar, dice, es la multa, ya que aquí entran varios elementos y entre estos va la reparación digna. Si en la reparación digna la defraudación ha sido mediante informaciones contables, bancarios de empresas mercantiles y la pérdida es alta, así va a ser la reparación digna. Si se defraudaron Q5 millones, entonces va a ser tan exagerada como el monto que pudieron haberse apropiado mediante el ciber delito.
En ese aspecto, la reparación digna que se da en una de las últimas fases en el proceso penal está establecida en la iniciativa que la confiscación se hará en la investigación y estará en resguardo del MP. En tal sentido es necesario hacer una evaluación de un equipo multidisciplinario para verificar si el ente perseguidor tiene la capacidad de resguardar los datos, o la mora de investigación producirá más daños que el propio delito, advierte el abogado Puac.
Para el abogado litigante Miguel Balsells, el texto sobre cómo recuperar los datos de las personas que los supuestos ciberdelincuentes hayan obtenido por medio de actividades fraudulentas, no es muy específico.
Según Zamora, el Convenio de Budapest, en sus Artículos 14 y 19, establecen de manera general, mecanismos específicos para la preservación rápida de datos y la cooperación para la recuperación de activos ilícitos.
Descargo
En la Comisión de Asuntos de Seguridad Nacional, a cargo de analizar la iniciativa en cuestión, han recibido opiniones similares de otros profesionales a los que han consultado en ese procedimiento, las cuales «se han atendido y se han venido corrigiendo», indica el diputado Jorge Mario Villagrán, presidente de dicha comisión.
“En dado caso, cuando es necesario, se han realizado las modificaciones respectivas, dependiendo de la temática y el fondo de la misma. Los comentarios observados se basan en la iniciativa original, tal cual se recibió en la Comisión y resuelven muchas de estas inquietudes emitidas» indica el diputado.
Añade que esos argumentos 2ya fueron procesados por el Ministerio Público y por jueces del Organismo Judicial «en donde están de acuerdo en que la tipificación del delito como está es la correcta. De ahí la discordancia de lo comentado con la realidad».
“En la página Web del Organismo Legislativo está la iniciativa original 6347, la cual es la que llega a la Comisión. Ya la versión revisada por la Comisión no, porque esa versión revisada es la que se dictamina y es la que pasa a pleno para su lectura, ese es el procedimiento. Esa versión nunca se publica antes”, enfatiza el diputado Villagrán.
Consultado Diego Ronquillo, asesor legal del diputado José Pablo Mendoza, ponente de la iniciativa 6347, aclara que la Comisión de Asuntos de Seguridad Nacional “se encuentra analizando las penas para elevarlas según los principios de racionalidad, proporcionalidad y realidad del derecho penal”.
Añade que, en cuanto a los protocolos no considerados del Convenio de Budapest, “actualmente están en discusión de la Comisión, porque hay materias de los protocolos que ya están regulados en las leyes del país”.
“A diferencia del delito de estafa propia, el delito de fraude informático contempla como móvil del delito, el uso de las tecnologías de la información y las comunicaciones (Tics); asimismo, el bien jurídico tutelado es el activo patrimonial de las personas” defiende Ronquillo.
Este contenido se produce bajo la alianza editorial “No permita que lo estafen”, en conjunto con la Asociación Bancaria de Guatemala, un convenio que busca crear conciencia a los guatemaltecos sobre los peligros de las estafas en línea.