Responsabilidades empresariales en la Ley de Delitos Informáticos de Argentina
Una de las reformas más importantes introducidas por la Ley de Delitos Informáticos ha sido la incorporación de la figura de daño informático en el artículo 183 del Código Penal.
La trascendencia de esta modificación se basa en el hecho de que hasta la sanción de la Ley 26.388 tanto la doctrina como la jurisprudencia tenían criterios contrapuestos acerca de la inclusión de los casos de daño a datos y sistemas informáticos en la tradicional figura de daño del CP.
La figura tradicional de daño
En efecto, el mencionado artículo 183 tipificaba como delito a la destrucción, inutilización, desaparición o daño de una “cosa mueble o inmueble o un animal”. El problema radicaba, pues, en determinar si los sistemas, programas o datos informáticos encuadraban en alguna de las categorías de ‘cosas’ que enumera el artículo 183. Claramente no son inmuebles ni animales, pero ¿son cosas muebles en el sentido técnico del término?, es más, ¿son ‘cosas’ en el sentido técnico-jurídico que tiene este término?
La doctrina y la jurisprudencia nacionales habían discutido largamente esta cuestión. En parte la discusión tenía su explicación en el hecho de que el Código Civil argentino, en su redacción original, distingue claramente los conceptos de ‘cosa’ y ‘bien’, identificando el primero con los ‘objetos materiales’ y el segundo con el conjunto de “objetos materiales (cosas) e inmateriales”.
Literalmente, el artículo 183 CP hablaba de ‘cosas’, no de bienes, de manera que, en principio, no cabría duda alguna de que los datos y los programas no habían sido contemplados por el legislador al momento de la sanción del CP. Y así lo habían entendido algunos jueces al establecer que el software es una obra en el sentido de la Ley de Propiedad Intelectual, no una cosa, y por eso su desaparición o destrucción no estaba contemplada entre las conductas que el CP tipificaba. Incluso, se había aplicado este criterio en el famoso caso de hacking del sitio web de la Corte Suprema de Justicia.
Sin embargo, otro sector de la jurisprudencia había considerado aplicable el concepto técnico de cosa al software y a los datos informáticos, admitiendo, en consecuencia, su tipificación como delito de daño.
El daño informático en la LDI
La Ley 26.388 ha venido a zanjar toda discusión al respecto al incorporar un segundo párrafo al artículo 183 en los siguientes términos: “En la misma pena – 15 días a 1 año – incurrirá el que alterare, destruyere o inutilizare datos, documentos, programas o sistemas informáticos; o vendiere, distribuyere, hiciere circular o introdujere en un sistema informático, cualquier programa destinado a causar daños”.
A partir de ahora el daño informático tiene expresa consagración legal, reconociéndose en su doble modalidad de i) alteración, destrucción o inutilización datos, documentos, programas o sistemas informáticos y ii) venta, distribución, circulación o introducción en un sistema informático cualquier programa destinado a causar daños (virus, gusanos, troyanos, etc.).
Entre ambas modalidades hay la siguiente diferencia, a saber, que solamente la primera requiere que se produzca un daño concreto en los objetos enumerados. Las acciones consistentes en alterar, destruir e inutilizar un dato, documento, programa o sistema informático implican afectar su sustancia o su valor económico. En cambio, la segunda figura no exige la producción de daño, sino que el delito queda configurado por la sola acción de vender, distribuir, hacer circular o introducir en un sistema informático un programa destinado a causar daño, aun cuando finalmente no se cause un daño concreto.
Las medidas de protección tecnológica
Durante el tratamiento del proyecto de ley de delitos informáticos, un tema que había generado polémica es el relacionado con las medidas de protección tecnológica (DRMs), que suelen emplear las empresas de software para la correcta administración de sus productos y evitar el uso no autorizado. En vista de la redacción que tenía originalmente el proyecto de ley, algo diferente de la que finalmente se aprobó, concretamente se planteó la cuestión de si el empleo de DRMs podía configurar el delito de daño en los términos de la alteración de un programa informático.
Jurídicamente, una interpretación de esa naturaleza hubiera implicado una abierta contradicción con el artículo 11 del Tratado de la OMPI sobre Derechos de Autor de 1996, vigente desde el 06/03/2002, y aprobado por Argentina en 1999 por la Ley 25.140, que expresamente reconoce este derecho: “Las Partes Contratantes proporcionarán protección jurídica adecuada y recursos jurídicos efectivos contra la acción de eludir las medidas tecnológicas efectivas que sean utilizadas por los autores en relación con el ejercicio de sus derechos en virtud del presente Tratado o del Convenio de Berna y que, respecto de sus obras, restrinjan actos que no estén autorizados por los autores concernidos o permitidos por la Ley”.
Conscientes de esta dificultad los legisladores modificaron el texto original, dejando en claro que el empleo de DRMs no puede constituir el delito de daño del artículo 183 CP, y es que el ejercicio de un derecho legalmente reconocido jamás puede implicar la comisión de un ilícito.
Responsabilidades empresariales en la LDI
El reconocimiento expreso de la figura de daño informático plantea ciertos interrogantes en torno a las responsabilidades empresariales. Acabamos de hacer referencia a una de ellas: el empleo de DRMs.
Otro caso es el de la alteración, inutilización y destrucción de datos o programas. Actualmente el modelo de negocios ASP o SaaS está ganando terreno entre las empresas tecnológicas. También está el servicio de hosting. Las empresas que prestan estos servicios almacenan los datos y programas de sus clientes. ¿Qué pasa si un empleado altera, destruye o inutiliza esos datos y programas?, ¿qué pasa si lo hace el encargado de sistemas?, ¿y si lo hace uno de los socios?, ¿qué responsabilidades pueden acarrear esas conductas?, ¿configurarán el delito de daño informático?, ¿quién será el responsable?
Preguntas similares se plantean en torno al tema de los virus informáticos. ¿Qué sucede si un empleado envía un virus a través de la cuenta de e-mail de la empresa?, ¿y si lo hace un gerente?, ¿y un socio?, ¿y si el virus no es enviado, sino introducido en los sistemas de la empresa alterando, inutilizando o destruyendo datos o programas propios?, ¿y si los datos o programas son de terceros?
Es importante tomar los recaudos del caso a los efectos de prevenir eventuales responsabilidades. Contar con una política de administración de los recursos tecnológicos (sistemas, datos y software) e implementar las medidas tecnológicas y legales apropiadas puede ayudar a la empresa a evitar responsabilidades civiles y penales, que suelen afectar no sólo el patrimonio, sino también el buen nombre y honor y, por ende, el lugar ganado en el mercado.
Por Horacio Bruera y Macarena Pereyra Rozas
Socios – Carranza Torres & Asociados
-Asesoramiento Legal en Tecnología-
Últimos comentarios