Juris Actual – Observatorio de Ciberseguridad

Proyecto «Juris-Actual»

Comentarios de sentencias dictadas por los tribunales de justicia con competencia penal, redactados por estudiantes de la Carrera de Derecho de la Universidad Autónoma de Chile.

Comentario a la Sentencia de Corte de Apelaciones de Santiago del 6 de enero de 2020 (rol Nº 6010-2019).

Por Paulina Belmar Urrutia
Estudiante 4° año de la Carrera de Derecho
Universidad Autónoma de Chile

Con fecha 18 de octubre del año 2019, tres personas fueron condenadas por el Cuarto Tribunal Oral en lo Penal de Santiago por el delito de obstrucción a la investigación e infracción al artículo 4° de la Ley N° 19.223 que sanciona y tipifica figuras relativas a la informática, precisamente, relacionado al espionaje informático (causa RUC Nº 1800024712- 6). Conforme a los hechos acreditados, se trataría de la difusión maliciosa hecha por un exfuncionario de la Policía de Investigaciones (en adelante la “PDI”) de archivos formato Excel que contenían información de los escalafones de la institución antedicha del año 2015, y que fueron extraídos de la Intranet de la misma institución. Acto seguido, esta misma persona habría hecho el envío de estos ficheros a través de su correo personal a los otros dos condenados, donde estos últimos los divulgaron al público en la página pdi-detective- Pastebin.com y en su página de la red social de Facebook llamada “Lulz Security Chile”.

Dicho lo anterior, la sentencia dictada por el tribunal hizo una especial apreciación del porqué esta conducta se encuadraría en el tipo señalado en el artículo 4° de la ley 19.223 (espionaje informático) razonando lo siguiente: “Es menester indicar que al efectuar la descripción típica, la norma utiliza, como verbos rectores: revelar y difundir, y al contrario de los dispuesto en el artículo 2 de la misma ley, no exige un ánimo especial, ni que tales conductas deben estar orientadas a un fin específico, no menciona que deba obtenerse algún tipo de beneficio o gratificación y tampoco la naturaleza de la información, solo exige dolo directo a través de la expresión, maliciosamente y que la información esté contenida en un sistema de información” Luego, agrega como complemento a lo mencionado con anterioridad: “Un sistema informático, de acuerdo al Convenio sobre Cibercriminalidad del Consejo de Europa, suscrito en Budapest el 23 de noviembre de 2001, es todo dispositivo aislado o conjunto de dispositivos interconectados o relacionados entre sí, cuya función, o la de alguno de sus elementos, sea el tratamiento automatizado de datos en ejecución de un programa. Dicho concepto permite comprender en él a la Intranet de la Policía de Investigaciones, por lo que resta determinar si la información allí contenida es susceptible de la protección penal. Atendido lo amplio del artículo 4°, según se dijo, es fundamental establecerse algún tipo de criterio que permita distinguir las conductas que efectivamente quedan cubiertas por el tipo, atendido el principio de la intervención mínima del Estado punitivo, es decir, la naturaleza de última ratio del derecho penal, y el principio de lesividad. En esta línea Mario Garrido Montt ha señalado que “el legislador no es libre para sancionar cualquiera conducta; puede hacerlo únicamente cuando tiene motivos que legitiman el ejercicio de esa facultad, y ello sucede cuando se dirige a la protección de bienes jurídicos valiosos (Derecho penal, tomo 1, parte general, página 43.)” (Considerando 10°).

A partir de ello, la sentencia nos da elementos importantes para tematizar, entre otras, las siguientes interrogantes: ¿Qué clase de bien jurídico es el protegido por el art 4° de la ley 19.223 de delitos informáticos? y ¿Son todos los tipos de información contenidos en algún dispositivo susceptibles de ser objeto de este tipo de delito? Y de ser así ¿deben ser castigados con la misma pena?

EXAMEN DE LA DISCUSIÓN JURÍDICA Y COMENTARIO

El Bien Jurídico en la ley 19.223 de Delitos informáticos

Mucho se ha discutido respecto a cuál sería el bien jurídico tutelado en relación a este tipo de delitos, todo derivado de lo reciente que ha sido el estudio de esta materia, y lo escaso que ha sido su regulación en nuestro país. No obstante y a modo general, al crearse la ley 19.223, la moción parlamentaria señaló “…se trata de un bien jurídico que ha surgido con el uso de las modernas tecnologías computacionales: la calidad, la pureza e idoneidad de la información en cuanto tal, contenida en un sistema automatizado de tratamiento de la misma y de los productos que de su operación se obtengan”. De la lectura de la definición entregada, podemos desprender que se redactó en términos genéricos, no dando una señal clara de lo que se buscaba proteger ¿a qué se referirá con la calidad, la pureza e idoneidad de la información? Se deja a la interpretación, nos da cuenta incluso, y como menciona Moscoso “que cualquier atentado contra la información es punitivamente relevante, sin distinguir la importancia de los datos contra los cuales se actúa.” (Moscoso (2014), pp. 11-78.)

La doctrina chilena se ha divido en dos posturas para “dilucidar” que tipo de bien jurídico se trataría. En primer lugar, la doctrina mayoritaria postula que, al ser un delito pluriofensivo, los bienes jurídicos tutelados serian aparte del ya mencionado en la ley, el patrimonio, intimidad, confidencialidad, seguridad y fiabilidad del tráfico jurídico y la propiedad sobre la información.

Un sector minoritario por otra parte aboga que los delitos informáticos tutelan un bien jurídico específico, propiamente informático, diverso del que protegen los delitos tradicionales, enlazando con los anterior, podríamos indicar que inclusive, para la interpretación del tribunal y de lo dictado en sentencia, se consideró a la confidencialidad de la información contenida en el sistema de información (en este caso, la intranet de la PDI) para la aplicación del artículo 4°.

El espionaje informático

Este tipo penal sanciona la obtención no autorizada de datos almacenados en un fichero automatizado, produciéndose la violación de la reserva o secreto de información de un sistema de tratamiento de la misma. Estos actos pueden llevarse a cabo de forma rápida y sencilla. La definición entregada, se puede entrelazar con la descripción del tipo hecha en el artículo 4° de la ley 19.223 para reducir su interpretación, debido a la amplitud con la que fue redactada esta norma (a propósito de ser el objeto principal de estudio). Este articulo especifica: “El que maliciosamente revele o difunda los datos contenidos en un sistema de información, sufrirá la pena de presidio menor en su grado medio. Si quien incurre en estas conductas es el responsable del sistema de información, la pena se aumentará en un grado.”

Por el uso de la palabra “Maliciosamente” entendemos que no puede contemplar una comisión culposa del hecho punible, respaldo esta postura en conjunto a la decisión del tribunal y la exposición del fiscal, ya que, el revelar y difundir los datos de los escalafones, información a la cual tienen acceso solo quienes son parte de la PDI y luego, hacerla pública en una página web señalando de manera escrita que “tenían mucho más para revelar”, nos da cuenta de que no hubo en ningún momento una perpetración culposa del delito, estando siempre presente el dolo.

Ahora bien, en cuanto a las expresiones “revelar y difundir” la primera significa “Descubrir o manifestar lo ignorado o secreto” (en este caso, los archivos Excel de los escalafones del año 2015 de la institución, que contendrían además el nombre completo, grado y domicilio de los funcionarios, datos que solo son de conocimiento de quienes son parte de la misma). La segunda palabra “Difundir” de acuerdo a la Real Academia Española, significaría el “Propagar o divulgar conocimientos, noticias, actitudes, costumbres, modas, etc.” (Bustos, 2013). Uno de los sujetos activos satisfizo plenamente la conducta, al publicar los archivos tipo Excel que obtuvo de un sistema de tratamiento de información, sin mediar el consentimiento de la víctima, exponiendo a los funcionarios de forma deliberada. Al tenor de lo señalado por el Tribunal, dicha conducta cumple completamente el artículo 4°.

3. La confidencialidad

La confidencialidad hace referencia al derecho de reserva de la información a la que tienen acceso solo personas autorizadas. Como bien jurídico protegido, puede vincularse fácilmente con los conceptos de obtención indebida de datos o programas de sistemas de información. Para el estudio en cuestión, la confidencialidad habría sido violada al extraer y difundir los archivos Excel, ya que el acceso solo se les otorga a los funcionarios de la institución.

Hemos mencionado que, debido a la amplitud con la que fue escrito el artículo 4° de la ley 19.223, el tribunal, en unión a lo señalado por el fiscal, interpretó que en el respectivo artículo se protegería esta confidencialidad.

Al contrario, la defensa postuló una interpretación distinta, producto de una diferente exegesis de los preceptos citados. En este sentido, presentaron un recurso de nulidad a la sentencia dictada, debido a que desde sus argumentos “no son datos reservados ni menos confidenciales. No lo son respecto de los datos del año 2015, e incluso, si los mismos fueran los actuales escalafones, tampoco sería confidencial o reservada esa información, pues se estima que los escalafones de la PDI, con el nombre, grado, fecha de nacimiento y unidad policial, es información pública, conforme a la garantía del derecho a la información contenido en la ley
20.285 (ley de transparencia) y Ley 19.653, Orgánica Constitucional de la Policía de Investigaciones de Chile.”

En su sentencia de fecha 6 de enero de 2020, rol N° 6010-2019 (Penal), la Corte de Apelaciones de Santiago rechazó el recurso de nulidad impetrado, refutando la citada argumentación de la defensa del siguiente modo: “lo que se revela no supone única o necesariamente que se trate de información secreta o confidencial, pues también se cumple la acción del verbo rector si esta información es simplemente ignorada por los demás y lo es, si es que, como se acreditó, estaba contenida en la Intranet de la Policía de Investigaciones, que es un sistema informático interno, no de acceso público, que mantiene esa institución exclusivamente para sus componentes.” (Considerando 14°)

Podemos observar que se crea una discusión en torno a qué peso y relevancia tendría la confidencialidad de este tipo de información, algo que, en la norma, se encuentra tipificado de forma tan ambigua, que debe darse un examen exhaustivo y preciso para considerar lo planteado por el tribunal en su sentencia y lo verificado por la Corte de Apelaciones.

4. La protección de la confidencialidad en el delito de espionaje

Hemos hecho mención que, según una corriente doctrinaria, los delitos informáticos serían pluriofensivos, afectando de este modo a un número de bienes jurídicos resguardados. Sin embargo, puede considerarse que la confidencialidad constituye el bien jurídico protegido por el tipo penal de espionaje informático, dando un punto de inicio para delimitar el campo de acción de la interpretación de las figuras existentes.

La sentencia nos ha demostrado, que la información contenida dentro del intranet de la PDI posee la calidad necesaria para ser de carácter reservado y, por tanto, que al ser revelada y difundida se vulnera dicha confidencialidad, tal y como se expresa en la sentencia de primera instancia, al señalar que la publicidad de la dotación completa de la Policía puede afectar el funcionamiento del órgano, específicamente, en “desmedro de la prevención, investigación y persecución de un crimen o simple delito” (Considerando 7°). Cuando se revelo y difundieron estos datos no se dieron a conocer solo el número de funcionarios de unidades policiales, sino que además su identidad y datos que pueden conducir a su ubicación de los funcionarios, poniendo en riesgo aquellos procedimientos que constituyen sus labores y pueden perjudicar la estrategia de sus operaciones, a modo de ejemplo, aquellos que tienen como presupuesto ser reservados para la población.

Esto mismo se encontraría respaldado por el Consejo para la Transparencia en su decisión A45- 09, frente a la solicitud de: Número de carabineros destinados al Departamento de Protección de Personas Importantes (PPI) y Número de autoridades o personas que reciben este tipo de protección, desagregándolo según nacionalidad, sexo, ubicación geográfica y tiempo desde el cual cuentan con esta protección, al indicar: “la revelación de la dotación del DPPI produciría un daño o detrimento en el debido cumplimiento de sus funciones.”

La calidad de esta información reviste tal grado de confidencialidad, que nos hace parecer que es necesaria una regulación expresa que nos indique qué tipo de información es susceptible de ser objeto de este delito (ya que no todos los datos digitalizados serian merecedores del mismo grado de confidencialidad) y como acto seguido, mostrar una graduación de la pena de acuerdo con la importancia de la información que fue difundida, como menciona Moscoso “Mientras más grave sea la lesión al bien jurídico de la confidencialidad y mientras más sean los intereses lesionados, más grave debería ser la pena.” (Moscoso, 2014).

Incluso, -y a visión personal-, si se debiese graduar por quién fue el que cometió el ilícito, respecto del personal en este caso de la PDI, debiese ser más gravosa la pena, ya que el funcionario que filtra la información falta a su deber ético y de confidencialidad y quien lo irrespete merece las sanciones disciplinarias y administrativas que correspondan.

CONCLUSIONES

El Convenio de Budapest ratificado por nuestro país busca proteger tres pilares importantes: la confidencialidad, la integridad y la disponibilidad de la información (Singer y Friedman, 2014: 35) y también llama, a que los Estados parte enfrenten los delitos informáticos mediante la creación de leyes acordes a lo que demanda la ciberseguridad contingente.

En este sentido, hemos visto que la ley 19.223, dictada en 1993 con sus cuatro artículos es insuficiente para el actual avance que presenta la tecnología y sus usos, más si se considera que a la fecha no ha recibido ninguna modificación. A mayor abundamiento, esta “protege” un bien jurídico demasiado ambiguo en la forma que fue señalado, debiéndose recurrir a soluciones interpretativas para permitir su aplicación a casos concretos. Señalamos que el bien jurídico de este tipo de delitos, en especial del espionaje informático, siempre será la confidencialidad, tal como lo muestra el Convenio ya aludido. Tanto las juezas de primera instancia como quienes integraban la sala de la Corte de Apelaciones que conoció del recurso de nulidad hicieron una calificación correcta y concordante con el artículo 4° de la Ley N° 19.223 a los hechos materiales cometidos y que fueron desplegados por los condenados, aplicando los principios de la lógica. No obstante, vislumbramos la imperiosa necesidad de actualizar esta norma, y guardamos esperanza, en que el nuevo proyecto de ley pueda acabar con los vacíos y ambigüedades existentes en nuestra legislación en la materia.

Comentario a la Sentencia de Corte de Apelaciones de Valparaíso del 11 de octubre de 2017 (rol Nº 1763-2017): «La dificultad probatoria de los delitos informáticos en Chile».

Por Karina Soto Maturana
Estudiante 2° año de la Carrera de Derecho
Universidad Autónoma de Chile

Con fecha 24, 25 y 28 de agosto de 2017, tres sujetos fueron formalizados ante el Tribunal de Juicio Oral en lo Penal de Valparaíso (causa RUC Nº 1 600 109 716-8) por el delito de difusión de información contenida en Sistemas de Tratamiento de Información en virtud de la Ley Nº 19.223, que tipifica figuras penales relativas a la informática, y del delito de interceptación de comunicaciones, previsto en la Ley Nº 18.168, General de Telecomunicaciones.

El tribunal de primera instancia concluyó que, “(…) se hace necesario consignar que si bien para el persecutor fiscal, los hechos materia de su acusación integrarían los tipos penales establecidos en los artículos 4 de la Ley 19.223 y 36 B letra b) de la Ley 18.168; en tanto que para los acusadores particulares, los hechos se encuadrarían en las figuras previstas en los artículos 2 y 4 de la Ley 19.223 y artículo 36 B letra b) de la Ley 18.168, lo cierto es que los hechos que este Tribunal tuvo por acreditados con el mérito de la prueba aportada a juicio, solo configuran el delito tipificado en el artículo 2 de la Ley 19.223 que resulta ser más comprensivo de las conductas que fueron desplegadas por los acusados en el caso que nos convoca.” (considerando 18º). Con fecha 2 de septiembre de 2017, el abogado Defensor Penal Público interpuso recurso de nulidad en contra de la sentencia definitiva antes referida ante la Corte de Apelaciones de Valparaíso, por la causal dispuesta en el art. 374 letra f) por infracción del art. 341, esto es, infracción al principio de congruencia. En subsidio, el recurso se basó en la contemplada en el art. 373 letra b), es decir, por errónea aplicación del derecho que hubiere influido sustancialmente en lo dispositivo del fallo, todos del Código Procesal Penal.

Con fecha 11 de octubre de 2017, el tribunal de alzada dictó sentencia sobre el recurso deducido. Luego de analizar los argumentos de las partes, estableció en su considerando 6º: “(…) Que, sin perjuicio de lo señalado, los hechos acreditados por la sentencia recurrida, dicen relación con todas las acusaciones que conforman este proceso, esto es, no sólo la realizada por el Ministerio Público, sino que también por los acusadores particulares. En la especie, la objeción que formula respecto de esta causal por la parte recurrente se refiere sólo a la del Ministerio Público y nada dice respecto de la de los acusadores particulares (…) De la manera entonces cómo se ha planteado esta nulidad, implica que ella no puede ser acogida.”

Respecto a la causal subsidiaria, la Corte razonó en el considerando 8° que no es efectivo que la conducta de los imputados sería atípica, “ (…) pues la conducta ilícita de los querellados consiste en una retransmisión no autorizada de los programas que ellos contrataron, quedando meridianamente establecido que realizaron un conducta no autorizada, pues la decodificación permitida por las empresas, consiste en el uso particular o doméstico de las señales que no constituyen televisión abierta, lo que quedaba comprendido en el contrato que originalmente suscribieron. La ilicitud de la conducta, demostrada probatoriamente, consiste en una retransmisión no autorizada a los abonados que no tenían relación con los querellantes. De esa manera, la conducta que se ha imputado a los acusados, se encuentra perfectamente cubierta por el artículo 2 ° de la Ley 19.233, puesto que además, se ha producido el “apoderamiento” de una información encriptada que producto de la decodificación es distribuida con un evidente ánimo de lucro.”

En virtud de los argumentos expuestos en los considerandos 3° a 8°, la Corte rechazó el recurso de nulidad, confirmando la sentencia de primera instancia.

La sentencia en primera instancia es expresión de la problemática procesal en la persecución penal de los delitos informáticos, ya que, si bien se logró imputar uno de los delitos tipificados en la Ley 19.223, esta evidencia grandes problemas prácticos a la hora de la aplicación de la ley. Lo anterior dado que, por una parte, las descripciones de los tipos son muy vagas, no entrega elementos básicos ni tampoco consagra directrices en las que basarse para determinar que se está ante una intromisión indebida (Hiplan, 2019: 30). A mayor abundamiento, los delitos informáticos no admiten comisión culposa, por lo que “los conocimientos necesarios para llevar a cabo un delito informático impiden que haya una imprevisión por parte del sujeto activo respecto del significado de su conducta y sus consecuencias.” (Moscoso, 2014: 20)

EXAMEN DE LA DISCUSIÓN JURÍDICA Y COMENTARIO

Análisis de los tipos penales del artículo 2º y 4º de la Ley 19.223.

La Ley N° 19.223, que tipifica figuras penales relativas a la informática, es un acotado cuerpo legal compuesto de únicamente cuatro artículos, promulgado el 7 de junio de 1993, veintisiete años atrás. Su entrada en vigor tuvo por objeto introducir un nuevo bien jurídico a la legislación, con una finalidad de protección ante las modernas tecnologías, como lo sería “La calidad, pureza e idoneidad de la información en cuanto tal, contenida en un sistema automatizado de la misma y de los productos que de su operación se obtengan” (Ministerio Público, 2001).

En este punto nos guiaremos en base a las consideraciones expuestas en el Oficio N° 422, del Ministerio Público, de 27/09/2001, sobre Informe Relativo a las Diligencias e Investigación de los Delitos Informáticos contemplados en la Ley N° 19.223 y al Fraude Informático”, ya citado, con la intención de conocer los puntos relevantes sobre la estructura y análisis de la Ley N° 19.223, la cual considera dos figuras delictivas: I) Sabotaje Informático; II) Espionaje Informático, que a su vez se subclasifican en otras categorías. (Ministerio Público, 2001: 88)

Los artículos 2º y 4º admiten, en dos variantes distintas, lo que se conoce como espionaje informático, que por la doctrina es conocido como “aquellas conductas que suponen acceso u obtención indebidos de datos o programas de sistemas informáticos” (Mayer, 2017). Esta figura penal se encuentra dividida en dos grupos: i) Delitos de apoderamiento, uso, o conocimiento indebido de la información contenida en un sistema automatizado de tratamiento de la información, contenido en el art. 2º; y ii) Delitos de revelación indebida y difusión de datos contenidos en un sistema de tratamiento de la información, en virtud de lo dispuesto en el art. 4º de dicho cuerpo legal.

Delitos de apoderamiento, uso, o conocimiento indebido de la información contenida en un SIT

En el primer grupo se encuadra el tipo penal del artículo segundo: “El que con el ánimo de apoderarse, usar o conocer indebidamente de la información contenida en un sistema de tratamiento de la misma, lo intercepte, interfiera o acceda a él…(…)”. La descripción del tipo nos habla de “sistema de tratamiento de información” (en adelante “STI”), el cual no es definido por la ley, ni entrega directrices sobre las cuales basarse para determinar una noción o qué puede entenderse por ello. Sin embargo, el tribunal de primera instancia llegó a la conclusión, que “(..) el decodificador es un sistema de tratamiento de información porque capta la señal y la procesa. Por otro lado, la señal es un conjunto de datos e información que va desde un punto a otro.” Por otra parte, según la RAE la informática se define, “Conjunto de conocimientos científicos y técnicas que hacen posible el tratamiento automático de la información por medio de computadoras.”. Así, la ley contempla figuras penales relativas a la “informática”, por lo que el fallo del tribunal expande la comisión delictiva por otros instrumentos impropios de lo que en principio establece la ley respecto a delitos cometidos únicamente por computadoras.

Siguiendo a Moscoso, esto consecuencialmente ocurre a causa de que no se precisa de cuál parte del sistema de tratamiento de información se trata (Moscoso, 2014: 21), por lo que cabe destacar que su dificultad probatoria radica en que tanto la Ley N° 19.223 como el cuerpo legal del artículo 2º adolece de una redacción imprecisa y enormemente amplia. Es una norma que en principio tenía como objeto regular en un solo instrumento las distintas variantes de delincuencia informática, pero que por un intento de abarcar todos los tipos de comisiones posibles se vio excedida en este punto, por el hecho de llegar a conductas que no tienen relación con ella, lo que redunda en su general ineficacia en esta área.

En suma, volviendo al contenido del cuerpo legal es importante destacar como un factor delimitante de la norma, el hecho de que debe tratarse de sujetos que carezcan de autorización para ingresar al STI, tratándose en este caso de intercepciones, interferencias o accesos indebidos. El modus operandi puede efectuarse por tres modalidades distintas: interceptar, interferir y acceder.

Según la RAE, interceptar, es “Apoderarse de algo antes de que llegue a su destino.” Lo que es acuñado por la mayoría de los autores, sin embargo, la definición no resulta pertinente conforme la figura informática, dado que “la información contenida y transmitida en un sistema de tratamiento de la misma no dejará de llegar por la intercepción a su destino o destinatario, pues por su naturaleza de bien incorporal no se ve limitada por el apoderamiento, uso o conocimiento a un solo poseedor” (Huerta y Libano, 1999: 300), mientras que interferir se define como “Cruzar, interponer algo en el camino de otra cosa, o en una acción.”, por último, acceder se entiende como “la entrada o paso a un lugar”.

Visto lo anterior, cabe destacar que la principal diferencia entre interceptación y acceso reside en que, el acceso o bien llamado “hacking” por la doctrina, consiste en el ingreso a un STI, pudiendo de esta forma conocer la totalidad de la información contenida en este sistema; en contraste con la interceptación, la cual contempla que el sujeto solo podrá concebir la información que se encuentra en emisión o transmisión, mas no podrá entrometerse en otras bases de datos contenidas en el STI. Junto con ello se agrega el tinte “indebidamente” que tiñe el precepto de antijuricidad que debido a la historia de la ley 19.223 podemos interpretar que “indebidamente”.

Sin embargo, en nuestra opinión, el “hacking” o acceso indebido se considera en la ley chilena solo como un medio para la comisión de delitos, siendo una conduta atípica en nuestro ordenamiento. Ello, pues solo va a ser un delito en tanto esté acompañado del ánimo de apoderamiento, uso o conocimiento de información, lo que nos deja entrever lo limitada que se encuentra la persecución penal de esta conducta, que involucra una puesta en peligro de múltiples bienes jurídicos, entre ellos la propiedad, la seguridad, la indemnidad, etc.

1.2. Delito de difusión de datos contenidos en un STI

Por otra parte, el artículo cuarto engloba aquellas conductas de revelación indebida y difusión de datos contenidos en un sistema de tratamiento de la información. Aquí, la dificultad probatoria radica en que, por un lado, se exige que el autor del hecho doloso debe tener la voluntad directa de conseguir dicho resultado, excluyendo de esta manera la comisión culposa. Por otro lado, en uno de los alegatos de la defensa ante el tribunal (considerando 10º), se razonó qué “lo que protegen estos tipos penales es la privacidad y confidencialidad de los datos, datos personales, secretos industriales. Sus representados no acceden a información privada no intervienen una cuenta corriente o un sistema privado para averiguar los antecedentes penales de una persona. En el supuesto de una información confidencial solo puede acceder a ésta quien es dueño de la misma… (…)”. El Tribunal de Juicio Oral en lo Penal, por tanto, avala el razonamiento antes enunciado, puesto que limita la aplicación y asimismo la persecución penal de la conducta de difusión o de otra manera de lo que puede entenderse como retransmisión de una información que puede encontrarse encriptada en un sistema de tratamiento de la misma

La sentencia expresa que se trataría de una información encriptada y que se puede acceder a la misma a través de un pago. El texto legal tiene como objeto, en parte “resguardar la fidelidad en la custodia de información, evitándose la vulneración del deber de reserva el operador dé acceso a la información, con la correlativa obligación de reserva, de suerte que ésta no pueda ser conocida por terceros que carezcan de acceso a ella.” (Ministerio Público, 2001: p. 95). Lo que se puede desprender de ello, es que la información de la que se hace uso en el caso “no pueda ser conocida por terceros que carezcan de acceso a ella “. Por lo que perfectamente podría encuadrarse en el injusto sancionado por el cuerpo legal, pudiendo abarcar de esta forma otras conductas delictuales, no precisamente “secretas” pero que si atenten contra el bien jurídico protegido.

Pese a lo anteriormente razonado, la Corte determinó que, “El tipo penal del artículo 4 de la Ley 19.223, se denomina por la doctrina delito de difusión de datos. En este caso el bien jurídico es la privacidad o confidencialidad de los datos, se castiga a quien administra el sistema de información. No es cualquier dato, los datos si bien vienen encriptados, los contenidos, una vez decodificados, no son confidenciales.”, por lo que el tribunal acoge una interpretación más escueta sobre dicho precepto, limitando aún más su persecución penal.

El futuro de la legislación nacional respecto de los delitos informáticos

La pregunta en este punto es si a raíz de las cuestionables falencias que deja en evidencia la Ley N° 19.223, es preciso modificar la legislación actual, bien sea adaptándola a procedimientos propios de otras legislaciones o adecuándola a lo establecido en el Convenio de Budapest, para así introducir reformas parlamentarias, que sustituyan la evidente insuficiencia resaltada por la doctrina y jurisprudencia.

Siguiendo a Lara, Martínez y Viollier, desde la perspectiva del derecho escrito, lo más adecuado sería seguir lo expuesto por el Convenio, en vista de las carencias de un estudio pormenorizado por parte de la legislación nacional, ya que textualmente manifestado por los autores “La falta de profundización en elementos tan esenciales como las conductas a punir o la falta de graduación de las penas, requieren ser abordados legislativamente” (Lara, Martínez y Viollier, 2014: 19). En suma, el convenio presenta 48 artículos, de los cuales se destaca el primer capítulo que es dedicado a “definiciones necesarias para la correcta aplicación del convenio” lo que facilita enormemente la compresión y aplicación de la norma en la legislación nacional, tales como, “sistema informático”, “datos informáticos”, “proveedor de servicios”, y “datos relativos al tráfico”, etc.

Por otra parte, el Mensaje Presidencial por medio del cual se aprueba el convenio (Boletín Nº 10.682-10) pone de manifiesto en la ratificación que aplicará la noción de la legislación interna en los artículos 2º, 3º y 7º, que corresponden a acceso ilícito, interceptación ilícita y falsificación informática. En este y otros puntos se encuentra la incompatibilidad procesal entre el Convenio y la legislación interna. Sin embargo, el tratado entrega cierta flexibilidad a Chile en esa materia para su correcta implementación.

Sin más, es enormemente necesario el implementar y adecuar el Convenio de Budapest en Chile, pero no solo para satisfacer las lagunas actuales, sino que se encargue también de los vacíos que puede presentar el futuro de las nuevas tecnologías.

CONCLUSIONES

El razonamiento expresado tanto por la Corte como por el tribunal de primera instancia permite dejar en evidencia los vacíos legales que presenta la Ley N° 19.223, particularmente en cuanto a elementos tan esenciales como definiciones necesarias, que permitan un mayor entendimiento tanto de las conductas perseguidas penalmente como para su correcta aplicación en el proceso.

Sin embargo, no es menos cierto que si se realiza una correcta interpretación por parte de los jueces y se emplean todos los medios probatorios sin excepciones, es posible llegar a un resultado congruente desde la acusación a la sentencia definitiva. Aunque si el proceso penal presentado en este comentario hubiera sido fallado con un estatuto punitivo acorde al Convenio de Budapest, en el caso hipotético de que este ya se encontrara vigente en la legislación actual, derogando o reformando la Ley 19.223, no hubiera sido necesario el uso de peritos para determinar la aplicación del concepto de “Sistema de tratamiento de datos”, porque este ya se encontraría precisado en un artículo. En este sentido, la dificultad probatoria de la actual legislación nacional se vería enormemente favorecida en los procesos futuros una vez implementado el Convenio.

Finalmente, debería expandirse la concepción acerca de los instrumentos de comisión de un delito informático, que, si bien mayormente pueden ser cometidos por computadoras, también pueden ser llevados a cabo por otros medios tecnológicos tal como se presenta en el proceso penal de la sentencia. Este es otro punto en que nuestra actual legislación está al debe, y que es de esperar sea subsanada en el futuro cercano con una reforma profunda de la Ley de Delitos Informáticos.

III. REFERENCIAS BIBLIOGRÁFICAS

HIPLAN ESTEFFAN, Susana (2019), La Ley 19.223 a 26 años de su promulgación, Santiago, Universidad de Chile.
HUERTA, Marcelo & LIBANO, Claudio (1999), Delitos Informáticos, Santiago, Cono Sur.
LARA, Juan Carlos, MARTÍNEZ, Manuel, & VIOLLIER, Pablo (2014), Hacia una regulación de los delitos informáticos basada en la evidencia, en: Revista Chilena de Derecho y Tecnología, 3(1), 101-137.
MAYER LUX, Laura. (2017). El bien jurídico protegido en los delitos informáticos. Revista chilena de derecho, 44(1), Santiago, pp. 261-285.
Ministerio Público, Oficio N° 422, de 27/09/2001.
Ministerio Público, “Boletín de Jurisprudencia. Ministerio Público”, Nº 6, octubre de 2001.
MOSCOSO ESCOBAR, Romina (2014), La Ley 19.223 en general y el delito de hacking en particular, en: Revista Chilena de Derecho y Tecnología, vol. (3), Santiago, 11-78.

Comentario a la Sentencia de Tribunal Oral en lo Penal de Valdivia del 19 de octubre de 2019 (Rit N° 157-2019).

Por Catalina Zúñiga Venegas
Estudiante 4° año de la Carrera de Derecho
Universidad Autónoma de Chile

En la época comprendida entre agosto de 2015 y noviembre de 2016, dos sujetos se desempeñaban como funcionarios públicos del Departamento de Salud Municipal, correspondiente a la Ilustre Municipalidad de La Unión. Aprovechando el ejercicio de su cargo, una de los acusados que se desempeñaba como Administrativa de Personal del Departamento de salud y encargada de las remuneraciones, con conocimiento y consentimiento de los otros dos acusados, en el proceso de liquidación de su remuneración y las de los coacusados, procedió a alterar la nómina de depósitos para banco. Ello significó el aumento del total del gasto municipal, sobrepasando al mismo tiempo el ingreso efectivo que los acusados debían recibir a título de remuneración. De esta manera, los acusados defraudaron las arcas municipales, percibiendo caudales y efectos públicos por sobre lo debido, generando una pérdida para el municipio de $53.440.758.-

Con fecha 19 de octubre de 2019 el Primera Tribunal del Juicio Oral en lo Penal de Valdivia procedió a dictar sentencia, estableciendo respecto del hecho que: “[…]si éste se ha cometido en coautoría significa que todos actuaron concertados, de modo que la circunstancia de que uno solo de los autores haya alterado el sistema SMC de remuneraciones no modifica la naturaleza colectiva de la actividad y, por lo tanto, los tres acusados deben responder por el delito de fraude al fisco” (considerando vigésimo).

Luego añade que: “[…]el dolo directo de los acusados se logró inferir de la prueba documental unida a las declaraciones de los testigos y prueba pericial incorporada, ya que los acusados durante un prolongado espacio de tiempo, dieciséis meses, entre agosto de 2015 y noviembre de 2016 defraudaron a la I. Municipalidad de la Unión en sumas que hasta triplicaban lo correspondiente a sus respectivas remuneraciones, lo que permite descartar la falta de conocimiento de dicha defraudación, ya que de ser así hubiesen consignado o devuelto dichas sumas a la I. Municipalidad de manera que los acusados conociendo y sabiendo que las sumas percibidas eran por sobre lo debido a sus remuneraciones consintieron en la defraudación.” (considerando vigésimo tercero)

EXAMEN DE LA DISCUSIÓN JURÍDICA Y COMENTARIO

Concurso medial de delitos: ¿favoreció en este caso al imputado por sobre la victima?

En la presente sentencia, la cuestión de derecho involucrada corresponde al sabotaje informático sancionado en el artículo 3° de la Ley 19.223, que consecuencialmente y de forma concursal, es de vital importancia en esta instancia, para ejecutar el delito de fraude al fisco sancionado en el artículo 239 del Código Penal. Frente a esto podemos establecer que se configura el concurso medial respecto de ambos delitos según el art. 75 del Código Penal, por el cual únicamente se condena a una de las acusadas asignando la pena mayor del delito más grave. Respecto de esto, debe tenerse en cuenta que el desfalco es hacia corporación autónoma de derecho público, con personalidad jurídica y patrimonio propio, a la cual le corresponde la administración de la comuna, en el caso planteado la I. Municipalidad de La Unión, y cuya finalidad principal se basa en satisfacer las necesidades de la comunidad local y asegurar la participación de esta en el progreso económico y social.

Por las razones esgrimidas anteriormente, podría esperarse que las penas a estos delitos fueran proporcionales a lo defraudado. Sin embargo, la condena efectivamente pronunciada se relaciona más íntimamente con la legislación aplicable a este tipo de delitos. Los delitos informáticos que son efectivamente conocidos en el sistema procesal penal representan sólo una parte de la criminalidad informática, cuyas efectivas dimensiones son muy difíciles de precisar, entre otras razones, por los problemas que enfrentan su denuncia, investigación y juzgamiento. En la misma línea, las sentencias chilenas sobre conductas subsumibles en la Ley Nº 19.223 son escasas y no siempre aportan luces sobre los medios y contextos de ejecución, los autores y víctimas, o las consecuencias de dichos ilícitos. De ahí que su referencia se circunscriba a aquellos aspectos de los casos fallados […] (Mayer Lux, 2018). Esto también se ve influenciado por las circunstancias modificatorias de responsabilidad penal, así como las leyes especiales que, para descongestionar el sistema penal, se aplican para evitar las penas privativas de libertad, prefiriendo para este tipo de delitos, sustituir la pena por otras que no signifiquen mantener a los condenados en recintos penitenciarios. Todo lo anterior contribuye a una respuesta punitiva proporcionalmente menos enérgica frente a este tipo de conductas.

Decisión del tribunal

Respecto al delito en cuestión, el fraude al fisco es sancionado en el artículo 239 del Código Penal, mientras que el delito de sabotaje informático se establece en el artículo 3° de la Ley 19.223. La decisión adoptada por el tribunal respecto de cada uno de los condenados, fue la siguiente:

Razonamiento jurídico utilizado para la resolución del caso

No obstante, para llegar a la decisión planteada respecto de cada acusado, el tribunal se basa, respecto de la primera acusada, en el artículo 75 del Código Penal, sobre concursos mediales de delitos, considerando que, sin la procedencia del delito de sabotaje informático contemplado en el art 3° de la Ley 19.223, no hubiera sido posible consecuencialmente el fraude al fisco. En este sentido le dio la calidad de autora ejecutora, ya que intervino de una manera inmediata y directa. A mayor abundamiento, con la prueba rendida pudo establecerse que en dicho periodo Vanessa Guarda Grau alteró el sistema computacional de pagos respecto a las remuneraciones líquidas de los tres acusados, por cuanto era ella la encargada de digitar las remuneraciones de los funcionarios municipales y quien tenía, además, la clave de acceso a dicho sistema, todo esto en grado consumado de acuerdo con el artículo 15 N°1 y 7 respectivamente del Código Penal.

Respecto de los otros dos acusados, las pruebas fueron suficientes solamente para acreditar su participación de acuerdo con el artículo 15 N°1 del Código Penal en grado de consumado, de acuerdo al artículo 7° del mismo Código respecto del delito sancionado en el art 239 del Código Penal el cual no solo sanciona al que “defraudare” sino también “al que consintiere en que se defraude”, en este caso, en perjuicio de la I. Municipalidad de la Unión. Los hechos acreditados no bastaron para acreditar la participación de estos sujetos en la alteración del sistema de tratamiento de información.

Comentario

Actualmente, la exposición a ser víctima tanto del delito sancionado en esta instancia como de otros señalados en la Ley 19.223, está en aumento, considerando la evolución de las conductas punibles y la general desprotección frente a riesgos de ciberseguridad. Concretamente, constituye un riesgo omnipresente para todo tipo de individuos, tanto en probabilidad de ser víctima de este delito, como en el impacto que esta produce (Foro económico Mundial)

Frente a este poco prometedor panorama de riesgos, las penas efectivas que ofrece nuestra legislación son bajas. Sin la necesidad de ser privativas de libertad, es necesario que sean proporcionales al daño causado.

En el caso analizado, el fraude a la I. Municipalidad de la Unión durante dieciséis meses originó un perjuicio total ascendente a la suma de $53.440.758, percibiendo en definitiva caudales o efectos públicos sobre lo debido, perjudicándose con esto, no solo a la misma institución, sino que colateral y consecuencialmente a la misma comunidad, ya que es esta la que en definitiva se ve más afectada. La gravedad del delito se ve subrayada, desde que son los mismos ciudadanos quienes contribuyen a estos ingresos, siendo estos últimos y no solamente la institución, quienes se ven en último término vulnerados. Asimismo, también se ve perjudicado y retrasado el progreso económico con lo cual se debilita la capacidad de la municipalidad para contribuir a las necesidades de la comunidad, lo cual es motivo grave para poder condenar a los autores a una pena adecuada al daño producido a la comunidad. Dicha pena debe ser capaz de generar un efecto preventivo en la comisión de estos delitos, y contrarrestar el hecho, ya que la gran mayoría de autores ejecutores no temen en el acto de comisión de estos, al tener en cuenta que la legislación aplicable a estos casos es laxa.

CONCLUSIONES

La decisión adoptada por el tribunal en su sentencia nos permite ponernos al tanto sobre la situación actual respecto de la legislación aplicable en materia de delitos informáticos. La materia es de importancia, teniendo en cuenta la situación que enfrentamos a nivel mundial debido a la crisis sanitaria, lo que a su vez ha aumentado la necesidad de conectividad, ya sea por motivos laborales, judiciales, educacionales, comerciales y en muchas áreas más de la vida cotidiana. Por tanto, hoy en día la vida en su dimensión cibernética ha invadido progresivamente la vida diaria de las personas, por lo cual las vulnerabilidades existentes hace unos años han aumentado. Como ya fue citado anteriormente, dicho fenómeno irá en aumento a futuro, y es por esto que se debe legislar acerca de este tipo de delitos, para así lograr el efecto de prevención de conductas punibles y, de la misma forma, protección a los usuarios.

Debido a las razones expuestas anteriormente, el tribunal solo falló conforme a Derecho, aprovechando las herramientas que entrega nuestro ordenamiento jurídico en la dictación de la sentencia, y haciendo uso de ellas de la forma adecuada para no afectar ni vulnerar a los acusados en sus derechos y garantías fundamentales, siendo consecuencialmente mérito de la legislación aplicable, como ya se mencionó, el hecho de que para las víctimas sean desfavorables las decisiones aplicadas en materia de delitos informáticos.

Respecto de la primera acusada (iniciales GG): se le condena como autora del delito de fraude al fisco en concurso medial con el delito de fraude o sabotaje informático, en grado de consumado. El tribunal le condena a libertad vigilada intensiva, sumada a esto la pena pecuniaria correspondiente al veinte por ciento del valor de lo defraudado y a la pena accesoria de inhabilitación absoluta perpetua para cargos y oficios públicos y derechos políticos y de la inhabilitación absoluta para profesiones titulares mientras dure la condena.
Respecto al segundo acusado (iniciales AC), se le condena como autor del delito de fraude al fisco en grado de consumado. Se le condena a libertad vigilada intensiva, sumada a esto la pena pecuniaria correspondiente al treinta por ciento del valor de lo defraudado y a las penas accesorias de inhabilitación absoluta perpetua para cargos y oficios públicos y derechos políticos y de la inhabilitación absoluta para profesiones titulares mientras dure la condena.
Respecto a la tercera acusada (iniciales MG), se le condena como autora del delito de fraude al fisco, en grado consumado. La acusada es condenada a libertad vigilada intensiva, sumada a esto la pena pecuniaria correspondiente al diez por ciento del valor de lo defraudado y a las accesorias de inhabilitación absoluta perpetua para cargos y oficios públicos y derechos políticos y de la inhabilitación absoluta para profesiones titulares mientras dure la condena.