La pena será de un (1) mes a un (1) año de prisión cuando el acceso fuese en perjuicio de un sistema o dato informático de un organismo público estatal o de un proveedor de servicios públicos o de servicios financieros.
(Artículo incorporado por art. 5° de la Ley N° 26.388, B.O. 25/6/2008)
Esta figura supone vulnerar la confidencialidad de la información en sus dos aspectos: exclusividad e intimidad.
El valor confidencial del dato o sistema informático no es igual a su caracterización como personal, si bien ambos atañen a la privacidad.
Verbo típico
La conducta típica consiste en el acceder sin autorización o excediendo la que se tiene a un sistema o dato informático de acceso restringido.
Con esta última precisión (“acceso restringido”), contenida al cierre del primer párrafo, se excluye la posibilidad de punir el acceso a redes, sistemas y contenidos de sitios públicos.
La restricción podrá ser mediante una clave –de usuario- o cualquier otra modalidad limitativa que exprese que se trata de ámbito reservado por el titular –contraseña o password-.
Otros elementos del tipo objetivo
En cuanto a las definiciones de las expresiones “sistema informático” y de “dato informático”, el art. 1 del “Convenio sobre Cibercriminalidad” de Budapest (2001), en sus incs. “a” y “b”, nos provee las siguientes:
“A los efectos del presente Convenio, la expresión:
a. "sistema informático" designa todo dispositivo aislado o conjunto de dispositivos interconectados o unidos, que aseguran, en ejecución de un programa, el tratamiento automatizado de datos;
b. "datos informáticos" designa toda representación de hechos, informaciones o conceptos expresados bajo una forma que se preste a tratamiento informático, incluido un programa destinado a hacer que un sistema informático ejecute una función;…”.
A su vez, en nuestro derecho interno, la Ley 25326 de Protección de Datos Personales (2000), en su art. 2 “Definiciones”, nos dice que
“datos informatizados” son “Los datos personales sometidos al tratamiento o procesamiento electrónico o automatizado” y, a su vez, que
los “datos personales” son la “Información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables”, mientras que
“datos sensibles” son los “datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual”, debiéndose entender por
“tratamiento de datos” las “Operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción, y en general el procesamiento de datos personales, así como también su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias”.
Casos de atipicidad:
Así como vimos en el tipo anterior excepciones al principio de la inviolabilidad de las comunicaciones, que implicaban que el derecho protegido no era absoluto (autorizaciones judiciales para su acceso en curso de una investigación penal, o por razones de seguridad, o por cumplimiento efectivo del ejercicio de un deber derivado de la patria potestad, etc.), lo propio ocurre aquí, por lo que interesa determinar cuándo terceras personas que no son los legítimos usuarios de los datos y sistemas informáticos comprometidos, pueden acceder a ellos aunque, claro está, no estén debidamente autorizados de antemano.
1. Por consentimiento del usuario: naturalmente que la prohibición queda excluida desde el punto de vista del análisis conglobado del tipo cuando la acción de acceder a datos o sistemas informáticos de ingreso restringido, se realiza de manera coetánea con el consentimiento del sujeto pasivo. Pero, en la medida en que la falta de autorización debida es un elemento normativo del tipo, el acuerdo previo con terceros legitima el accionar y directamente elimina el tipo objetivo sistemático. La autorización puede ser formulada de cualquier forma aunque, por lo general, cuando se trata de un permiso previo, se entiende traducida en un contrato de prestación de servicios de seguridad informática.
2. Por seguridad: es otras de las razones por las que se analiza el recorte al tipo legal, con el objetivo de facilitar a los ingenieros de sistemas o expertos en programación de software y seguridad informática su trabajo específico, por ejemplo, para determinar las falencias de las redes informáticas, la identificación de posibles virus, el testeo de sistemas de bloqueo, etc.
El tipo no distingue la forma de intrusismo, de modo que el acceso bien puede realizarse mediante la utilización de los datos concernientes al sujeto pasivo, es decir, como si el autor fuera en realidad el legítimo usuario del sistema, o aprovechando las deficiencias de los procedimientos de seguridad del sistema o en alguno de sus procedimientos, o usar un programa desencriptador. Esto último es importante porque, por lo general, implica una razón de uso que permite excluir del tipo los casos de los programadores o “hackers éticos”, que acceden mediante el hecho de poder abrir claves o puertos en una computadora o red informática, con herramientas de software dedicadas a tal fin para el testeo y con el objetivo de resguardar, reestablecer o mejorar el sistema.
Ciertamente que, en la práctica, frente a la alternativa de posible daño, sabotaje o pérdida de información (hacking indirecto o como medio de comisión de otros delitos), la intromisión ocurre, por lo general, con el consentimiento del dueño o titular de la red que está siendo testeada, por lo que existe un autorización por parte del damnificado. De cualquier manera, si ello no fuera tan claro, sino dudoso o discutido, podría el operador quedar amparado por una situación de necesidad, sacrificándose la confidencialidad hacia él en pos de evitar directamente la pérdida de la información confidencial, es decir, con el bien u objetivo mayor de resguardar el sistema que tiene por fin, precisamente, preservar la información de carácter reservado.
3. Por cumplimiento del deber: otro caso de atipicidad estaría dado por el cumplimiento de un deber derivado de un mandato judicial fundado en el marco de una investigación, por ejemplo, que autorice el acceso a la información que pueden brindar los programas digitales de telefonía celular, generalmente utilizados a nivel comercial para facturación, con el objetivo de ubicar a una determinada persona, independientemente de la comunicación que entable, su itinerario en virtud de la información de antena, la activación de GPS, etc.
Sujeto activo
El sujeto activo o intruso, puede ser cualquiera, aunque, por tratarse de un delito vinculado a las nuevas tecnologías de la información requiere, naturalmente, ciertos conocimientos mínimos para que, bajo el criterio de la dominabilidad, pueda serle imputable el tipo objetivo como obra propia. Se trataría de a quien en la jerga se denomina “hacker”, derivado del vocablo inglés “hack” cuya traducción literal sería “cortador” o “hachador” que se comenzó a utilizar a comienzos de los ochentas en Estados Unidos para designar a quien intercepta en forma dolosa un sistema informático para apoderarse, interferir, dañar, destruir, difundir o hacer uso de la información que se encuentre almacenada en los ordenadores pertenecientes a entidades Públicas, Privadas, Fuerzas Armadas o de Seguridad, Entidades Financieras y usuarios particulares.
Hoy día con el término se alude a alguien con amplios conocimientos del lenguaje de programación que le permiten detectar fallas o “agujeros” para acceder al sistema.
Sin embargo, es fácil advertir que una persona que puede ser un simple operador o usuario, con un saber técnico muy limitado, puede llevar adelante la conducta típica por haber conocido la clave por un descuido de su titular.
Sujeto pasivo
El sujeto pasivo será el titular del sistema o dato informático. Que este sea un organismo público o un proveedor de servicios públicos o financieros, opera como calificante del tipo.
Tipo Subjetivo
Aquí se trata de la voluntad de intromisión o ingreso al sistema de tratamiento de información o dato informático restringido, con el conocimiento que el acto es ilegítimo, es decir, que se carece de derecho, permiso, autorización o consentimiento para hacerlo.
Aquí se trata de la voluntad de intromisión o ingreso al sistema de tratamiento de información o dato informático restringido, con el conocimiento que el acto es ilegítimo, es decir, que se carece de derecho, permiso, autorización o consentimiento para hacerlo.
Se trata de un tipo doloso.
No se trata de un delito de acción pública, sino privada conforme el inc. 2° del art. 73 del CP, que incluye los supuestos de violación de secretos con sola excepción de los arts. 154 y 157.
------------------------------
La presente entrada es un extracto del artículo Violación de Secretos y de la Privacidad realizado por Ricardo Gutiérrez, Laura C. Radesca y Marcelo A. Riquert - Publicado por Asociación Pensamiento Penal - Código Penal Comentado de Acceso Libre
No hay comentarios:
Publicar un comentario