¿Es lo mismo que ser un delincuente común? ¿Cómo debería regularse el fenómeno del ciber-delito si es que tal cosa existe? ¿Es lo mismo organizar una protesta en línea que atacar los servidores de una planta de energía? ¿Y puede esta regulación actuar en contra de la innovación? En un momento crucial para el crecimiento de Uruguay en el desarrollo de las TIC y la conversión del país en un polo tecnológico en la región, la tipificación sobre los delitos informáticos resurge constantemente, más aún teniendo en cuenta la puesta en funcionamiento de la reforma del Código de Proceso Penal y, en un futuro, del Código Penal.
¿Dónde estamos?
Uruguay lidera en múltiples rankings de gobierno electrónico a nivel global. Sin embargo, hay un área donde desde hace ya unos años se señala un debe: los delitos informáticos. Por ejemplo, el informe “Ciberseguridad: ¿estamos preparados en América Latina y el Caribe?”, elaborado conjuntamente por la Organización de los Estados Americanos y el Banco Interamericano de Desarrollo, sitúa a Uruguay por debajo del nivel “formativo” de madurez en delincuencia cibernética, investigación jurídica y divulgación responsable de información, muy por debajo de su promedio general en el índice. Si bien existen algunos delitos que pueden ser considerados como “informáticos”, estos se encuentran desperdigados en varias normas y siempre se señala desde el exterior la falta de esa preciada Ley de Delitos Informáticos. Pese a que el Parlamento ha estudiado diversos proyectos provenientes del Poder Ejecutivo y de los legisladores de la oposición, ninguno logró prosperar en su camino.
¿Hacia dónde se quiere ir?
Uno de los principales problemas que enfrentan los proyectos presentados es que se basan en soluciones extranjeras, que pueden haber servido para la realidad de otros países pero no necesariamente sirvan para el nuestro. Sin embargo, resulta difícil conocer exactamente cuál es nuestra realidad cuando no existen cifras oficiales sobre el tema, ni se han realizado estudios criminológicos que permitan identificar las características de autores y víctimas de este tipo de conductas.
De esta forma, la preocupación por legislar lleva a buscar a tientas en el derecho penal soluciones, colocando la carreta por delante de los bueyes. El derecho penal es la última herramienta disponible, que sólo actúa cuando los demás mecanismos de prevención social han fallado. Pretender encontrar en él las soluciones es el primero de los problemas a resolver. La industria de la seguridad es generalmente reticente a revelar qué tipo de incidentes y qué daños se han causado, e irónicamente ese secretismo es el que termina poniendo más en riesgo a todo el sistema.
Por ejemplo, una mala técnica legislativa puede llegar a criminalizar conductas legítimas y especialmente protegidas como pueden ser las parodias en redes sociales o el hackeo de sombrero gris, aquel que tiene como fin comprobar vulnerabilidades de un sistema y reportarlas para su solución. El ya conocido caso del hackeo al Sistema de Transporte Metropolitano o el potencial reporte de vulnerabilidad de una aplicación bancaria, podrían ser considerados delitos, cuando en realidad son formas de poner en alerta a los administradores de estos sistemas, sin generar daños. Una mala regulación puede poner en riesgo la seguridad de todas las partes. Por otro lado, ninguno de los proyectos menciona la divulgación responsable de información, los famosos whistleblowers, lo que podría llevar a mejores prácticas de transparencia, sin miedo a represiones o revanchismos. Y tampoco los proyectos refieren a protocolos acerca de cómo llevar adelante denuncias.
Próxima estación: ¿Budapest?
El Convenio de Cibercrimen del Consejo de Europa, conocido como Convenio de Budapest, es la referencia a nivel global para la persecución de este tipo de delitos. Sumarse a Budapest no significa trasladar automáticamente un conjunto de normas rígidas que no puedan ser modificadas. Dentro de cada uno de los tipos penales, la redacción de Budapest otorga un margen de elección a los legisladores de cada país, de forma tal que la norma se vuelve más o menos punitiva, es decir, más o menos gente adentro de la cárcel.
Por otra parte, el Convenio de Budapest no sólo incluye delitos, sino también normas procesales, las más discutidas dentro del Convenio. Un desbalance a favor de la seguridad por sobre las garantías de los ciudadanos es en donde los países han puesto más reservas a la hora de ratificar. ¿Pueden o deben los gobiernos grabar todas sus actividades en línea? Y de ser así, ¿cuándo? ¿Qué límites tienen? La injerencia de terceros países dentro de prácticas locales, que pueden perjudicar derechos como la privacidad, resulta una discusión que aún estamos muy lejos de dar si pretendemos continuar por este camino. Por otro lado, Budapest fue pensado para un mundo anterior a las revelaciones de Edward Snowden y la compra por parte de varios gobiernos de herramientas de espionaje, así como para un mundo donde el tráfico de datos personales transfronterizos era mera especulación.
Reflexiones para el camino
Hasta ahora, los proyectos presentados enfocan sus baterías en la criminalización de conductas cometidas a través de internet o contra algún sistema informático, o bien plantean trasladar las normas de Budapest automáticamente, sin coherencia con nuestro ordenamiento jurídico. La adhesión al Convenio de Cibercrimen debe ser una decisión estudiada, evaluando individualmente cada una de las normas, evitando la adopción en bloque sólo para cumplir con listas internacionales.
Tal vez la regulación debería ser encarada desde una perspectiva más amplia, que contemple derechos humanos, y no desde la prohibición, menos aún una prohibición de tipo penal. Brasil ha abierto el camino a través de su Marco Civil de Derechos Digitales, una especie de Constitución en la que Gobierno, Técnicos y Sociedad Civil sentaron las bases sobre las que se apoyará la regulación de las redes en ese país. Dicho de otra forma, en lugar de pensar en las patologías y conductas posiblemente ilegales (que las hay) uno podría comenzar a discutir los derechos y cómo protegerlos en línea, naturalmente utilizando el derecho penal y la evidencia disponible para generar regulación que pueda cumplirse.
Dr. Fabrizio Scrollini, investigador a cargo de Datysoc
Este texto se basa en una investigación del Dr. Matías Jackson para Datysoc en el 2017