En junio de este año, la congresista Robertina Santillana Paredes del partido Alianza para el Progreso presentó el Proyecto de Ley N° 05630/2020-CR, que tiene como objetivo establecer nuevas disposiciones en materia de seguridad de la información y comercio electrónico, así como derogar la actual Ley de Delitos Informáticos. Aunque en ciertos casos la motivación es correcta, la mayor parte de las propuestas no han sido bien enfocadas, son demasiado ambiciosas y adolecen de problemas de técnica legislativa. Peor todavía, un par de ellas representan un grave peligro para los usuarios de Internet en el país.

Ámbito de aplicación demasiado amplio

Una de las primeras críticas que se le puede hacer al Proyecto es que pretende regular sobre un campo demasiado amplio. Los tres elementos que conforman el Objeto de la Ley (seguridad digital, comercio electrónico y delitos informáticos), aunque parecen estar relacionados, históricamente han sido regulados de forma diferenciada al punto en que considero difícil regularlos en un mismo texto. Para ejemplificar esta situación, basta con señalar que la normativa de comercio electrónico vigente en el Perú es del año 2000, mientras que la primera vez que se definió el término “seguridad digital” fue en una norma de 2018.

Querer abarcar tanto presenta diferentes complicaciones. En primer lugar, al tener que referirse a elementos tan diversos, el Proyecto pierde profundidad. Así, la seguridad digital en el Estado, que es quizás uno de los problemas más urgentes a resolver, apenas si es abordada a través de reformas que parecen cosméticas. Algo similar ocurre en el caso de los delitos informáticos, que son una agenda pendiente desde hace mucho tiempo. En segundo lugar, existe el riesgo de que varias de las disposiciones del Proyecto ya estén contempladas en otras leyes, lo que además puede crear conflictos de competencia. Esto se nota especialmente en las propuestas sobre comercio electrónico.

Seguridad digital en el Estado

Este es el primer elemento sobre el cual el Proyecto de Santillana ofrece algunas soluciones. ¿Cuáles son? Para empezar, que sea obligatorio para todas las entidades públicas la implementación de normativas ISO de seguridad de la información (específicamente la 17799 y la 27001). Luego, la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros (SEGDI) deberá proponer un plazo razonable para que dicha exigencia se extienda también a las personas y empresas que contratan con el Estado. Con esto, se buscaría elevar el estándar de seguridad en el mediano y largo plazo.

Pese a que la motivación de esta propuesta es buena, ignora ciertas realidades que eventualmente la hacen una apuesta ineficaz. Si bien la implementación de las normas ISO 17799 y 27001 son un indicador fiable del compromiso de una institución con la seguridad, no representan en sí misma ninguna garantía. Desde el año 2004 ya es obligatoria la implementación de la ISO 17799 en todas las instituciones que conforman el Sistema Nacional de Informática y desde 2012 ocurre lo mismo con la ISO 27001. Para quien no lo sepa, el Sistema Nacional de Informática abarca casi la totalidad del Estado, lo que incluye a organismos como RENIEC, la ONPE, el INEI y el Ministerio de Desarrollo e Inclusión Social, todos ellos afectados en los últimos años por toda clase de vulneraciones informáticas siendo el hackeo al Bono Universal el caso más reciente.

Por otro lado, este mismo razonamiento también aplica al extremo de la propuesta que busca establecer la misma obligación para los privados que contratan con el Estado. Pero aquí además es necesario valorar en qué casos esta exigencia sería necesaria y proporcional pues el texto no contempla excepciones. ¿Resulta idóneo exigirle la implementación de estas normas ISO de seguridad a proveedores de alimentos y bebidas, vestimenta o a quienes ofrecen servicios personales de consultoría? ¿Hacerlo redundará en mayor seguridad digital?

Comercio electrónico

El segundo elemento donde el Proyecto deposita sus propuestas es el comercio electrónico. Este apartado es tan escueto como innecesario. La congresista Santillana, como muchos de sus colegas congresistas en este y en anteriores congresos, parecen no asimilar todavía la idea de que ninguna actividad en línea en general (salvo que sea en sí misma ilícita) necesita estar “regulada” por una ley especial para ser legal y permitida. Si realmente fuera así, nada podría existir sin una norma previa que habilite su existencia, lo que automáticamente convertiría en delincuente a cualquier inventor. Para evitar este terrible destino, un congresista tendría que viajar al pasado para proponer una norma sobre algo que todavía no existe.

Volviendo al Proyecto, no hay que perder de vista la buena intención e incluso los límites que se autoimpone, que reconoce en este apartado que sus disposiciones se ven complementadas por otras normas sobre la materia como el Código de Consumidor. La buena noticia aquí es que el comercio electrónico ejercido por personas y empresas ya está afecto a toda la normativa que se aplica al comercio “tradicional”, en todos los sentidos: Societaria, tributaria, civil y, por supuesto, de consumidor. Sobre este último campo, el Indecopi tiene un largo historial de decisiones administrativas que nos permiten conocer mejor el panorama regulatorio del comercio electrónico.

Por otro lado, respecto de las propuestas sobre protección de datos bancarios, estas disposiciones también se superponen a un marco legal mucho más amplio y actualmente vigente que es la Ley de Protección de Datos Personales y su Reglamento. Por lo tanto, tampoco sería necesario contar con ellas para asegurar un entorno de mayor seguridad para los consumidores de estos comercios.

Delitos informáticos

Finalmente, el Proyecto propone la derogación de la actual Ley de Delitos Informáticos y su cambio por un nuevo catálogo de delitos, además de varias disposiciones de índole procesal penal. Algunos de los delitos como el “Intrusismo informático” o la “Perturbación informática” son similares a los que se encuentran en la Ley actual, pero con otros nombres y con modificaciones en su texto. Otros como el delito de “Creación de falsa identidad” son creaciones originales. Respecto de las disposiciones procesales, me llama la atención especialmente la que otorga al fiscal el poder de ordenar el bloqueo de dominios.

En general, las propuestas del catálogo de delitos no han sido trabajadas teniendo en mente el estándar del Convenio de Budapest, pese a que en la Exposición de Motivos se cita este tratado como una razón para modificar la Ley actual. En cuanto al poder del fiscal de bloquear dominios, parece excesivo e incluso ilegal. La normativa actual de Neutralidad de la Red en el Perú, que es la que habilita estos procedimientos, exige que para solicitar el bloqueo de sitios web o aplicaciones legales, se necesita una norma legal expresa o en su defecto, un mandato judicial. El bloqueo de un sitio web o aplicación es tal vez una de las medidas más graves sobre Internet, al punto en que ha merecido fuertes pronunciamientos de organismos internacionales cuando un Juez los ha ordenado en otros países de la región. En el caso del Proyecto, esta actuación ni siquiera tendría que ser validada judicialmente.

Por último, está lo que considero un despropósito mayor: la creación del delito de “Creación de falsa identidad”. Esta innovación no solo es innecesaria sino que es peligrosa. Es innecesaria porque el Derecho Penal Peruano jamás se ha preocupado por regular una situación periférica y subyacente como son las herramientas de anonimato. Cuando se comete un delito, no importa bajo qué nivel de anonimato haya actuado su autor o autores para que el sistema penal se active y vaya en su persecución. Así pues, mientras que el robo es un delito, no lo es (y tampoco es un agravante) el hecho de que el delincuente cubra su rostro con una máscara, un pasamontañas o que utilice un alias a la hora de identificarse.

Ahora bien, además de innecesaria, este nuevo delito informático es peligroso por la forma cómo ha sido redactado. Para empezar, señala que hay delito cuando la identidad falsa, se crea con el fin de “obtener un beneficio económico para sí o para tercero”. En sentido estricto, este delito castigaría a cualquier persona que crea una identidad falsa en Internet con un fin económico, aún cuando hacer esto no sea un delito en sí mismo. De aprobarse el Proyecto, al día siguiente los administradores de las cuentas del dragón Timoteo, el tendero Don Pepe y otros personajes de fantasía se convertirían en delincuentes informáticos. También lo serían aquellas personas que crean identidades falsas en Internet con propósitos literarios, de ejercicio creativo, parodia, seguridad personal, trabajo, etc. No hay cárcel para tanta gente.

Por todos estos motivos, en Hiperderecho hemos enviado cartas exponiendo esta situación a todos los miembros de la Comisión de Justicia y Derechos Humanos, en donde se ha asignado este Proyecto de Ley. En nuestra carta (PDF) pedimos a los congresistas votar a favor del archivo de esta propuesta, a menos que esta cumpla con ciertas modificaciones; entre ellas, escoger solo un elemento a ser regulado y teniendo en cuenta las observaciones planteadas en el ámbito de la seguridad digital y en el de los delitos informáticos.

Foto: Morning Brew (Unsplash)