"DELITOS INFORMATICOS:
La información como bien jurídico y los delitos informáticos en el Nuevo Código Penal Colombiano"

Fecha Última actualización: 15 de Julio 2002

Autora: Sandra Jeannette Castro Ospina
Profesora Titular de Derecho Penal
Universidad Externado de Colombia

5. Conductas recogidas en el nuevo código penal que lesionan el bien jurídico intermedio de la información.

A diferencia de lo que puede observarse en los códigos penales español y alemán , el código penal colombiano expedido con la Ley 599 de 2000, regula en forma dispersa y sin unidad de criterio, algunas de las conductas consideradas como delitos informáticos.

Para desarrollar este acápite, acudiremos al esquema que nos ha permitido analizar el derecho a la información como bien jurídico intermedio.

5.1. Conductas que afectan la confidencialidad de la información

5.1.1. Tal y como lo hacía el código derogado (artículo 288), en el nuevo código fueron tipificadas las conductas conocidas en la doctrina como pinchado de líneas (write tapping), en los artículos 192 y 196 Cd. P, al sancionarse la violación ilícita de comunicaciones, tanto privadas como de carácter oficial.

Las comunicaciones, como objeto material de las conductas descritas en las normas citadas, incluyen las realizadas por medios informáticos o electrónicos.

Es pertinente señalar que a partir de la expedición de la Ley 527 de 1999, fue reconocido valor probatorio a las comunicaciones contenidas en los mensajes de datos, que son definidos en el artículo 2º lit. a), como:

"La información generada, enviada, recibida, almacenada comunicada por medios electrónicos, ópticos o similares, como pudieran ser, entre otros, el Intercambio Electrónico de Datos (EDI), Internet, el correo electrónico, el telegrama, el télex o el telefax".

5.1.2. La fuga de datos (data leakage), fue sancionada como agravante de la violación ilícita de comunicaciones por el artículo 288 del Código Penal de 1980 y con este carácter se conserva en el nuevo código, pero solo cuando se trata de comunicación privada, no incluye la oficial. De acuerdo con lo previsto en el inciso 2º artículo 192 Cd. P, la pena se incrementa cuando el autor de la conducta revela el contenido de la comunicación, o la emplea en provecho propio o ajeno o con perjuicio de otro.

No obstante lo anterior, no es objeto de sanción penal la revelación de datos concernientes a la vida personal o familiar, ideología, religión, creencias, salud, origen racial, vida sexual, patrimonio económico individual; cuando tal conducta la realizan personas particulares, encargadas o responsables de los ficheros, soportes informáticos, electrónicos o telemáticos, archivos o registros. Cuando se trata de servidores públicos, tal conducta podría adecuarse al delito de revelación de secreto, previsto en el artículo 418 del nuevo Cd. P.; o bien, en el de utilización de asunto sometido a secreto o reserva, regulado en el artículo 419 ibídem

En la legislación nacional, son escasas las normas que imponen la reserva de informaciones contenidas en bancos de datos. Existen disposiciones en este sentido para los servidores públicos del Departamento Administrativo de Seguridad -D.A.S.- y para quienes se desempeñan en la Registraduría Nacional del Estado Civil .

5.1.3. El intrusismo informático, en sus diversas modalidades de ejecución, fue regulado en el artículo 195 Cd. P como acceso abusivo a un sistema informático. El texto de la norma es el siguiente:

"El que abusivamente se introduzca en un sistema informático protegido con medida de seguridad o se mantenga contra la voluntad de quien tiene derecho a excluirlo, incurrirá en multa."

La conducta tal y como fue descrita en el código, es de peligro concreto para el bien jurídico individual de la intimidad, pero es de lesión para el bien jurídico intermedio de la información (confidencialidad).

Teniendo en cuenta que el principio general es el derecho de acceder libremente a la información contenida en los sistemas informáticos; el ingrediente descriptivo de la conducta "abusivamente", implica que el sujeto activo usa mal, excesiva, injusta, impropia o indebidamente tal derecho. Esto sucede solo en aquellos casos en que, por excepción, se requiere autorización de acceso o de permanencia en el sistema.

Lo anterior significa que solo se tipificará la conducta en la descripción legal analizada y se afectará el bien jurídico, cuando el sujeto activo se introduzca a sistemas informáticos de acceso restringido. Corrobora esta afirmación el que la norma haga referencia a introducirse en un sistema informático "protegido con medida de seguridad".

Las medidas de seguridad de un sistema no se limitan a las claves o login para acceder al mismo; sino que pueden incluir horarios de acceso o permanencia para las personas autorizadas; tiempos de uso; y áreas restringidas de acceso para usuarios.

Cuando dolosamente el sujeto activo infringe las medidas de seguridad del sistema, que son de su conocimiento, incurre en la conducta típica descrita por la norma; en caso contrario, bien podrá plantearse un error de tipo.

Corolario de lo anterior, es que no se tipificará la conducta cuando el agente se introduce a sistemas informáticos públicos o de libre acceso.

La conducta contiene dos verbos rectores, alternativos; el primero, "introducirse", es de mera conducta y de ejecución instantánea. No es necesario que se afecten o alteren los datos que se encuentran en el sistema informático.

El segundo, consiste en "mantenerse" en el sistema contra la voluntad de quien tiene derecho a excluirlo. Es de ejecución permanente, aunque también de mera conducta y de peligro. A diferencia del verbo rector "introducirse", que no exige conocimiento del acceso del intruso o hacker por parte del propietario o poseedor del sistema informático de uso restringido; para que se tipifique la conducta en el verbo rector "mantenerse", es preciso tal conocimiento y que se haya manifestado expresamente oposición por parte de la persona legitimada, frente a la presencia del extraño.

5.1.4. Otras conductas. Si bien no fueron tipificadas las conductas consistentes en introducir datos falsos en sistemas de información; ni las de eliminarlos o modificarlos; consideramos que tales supuestos pueden ser recogidos en las conductas de falsedad en documentos, que incluyen los documentos electrónicos, a los cuales nos referiremos adelante.

5.2. Conductas que afectan la integridad de la información.

5.2.1. Cuando la utilización dolosa de bombas lógicas y virus informáticos ocasionen daños en el equipo (hardware), en la memoria del disco duro, en los soportes lógicos o en las bases de datos; tales conductas podrán adecuarse al delito de daño en bien ajeno (art. 265 Cd. P), por tratarse de objetos materiales que pueden considerarse cosas muebles .

5.2.2. Aunque consideramos que no se trata de una conducta que afecta el bien jurídico intermedio de la información, sino que lesiona directamente el patrimonio económico destinado a actividades laborales; merece especial mención la incorporación en el nuevo código penal, de las bases de datos y los soportes lógicos como objetos materiales en el delito de sabotaje (art. 199 Nvo. Cd. P). La descripción típica es la siguiente:

"El que con el fin de suspender o paralizar el trabajo destruya, inutilice, haga desaparecer o de cualquier otro modo dañe herramientas, bases de datos, soportes lógicos, instalaciones, equipos o materias primas, incurrirá en prisión de uno (1) a seis (6) años y multa de cinco (5) a veinte (20) salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con pena mayor..."

El ingrediente subjetivo previsto en el tipo, justifica la incorporación de este delito dentro de los que tutelan la libertad de trabajo y asociación, y no dentro de los que protegen el patrimonio económico. Si aquél se encuentra ausente, la conducta se tipificará en el delito de daño en bien ajeno; a menos que la destrucción, inutilización, desaparición, deterioro o daño, tenga por objeto el soporte lógico o la base de datos, que sean instrumento necesario para la producción o distribución de materia prima, producto agropecuario o industrial; caso en el cual tanto el delito de sabotaje como el de daño en bien ajeno, por su carácter subsidiario, quedan desplazados por el delito de daño en materia prima, producto agropecuario o industrial (art. 304 Nvo. Cd. P.), que lesiona el orden económico y social.

5.2.3. En cuanto a la tipicidad de la falsedad de documento electrónico en el nuevo código, como conducta que afecta la integridad de la información, es pertinente examinar la noción de documento incorporada en la legislación sustantiva penal, a efectos de concluir si dentro de ella se encuentra el documento electrónico.

El artículo 294 del Cd. P, regla:

"Para los efectos de la ley penal es documento toda expresión de persona conocida o conocible recogida por escrito o por cualquier medio mecánico o técnicamente impreso, soporte material que exprese o incorpore datos o hechos que tengan capacidad probatoria".

La duda que hemos planteado surgió porque, a diferencia del artículo 225 del código penal derogado en el cual expresamente se incluían dentro de los "otros documentos" los archivos electromagnéticos; en el nuevo código no se hace mención de ellos, y se exige que la expresión de persona conocida o conocible este recogida en un "soporte material", que exprese o incorpore datos o hechos que tengan capacidad probatoria.

Consultada la doctrina y la jurisprudencia, encontramos que existe apoyo suficiente para concluir que el documento electrónico cumple los requisitos exigidos por el artículo 294 del Cd. P y, por ello, puede ser objeto material de las falsedades documentales descritas en los artículos 286 a 293 ibídem.

En efecto, el documento electrónico cuenta con un "soporte material", así se infiere del siguiente texto elaborado por el Profesor Ettore Giannantonio :

"... aquello relevante para que exista escritura es la fijación sobre un soporte material de un mensaje en un lenguaje destinado a la comunicación; y desde tal punto de vista no se puede desconocer que un documento electrónico puede asumir el valor de acto escrito; aquél, en efecto, contiene un mensaje (que puede ser un texto alfanumérico, pero también un diseño o un gráfico) en un lenguaje convencional (el lenguaje de los bit), sobre un soporte material mueble (en general, cintas o discos magnéticos o memorias circuitales) y destinado a durar en el tiempo aunque en modos diversos según que se trate de memorias de masa, volátiles, Rom o Ram)".

En el mismo sentido, la profesora colombiana María Fernanda Guerrero , expresa:

"(...) el documento electrónico está contenido en soporte diverso al papel lo que no significa que por esa razón no sea capaz de representar una idea o un pensamiento. Por ello lo han definido como cualquier representación en forma electrónica de hechos jurídicamente relevantes, susceptible de ser asimilado en forma humanamente comprensible. El documento electrónico es un método de expresión que requiere de un instrumento de creación, conservación, cancelación y transmisión: tal instrumento está constituido por un aparato electrónico. De esta forma la disciplina de dicho documento no puede prescindir del computador que lo crea, lo conserva y lo cancela y la red de terminales de computador que permiten su transmisión".

El señor José Mª Alvarez Cienfuegos cita al respecto una sentencia del 19 de abril de 1991 proferida por el Tribunal Supremo Español, mediante la cual fue condenado el apoderado de un banco que manipuló las cuentas corrientes de clientes con apuntes inexistentes, como autor de un delito continuado de falsedad en documento mercantil. Respecto de los documentos elaborados por medios informáticos, dijo el Tribunal:

"El concepto de documento, actualmente, no puede reservarse y ceñirse en exclusividad al papel reflejo y receptor por escrito de una declaración humana, desde el momento en que nuevas técnicas han multiplicado las ofertas de soportes físicos capaces de corporeizar y dotar de perpetuación al pensamiento y a la declaración de voluntad; una grabación de video, o cinematográfica, un disco o una cinta magnetofónica, los disquetes informáticos, portadores de manifestaciones y acreditaciones, con vocación probatoria, pueden ser susceptibles de manipulaciones falsarias al igual que el documento escrito."

"(...) Los tradicionales instrumentos de contabilidad han sido traspasados a enunciados mecanismos informáticos, y, en última sede, al disco o soporte corpóreo asentado en el ordenador central. Sus datos obtienen inmediata traducción legible en pantalla o se resuelven, merced a su instantánea impresión, en reproducción escrita en papel."

En Colombia con la expedición de la Ley 527 de 1999 y su decreto reglamentario 1747 de 2000, se reconoció fuerza probatoria como documentos a los mensajes de datos. El artículo 10º de la Ley 527/99 regla:

"Los mensajes de datos serán admisibles como medios de prueba y su fuerza probatoria es la otorgada en las disposiciones del Capítulo VIII del Título XIII, Sección Tercera, Libro Segundo del Código de procedimiento Civil.

En toda actuación administrativa o judicial, no se negará eficacia, validez o fuerza obligatoria y, probatoria a todo tipo de información en forma de un mensaje de datos, por el sólo hecho que se trate de un mensaje de datos o en razón de no haber sido presentado en su forma original".

La Corte Constitucional en sentencia C-662 de junio 8 de 2000, con ponencia del Magistrado Fabio Morón Díaz, al pronunciarse sobre la constitucionalidad de la Ley 527 de 1999, hizo las siguientes consideraciones:

(...) "El mensaje de datos como tal debe recibir el mismo tratamiento de los documentos consignados en papel, es decir, debe dársele la misma eficacia jurídica, por cuanto el mensaje de datos comporta los mismos criterios de un documento.

"Dentro de las características esenciales del mensaje de datos encontramos que es una prueba de la existencia y naturaleza de la voluntad de las partes de comprometerse; es un documento legible que puede ser presentado ante las entidades públicas y los tribunales; admite su almacenamiento e inalterabilidad en el tiempo; facilita la revisión y posterior auditoría para los fines contables impositivos y reglamentarios; afirma derechos y obligaciones jurídicas entre los intervinientes y es accesible para su ulterior consulta, es decir, que la información en forma de datos computarizados es susceptible de leerse e interpretarse."

(...) "Se adoptó el criterio flexible de 'equivalente funcional', que tuviera en cuenta los requisitos de forma, fiabilidad, inalterabilidad y rastreabilidad, que son aplicables a la documentación consignada sobre papel, ya que los mensajes de datos por su naturaleza, no equivalen en estricto sentido a un documento consignado en papel.

"En conclusión, los documentos electrónicos están en capacidad de brindar similares niveles de seguridad que el papel y, en la mayoría de los casos, un mayor grado de confiabilidad y rapidez, especialmente con respecto a la identificación del origen y el contenido de los datos, siempre que se cumplan los requisitos técnicos y jurídicos plasmados en la ley".

No hay duda entonces, respecto a que los documentos electrónicos pueden recoger una expresión de persona conocida o conocible, que exprese o incorpore datos o hechos y que tienen capacidad probatoria; por ello, pueden ser objeto material de falsedades materiales o ideológicas, afectando su integridad, autenticidad y confiabilidad, con lo cual además de la fe pública, se lesiona el bien jurídico intermedio de la información y son puestos en peligro intereses individuales.

5.3. Conductas que afectan la disponibilidad de la información.

Como se dijo, el bloqueo doloso de un sistema de información de uso individual; o el impedir a alguien el acceso a un sistema, una base de datos o a su correo electrónico; implica un constreñimiento y como tal, se adecua al delito contra la autonomía personal descrito en el artículo 182 del nuevo código penal. Pues se trata de un tipo abierto y, como tal, el verbo rector puede ejecutarse de cualquier forma .

6. La atipicidad de la usurpación o uso fraudulento de nombres de dominio en Internet y una reflexión final.

Independientemente de las observaciones que se hicieron al analizar las conductas tipificadas en el nuevo código penal, que afectan cada una de las dimensiones en que puede lesionarse el bien jurídico intermedio de la información (confidencialidad, integridad y disponibilidad); sin pretender agotar el tema y sólo como un punto de reflexión, se encuentra un vacío legal respecto del uso fraudulento de nombres de dominio en Internet. Los nombres de dominio son derechos de propiedad industrial, equivalentes a las marcas y que merecen igual protección por parte del derecho penal. No obstante, dada la prohibición de analogía (inc. 3º art. 6º Cd. P.), no se podrá adecuar esta conducta al delito de usurpación de marcas y patentes (art. 306 Cd. P.), por no encontrarse los nombres de dominio, dentro de los objetos materiales a que se refiere la norma.

Lo único que puede decirse al respecto, es que no existe motivo plausible para haber excluido los nombres de dominio de la protección penal, más aún cuando su naturaleza es equivalente a las marcas. Esta omisión legislativa nos indica que quienes estudiamos el derecho penal, a veces nos abstraemos en discusiones y estudios que nos aíslan de la realidad, de la cultura general, del progreso, de la tecnología, de los avances científicos, de las crisis sociales, de los aspectos económicos y de los estudios que se hacen en otras áreas del derecho. Los profesionales que necesita la sociedad deben poseer, en lo posible, conocimientos integrales; argumentar la especialización, en la sociedad globalizada, puede convertirse en sinónimo de ignorancia.

<< Anterior