Proyecto de Ley de reforma de los artículos 196º, 217º, 229º, del Código Penal, Ley número 4.573, de 4 de mayo de 1970 y el artículo 9º de la Ley 7.425 de 9 de agosto de 1994, sobre registro, secuestro y exámen de documentos privados e intervención de las comunicaciones, de 11 de septiembre de 2000. Expediente número 14.097.
ASAMBLEA LEGISLATIVA:
Con el presente proyecto de ley sobre delitos informáticos se pretende regular y sancionar una serie de conductas que, sorprendentemente, no tienen aún mención alguna en nuestra legislación penal.
Se trata de una serie de tipos penales que buscan prevenir y solucionar problemas evidentes y manifiestos en nuestro entorNúmero La adopción de la tecnología computacional como herramienta cotidiana de trabajo; la dependencia que se tiene de la informática en todos los niveles sociales, especialmente en el sector público; la existencia de bases de datos que resguardan información esencial para la ciudadanía, tales como los diferentes registros que conforman el Registro Nacional, el Registro Civil, el Registro Judicial, etc., amén de la existencia de redes, servidores y computadoras en prácticamente todas las actividades industriales, comerciales, académicas y culturales, son sólo algunos ejemplos de la enorme influencia y poder de la informática en la sociedad actual.
De hecho, es esta tecnología la que permite en gran medida el proceso de globalización en nuestros países, dando lugar a prácticas comerciales que no eran imaginables apenas unos años atrás: comercio electrónico, compras a distancia, medios de pagos y acceso a información en la red mundial que trascienden en definitiva las fronteras nacionales.
Este fenómeno que tiene tanta trascendencia para el mundo jurídico y que, a pesar de la existencia de nuevas ramas como el Derecho Informático y la Informática Jurídica, no ha sido debidamente considerado por el legislador. Puesto que los destinatarios obligados serán siempre en mayor medida los sistemas computacionales, entrelazados y comunicados para el acceso masivo, deben tener, sobre todo como entes pasivos, la protección obligatoria de, al menos, la legislación penal.
Dada la aplicación extensiva de los sistemas de información en prácticamente todos los campos del quehacer social, le corresponde necesariamente a la disciplina jurídica su protección y regulación, máxime si se toma conciencia que los sistemas de información por su naturaleza y estructura interna, así como por los fines informativos que persigue, presenta problemas en su seguridad, principalmente cuando se trata del acceso a los datos que contiene.
Los delitos informáticos contra la privacidad constituyen un grupo de conductas que de alguna manera pueden afectar la esfera de privacidad del ciudadano mediante la acumulación, archivo y divulgación indebida de datos contenidos en sistemas informáticos.
En razón de lo anterior, se han elaborado los siguientes tipos penales que se espera, sean lo suficientemente precisos para abarcar las diferentes conductas que hemos detectado como no reguladas.
El primer tipo penal se refiere a la violación de comunicaciones electrónicas. Se ubica dentro de los delitos contra la intimidad, pues se pretende ampliar el bien jurídico tutelado, cual es, la intimidad personal. En este caso, el ámbito de intimidad de la persona trasciende los elementos tradicionales, para enfocarse más bien a otros elementos que deben tenerse como intrínsecos, tales como sus comunicaciones electrónicas y sus documentos en sentido amplio, según se verá.
Así, las acciones del sujeto activo consistirán en apoderarse, interceptar mensajes de correo electrónico o cualquier tipo de comunicación siempre y cuando tengan origen remoto, esto es, comunicaciones privadas que empleen tecnología remota para ser enviados o recibidos. Se pretende abarcar todas las formas posibles de comunicación de que dispone actualmente el ciudadano, haciendo énfasis particular en las formas que se asientan sobre bases tecnológicas, nunca antes contempladas por el legislador.
En el segundo párrafo del artículo 196º bis se sanciona el accesar, apoderarse, utilizar, modificar, o alterar datos privados almacenados en bases de datos automatizadas. La razón de esta sanción es proteger las bases de datos privadas, conservadas por particulares.
En el tercer párrafo se pena el difundir, revelar o dar a terceros los documentos obtenidos en forma ilícita. Nos encontramos, pues, ante dos conductas que no se excluyen entre sí. En este caso, no sólo se sanciona el obtener los documentos de manera prohibida, sino su divulgación.
Los párrafos restantes buscan penalizar otras formas de violación de la correspondencia personal, tales como divulgar documentos evidentemente privados, conociendo o no su origen ilícito, o bien, cuando la persona encargada de la custodia de esos registros sea directamente responsable del hecho castigado. En tal caso, la sanción es mayor, pues se trata de una persona con responsabilidad mayor en razón de la custodia encomendada. Si el motivo de las conductas penalizadas es el lucro, la sanción se eleva aún más, de cuatro a siete años.
Como elemento novedoso, además, se propone la protección de los ficheros y bases de datos pertenecientes a personas jurídicas, figura esta que nunca antes había estado regulada.
Asimismo, todas las modalidades de sabotaje contra los elementos lógicos del sistema quedarían comprendidas por el tipo penal del daño, siempre que al alterar o destruir los datos, dar órdenes falsas o disminuir de cualquier manera la funcionalidad del sistema, se está alterando, al mismo tiempo, la sustancia del elemento físico portador de los datos (el disco o la computadora) que, de esta manera, es la «cosa» dañada, el objeto material del daño.
Por ejemplo, si un virus introducido en un sistema genera la disminución de la velocidad de funcionamiento de los programas, se produce una conducta típica de daño que recae, como objeto de la acción, sobre los elementos físicos del sistema -los computadores- que ven disminuidas sus posibilidades de funcionamiento.
El caso del delito informático plantea conductas que implican un especial desafío a nuestro ordenamiento jurídico, puesto que las mismas permiten la manipulación ilícita, a través de la creación de datos falsos o la alteración de datos o procesos contenidos en sistemas informáticos, realizada con el objeto de obtener beneficios indebidos.
Como denominador común para estas conductas, existe siempre la conexión inmediata o remota; en razón de lo anterior, se justifica, para efectos probatorios, que se amplíe la posibilidad de secuestrar documentos o recibir transmisiones en un número mayor de casos que los que prevé la Ley de registro, secuestro y examen de documentos privados e intervención de las comunicaciones número 7425, de 9 de agosto de 1994, la cual sólo permite la intervención de comunicaciones en los supuestos de narcotráfico y secuestros extorsivos. Ampliando esa posibilidad, se hace factible comprobar una mayor gama de conductas delictuosas que operan en la actualidad, amparadas precisamente en esa ausencia de permiso para determinar datos fundamentales, tales como el sitio, ubicación precisa, teléfono de origen, teléfono de destino, identificación de la computadora de origen, la de destino, etc. donde el usuario esté ejecutando su acción. En tales casos, siempre se hace necesaria la autorización de un juez.
Mientras estos cambios no ocurran en la legislación penal, será poco lo que pueda lograr el Estado en su lucha contra esta nueva forma de delincuencia.
LA ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE COSTA RICA
DECRETA:
REFORMA DE LOS ARTICULOS 196º, 217º, 229º DEL CÓDIGO PENAL LEY NÚMERO 4573, DE 4 DE MAYO DE 1970 Y AL ARTÍCULO 9º DE LA LEY SOBRE REGISTRO, SECUESTRO Y EXAMEN DE DOCUMENTOS PRIVADOS E INTERVENCION DE LAS COMUNICACIONES NÚMERO 7425 DE 9 DE AGOSTO DE 1994, PARA REPRIMIR Y SANCIONAR LOS DELITOS INFORMÁTICOS
Artículo 1º. Adiciónanse los artículos 196º bis, 217º bis, un inciso 5) al numeral 229º, y un artículo 229º bis al Código Penal, Ley número 4573 de 4 de mayo de 1970, para que en lo sucesivo se lean así:
«Artículo 196º bis. Violación de comunicaciones electrónicas
Será reprimida con pena de prisión de uno a cuatro años la persona que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus mensajes de correo electrónico o cualesquiera otro tipo de telecomunicación de tipo remoto, documentos magnéticos, intercepte sus telecomunicaciones, o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen o de cualquier otra señal de comunicación telemática.
La misma pena se impondrá al que, sin estar autorizado, accese, se apodere, utilice, modifique o altere, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado, ya sea en perjuicio del titular de los datos o de un tercero.
Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren los números anteriores.
Será castigado con las penas de prisión de uno a tres años, el que, con conocimiento de su origen ilícito y sin haber tomado parte en su descubrimiento, realizare la conducta descrita en el párrafo anterior.
Si los hechos descritos en los párrafos 1 y 2 de este artículo se realizan por las personas encargadas o responsables de los ficheros, soportes informáticos, electrónicos o telemáticos, archivos o registros, se impondrá pena de prisión de dos a seis años.
Si los hechos descritos en este artículo se realizan con fines lucrativos, la pena será de prisión de cuatro a siete años.
Lo dispuesto en este artículo será aplicable al que descubriere, revelare o cediere datos reservados de personas jurídicas, sin el consentimiento de sus representantes.»
«Artículo 217º bis. Fraude informático
Se impondrá pena de prisión de uno a diez años a la persona que, con la intención de procurar u obtener un beneficio patrimonial para sí o para un tercero, influyera en el procesamiento o en el resultado de los datos de un sistema de cómputo, mediante programación falsa, utilización de datos falsos o incompletos, utilización indebida de datos o cualquier otra acción que influyere sobre el proceso de los datos del sistema.»
«Artículo 229º. Daño agravado
(…)
5) Cuando el daño recayere sobre el soporte físico de un sistema de cómputo o en sus partes o componentes.
Artículo 229º bis. Alteración de datos y sabotaje informático
Se impondrá pena de prisión de uno a cuatro años a la persona que por cualquier medio accesare, borrare, suprimiere, modificare o inutilizare sin autorización los datos registrados en una computadora.
Si como resultado de las conductas indicadas se entorpeciere o inutilizare el funcionamiento de un programa de cómputo, una base de datos o sistema informático, la pena será de tres a seis años de prisión. En caso de que el programa de cómputo, base de datos o sistema informático contenga datos de carácter público, se impondrá pena de prisión de hasta ocho años.»
Artículo 2º. Refórmase el párrafo primero del artículo 9º de la Ley sobre Registro, Secuestro y Examen de Documentos Privados e Intervención de las Comunicaciones número 7425 de 9 de agosto de 1994. El texto será:
«Artículo 9º. Autorización de intervenciones
Los Tribunales de Justicia podrán autorizar la intervención de comunicaciones orales, escritas o de cualquier otro tipo, dentro de los procedimientos de una investigación policial o jurisdiccional, cuando involucre el esclarecimiento de los siguientes delitos: el secuestro extorsivo, los previstos en la Ley sobre Sustancias Psicotrópicas, Drogas de Uso no Autorizado y actividades conexas y cualquier otro delito vinculado con el uso de comunicaciones telemáticas, comunicaciones de tipo remoto, correo electrónico o cualesquiera otro tipo, documentos magnéticos, o la utilización de artificios técnicos de escucha, transmisión, grabación, reproducción del sonido o de la imagen, cualquier señal de comunicación telemática y en general cualquier delito que utilice como instrumento o tenga por objetivo los accesos no autorizados a computadoras o sistemas informáticos.»
Rige a partir de su publicación.
Miguel Ángel Rodríguez Echeverría, PRESIDENTE DE LA REPÚBLICA
Mónica Nagel Berger, MINISTRA DE JUSTICIA Y GRACIA
11 de septiembre de 2000