Hace pocos días, el Pleno del Congreso aprobó la Resolución Legislativa que aprueba la adhesión de Perú a la Convención sobre Cibercriminalidad del Consejo de Europa o Convención de Budapest. En diferentes volúmenes, esta noticia ha sido presentada por diversas partes interesadas como la postergada atención de una apremiante necesidad nacional o la pieza que faltaba en la madurez de nuestro entorno digital. Personalmente, creo que esta decisión no es ni lo uno ni lo otro. No obstante, vale la oportunidad para reflexionar sobre lo que significa esta noticia y lo que estas reacciones nos dicen sobre la madurez del debate nacional acerca de la lucha contra los delitos informáticos en Perú.
Podría pensarse que Perú llega tarde con su adhesión a una Convención aprobada en el año 2001. En realidad, al tratarse de un acuerdo del Consejo de Europa, fue inicialmente negociado y firmado exclusivamente por estados europeos y algunos invitados como Estados Unidos y Canadá. Casi dos décadas después, menos del 15% de naciones que no pertenecen al Consejo de Europa han decidido adherirse a él. De hecho, en nuestra región, solo algunas lo han hecho y muy recientemente: Argentina (2018), Chile (2017), y Paraguay (2018). México y Colombia, aunque invitados ya, están todavía tramitando su adhesión. Por tanto, realmente Perú no llega tarde a la firma de este acuerdo cuya suscripción fuera de Europa parece más bien la excepción y no la regla.
La pregunta sobre si valía la pena adherirse al Convenio es compleja y ya varios la han intentado responder (incluyendo mis colegas Carlos Guerrero y Martín Borgioli en un informe que publicamos el año pasado). Es innegable que todo estado moderno necesita de reglas penales para perseguir y castigar ciertos actos ilícitos cuando se cometen a través de medios tecnológicos. Sin embargo, el esfuerzo de sumarse al estándar del Consejo de Europa parece importar más por lo formal que por lo sustantivo. Es decir, más que alentarnos a crear nuevos delitos (que ya teníamos) el Convenio ratifica que el marco legal de nuestro país se ajusta al estándar común entre los miembros. Esto habilita que peruanos que cometen delitos informáticos puedan ser juzgados en el extranjero o que extranjeros puedan serlo en Perú, siempre que sus países también hayan suscrito el Convenio. Eso es, en síntesis, lo que nuestro país ha obtenido tras la adhesión.
Abogado por la Pontificia Universidad Católica del Perú. Máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford (California, Estados Unidos).
Dicen que a la tercera es la vencida o al menos eso debe esperar el Poder Ejecutivo, que el 4 de mayo presentó nuevamente un Proyecto de Resolución Legislativa (PDF) dirigido a la Comisión de Relaciones Exteriores del Congreso con el fin de que se ratifique la Convención sobre Cibercriminalidad (mejor conocida como el Convenio de Budapest). La ratificación de este Convenio, que viene siendo impulsado desde hace varios años, ha sufrido todo tipo de retrasos e inconvenientes, que esta vez parecen haber sido superados.
Para quienes no lo conocen, el Convenio de Budapest es el primer tratado en el mundo que busca crear un marco comprensivo de acción contra los delitos informáticos a través de tres líneas de trabajo: (1) la creación de un marco penal común, (2) la estandarización de procesos de investigación, y, (3) el fortalecimiento de la cooperación internacional. Creado y aprobado en el seno del Consejo de Europa, ha sido suscrito también por países de diferentes regiones que buscan fortalecer su lucha contra estos delitos.
Perú, como otros países de Latinoamérica, ha visto crecer en los últimos años los delitos cometidos a través de tecnologías de la información y la comunicación. Ante su avance, se han ensayado diferentes respuestas, entre ellas la creación de normas específicas de delitos informáticos, la institucionalización de unidades de respuesta y la aplicación de un marco legal que proteja al Estado y a sus ciudadanos de las amenazas presentes en el ciberespacio. En ese contexto, la adhesión al Convenio de Budapest se vió como un paso más dentro de estos esfuerzos.
Esta adhesión, que viene gestándose desde hace varios años, concluye el largo camino que recorre el país en materia de seguridad digital e impulsa otra agenda pendiente: la creación de un Plan Nacional de Ciberseguridad. Pero, ¿qué es este convenio y por qué es importante para nuestro país?
Antecedentes
A inicios de los años 90, diferentes voces en múltiples espacios de discusión internacional comenzaron a reclamar atención sobre la necesidad de encarar conjuntamente los problemas derivados del uso de las tecnologías de información y comunicación. Sobre todo en los países desarrollados, en donde estas tecnologías habían alcanzado un grado mayor de avance y penetración, el abuso por parte de los usuarios producía efectos negativos cada vez más relevantes para la economía y la sociedad.
Hace unos meses se presentó en el Congreso el Proyecto de Ley N° 1598/2016-CR que propone modificar el artículo 323 del Código Penal, el cual tipifica el delito de discriminación. El objetivo es incluir nuevos supuestos de hecho a los ya existentes y aumentar las penas con el objetivo de que, en sus modalidades agravadas, la discriminación pueda ser castigada con prisión efectiva. Su impulsor principal, el congresista César Segura (Fuerza Popular, Ica), afirma que esto es necesario para combatir este grave mal que afecta a la sociedad peruana.
El Proyecto de Ley No. 1669/2016-CR que propone crear el delito de difusión de material íntimo de manera no consentida sigue en trámite en el Congreso. Fue presentado en julio por el congresista José Marvin Palma (Fuerza Popular, Lambayeque) y actualmente se encuentra en estudio en la Comisión de Justicia y Derechos Humanos.
Estas prácticas son una forma de violencia de género y, como tales, representan problema social que difícilmente va a terminarse con una nueva ley. Sin embargo, es importante que las víctimas de estas prácticas no sean ignoradas por las autoridades y tengan recursos legales accesibles para mitigar los daños que estas prácticas generan. Este Proyecto de Ley busca convertir en un delito independiente la difusión de fotografías o videos que violen la intimidad de una persona sin su consentimiento. Según la redacción propuesta, este delito solo lo podrá cometer quien (i) tiene una relación íntima o de confianza con la víctima; y, (ii) amenaza con o difunde material audiovisual con contenido sexual de la víctima.
Hace un par de meses escribimos sobre este proyecto, saludando sus intenciones pero también destacando la necesidad de que se corrijan aspectos importantes. El mes pasado presentamos formalmente nuestros comentarios a la Comisión, señalando los puntos pendientes de ser justificados y también llamando la atención sobre lo que tiene que modificarse.
El sentido de nuestro aporte es asegurarnos que no se penalicen conductas inocuas, que no se castigue el uso de la tecnología en sí misma y que el nuevo tipo penal sea consistente con otros delitos como el de violación de la intimidad o las vías alternativas como la responsabilidad civil extracontractual. De la misma manera, llamamos la atención sobre la necesidad de que se recojan estadísticas y se consulte a otras autoridades sobre cómo han venido lidiando con estos problemas. Solo de esta manera podrá tenerse una perspectiva clara y crearse un mecanismo legal efectivo para castigar estas conductas.
Somos una organización sin fines de lucro que cree que la tecnología es una herramienta de liberación social y trabaja para defenderla de cualquiera que la ponga en riesgo.
Esta semana se ha presentado el primer Proyecto de Ley en el país que busca combatir una conducta cada vez más frecuente en el mundo: la difusión de pornografía no consentida o “pornovenganza”. Como afirma su promotor, el congresista José Marvin Palma (Fuerza Popular), la norma busca sancionar la difusión de imágenes, vídeos o audios con contenido sexual o erótico, sin consentimiento de las personas involucradas. Aunque esta idea está alineada con otros proyectos de regulación en la región y en el mundo que buscan combatir estos delitos, hemos detectado que la propuesta actual contiene algunas deficiencias que son urgentes de corregir.
¿Qué es la pornografía no consentida?
La pornografía no consentida puede ser entendida como todos aquellos registros (videos, imágenes, voz, etc.) que, sin importar cómo han sido obtenidos, se difunden a través de medios de comunicación masivos como Internet sin el consentimiento de los involucrados. Típicamente, estos actos tienen como objetivo causar un perjuicio a las víctimas al exponer detalles de su intimidad al público.
La semana pasada ocurrió un evento histórico. Durante las primeras horas del viernes 21 de octubre, un enemigo desconocido lanzó uno de los ataques de denegación de servicio (DDoS) más grandes de la historia reciente. Casi simultáneamente, Estados Unidos y algunos países de Europa empezaron a reportar problemas para acceder a varios de los sitios más visitados de Internet como Twitter, Amazon y Spotify. Horas después, y con la emergencia controlada, la empresa encargada de gestionar la crisis confirmó el ataque.
Pese a lo tentador que suena, no estamos frente a un acto de Ciberguerra o a un ‘Pearl Harbor Digital’. Nadie ha muerto en este ataque. Ningún secreto ha sido robado. Además de que Internet se puso lenta durante unas horas, no pasó gran cosa. Pero sobre todo, pese a que es uno de los mayores de la historia, este tipo de ataque ocurre con más frecuencia de lo que uno se imagina.
Millones de personas utilizan diariamente las redes sociales como Facebook y Twitter, así como blogs, para publicar sus fotos, expresar sentimientos y postear sus anécdotas sin ningún tipo de prejuicio. De igual manera, lo hacen periodistas y comunicadores para informar, relatar hechos y emitir opiniones respecto de una investigación o una situación particular. Como lo señaló el Relator Especial de Naciones Unidas para la Libertad de Expresión en su informe al Consejo de Derechos Humanos de 2011, “Internet es uno de los instrumentos más poderosos del siglo XXI para exigir más transparencia en la conducta a quienes ejercen el poder, acceder a información y facilitar la participación ciudadana activa en la forja de sociedades democráticas.”
Abogado por la Universidad Blas Pascal de Córdoba (Argentina) y la Pontificia Universidad Católica del Perú. Candidato a Máster en Derecho y Tecnología por la Universidad de Tilburg (Holanda).
Un nuevo proyecto de ley presentado la semana pasada por la congresista Martha Chávez y otros congresistas de la bancada fujimorista busca modificar la Ley de Delitos Informáticos, Ley No. 30096. Específicamente, la propuesta propone cambiar la redacción de dos artículos de la referida Ley con la finalidad de precisar su alcance y propósito.
El primer cambio que busca el Proyecto es precisar en el artículo 1 de la Ley que su ámbito solo rige sobre las conductas ilícitas que afectan el derecho de propiedad, la protección de los datos personales y la intimidad de las personas. Según sus proponentes, este cambio dejaría claro que la ley no busca penalizar el mero daño a los sistemas informáticos sino el daño a los derechos y bienes a través de medios informáticos. En particular, su exposición de motivos señala que la redacción actual es errónea porque “los bienes jurídicos protegidos no son los sistemas y datos informáticos”.
Adicionalmente, el Proyecto también propone modificar el artículo 10 referido a los delitos de abuso de mecanismos y dispositivos informáticos. Según su redacción vigente, este artículo castiga la producción de herramientas específicamente diseñadas para la comisión de delitos informáticos así como la colaboración para tal fin. Sin embargo, conforme señala el Proyecto, existe una omisión en la redacción al exigir que la conducta sea deliberada e ilegítima solo al agente principal, admitiendo tácitamente que puede existir responsabilidad penal para el colaborador cuando no media deliberación o legitimidad. Por ende, se propone que se exijan los mismos requisitos de acción deliberada e ilegitimidad tanto para el que fabrica las herramientas para la comisión de delitos como para quienes prestan colaboración.
En el balance, se trata de un Proyecto de Ley positivo que aporta modificaciones bienvenidas a una ya bastante parchada Ley de Delitos Informáticos. De aprobarse, se trataría la tercera enmienda que se la hace a la Ley a poco más de un año desde su entrada en vigencia en octubre de 2013. Las veces anteriores se hicieron a través de una Fe de Erratas y de la Ley No. 30171 de marzo de este año.
Sin embargo, se extraña que a un año de vigencia de la Ley no se den cuenta de experiencias, informes o jurisprudencia de los problemas que ha tenido para aplicarse o se sustente la necesidad de cambios más allá de las meras inconsistencias de redacción. Como se señalaba en el estudio Luces y sombras de la criminalidad informática del Perú que publicamos este año, la lucha contra la delincuencia informática está condenada a fracasar si es que las leyes se siguen escribiendo de espaldas a la evidencia empírica y a las necesidades de los jueces y fiscales que están llamados a aplicarla.
Somos una organización sin fines de lucro que cree que la tecnología es una herramienta de liberación social y trabaja para defenderla de cualquiera que la ponga en riesgo.
Hacer reglas para los entornos digitales nos plantea, bajo distintas formas, una pregunta sobre cómo imaginamos futuro. Nuestra idea del futuro está necesariamente influenciada por nuestras ideas sobre el presente, sobre la tecnología y sobre la sociedad. En general, toda norma parte de un supuesto de hecho que busca evitarse o promoverse. Así, por ejemplo, las normas sobre pesca o electricidad parten de un estudio técnico sobre el desempeño del mercado o del entorno económico y social del problema. Sin embargo, en países como el nuestro las normas sobre tecnología parten de impresiones y prejuicios que toman el peor escenario posible como indiscutible y no se molestan mucho en verificarlo.
Para quienes usamos y trabajamos con Internet, una computadora o una tablet representan una puerta a un mundo de posibilidades: compartir fotos por redes sociales, jugar World of Warcraft o aprender a programar, mirar películas por Netflix o investigar más sobre Guardianes de la Galaxia o Game of Thrones. Sin embargo, para otro grupo importante de personas esos mismos aparatos representan el peligro de robo de identidad o de tarjetas de crédito, extorsión, pornografía infantil, estafas, entre otros. Esta diferencia de mentalidades no solo tiene que ver con una brecha generacional, sino que es mucho más profunda. Está en parte alimentada por el desconocimiento y también por el miedo infundido por noticias sensacionalistas sobre los peores casos de hackeos, secuestros y demás peligros de la tecnología al que somos expuestos.
Esta división de opiniones no es exclusiva de la tecnología. De la misma manera, desde los automóviles hasta los organismos transgénicos tienen promotores y detractores en todos lados. En todos estos casos, nuestra sociedad tiene que tomar decisiones importantes sobre si los beneficios de determinado fenómeno justifican los riesgos que su masificación implica. La pregunta es cómo deben de tomarse estas decisiones y qué elementos deben de tenerse en cuenta para evaluarlas. Yo creo que en el caso de la tecnología nos equivocamos con frecuencia porque al momento de legislar partimos del miedo, de la ignorancia y por eso nuestra mejor respuesta es la represión.
Muchas de nuestras autoridades, incluyendo congresistas, le tienen miedo a la tecnología. Es lo primero de lo que uno se da cuenta al leer iniciativas como la Ley de Delitos Informáticos o versión inicial la Ley Chehade. No son propuestas que partan de la experiencia o que se sustentan en vacíos legales debidamente identificados por jueces o fiscales. Por el contrario, son formuladas y expresadas desde el espanto que producen los reportajes sobre robos de información o meras impresiones sobre lo que es bueno y malo. Por eso son tan amplias, tan vagas y resultan tan difíciles de comprender: no se escriben desde la experiencia sino desde la suposición. Si aplicáramos la misma mentalidad que aplican nuestros legisladores a otros aspectos, la noticia de un asesinato por envenenamiento nos llevaría a prohibir la venta de veneno para ratas, acido muriático o lejía en todo el país. Sin embargo, no lo hacemos. Pese a que comprendemos que asumimos un peligro al permitir la libre circulación de estas sustancias, la escasa incidencia de asesinatos bajo esta modalidad y la existencia de recursos legales para contestarlos nos ha dejado lo suficientemente tranquilos.
También partimos de la ignorancia porque, muchas veces, las tecnologías son tan recientes que es imposible analizar si van a ser más beneficiosas que peligrosas. Incluso cuando ya tienen varios años en aplicación no se toman decisiones sobre la base de la realidad nacional. A menudo, basta con leer el último reporte de cualquier empresa que fabrica antivirus para concluir categóricamente que estamos al borde del colapso del sistema financiero. También es frecuente que sobredimensionemos los peligros de ciertas conductas respecto de otras. Por ejemplo, podemos pensar que es más común el acoso a menores a través de Internet o el robo de identidad que el fraude o phishing, cuando cualquier usuario peruano puede comprobar en su bandeja de correo lo contrario.[1] En contra de la práctica dominante, la aproximación a cualquier problema relacionado con la tecnología tiene que estar sustentado en la experiencia. Necesitamos dejar tiempo y espacio para que la tecnología se desarrolle y solo así tener los elementos de juicio apropiados para regularla. Muchas de las tecnologías más valiosas que tenemos se han desarrollado desde la libertad y no gracias a un permiso específico otorgado por el Estado.
¿Qué pasa cuando las personas que tienen una idea negativa sobre la tecnología son los encargados de regularla? La ignorancia y el miedo a lo que no conocemos nos llevan a la represión. Castigar, prohibir o someter a aprobación previa parece ser la única conclusión posible frente a un fenómeno que parece más grande que nosotros. Como resultado, muchas ideas innovadoras nunca desarrollan plenamente su potencial o se quedan en papel. Imaginemos, por ejemplo, que ante el fenómeno real de la masificación de la clonación de tarjetas se propone una ley que prohiba a cualquier negocio peruano aceptar un pago con tarjeta que no esté verificado previamente a través de un sistema de huella digital. Esta idea bien intencionada inmediatamente eliminaría las pocas posibilidades que tienen actualmente los negocios a través de Internet de recibir pagos con tarjetas de crédito. Incluso, también podría quedar vedad la posibilidad de que algún desarrollador experimente con métodos alternativos de pago como NFC.
La consecuencia de que se nos niegue el acceso a la innovación o que existan barreras burocráticas para ello no solo significaría una pérdida para las empresas sino, principalmente, para los usuarios. Todos saldríamos perdiendo porque existirían menos ideas nuevas y menos empresas en competencia, con el impacto que ello necesariamente tiene en la calidad de los servicios.
Como lo señala Adam Thierer en su último libro, es importante que pensemos en el impacto que tiene la cultura del permiso en el desarrollo del mercado tecnológico. Él plantea que debemos deshacernos del principio precautorio en materia de innovación y dar paso a la experimentación supervisada. No se trata de promover el libertinaje sino de asegurarnos que cada vez que tomamos decisiones de política pública sobre tecnología lo hagamos de manera informada.
Entre mis conocidos, cada vez es más frecuente recibir correos electrónicos fraudulentos de bancos que enlazan a páginas web falsas de Bancos que capturan información de todo tipo, desde datos personales hasta financieros. La Ley de Delitos Informáticos parece haber hecho muy poco para solucionar este problema. ↩
Abogado por la Pontificia Universidad Católica del Perú. Máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford (California, Estados Unidos).
