Análisis de la Ley de Delitos Informáticos aprobada por el Congreso del Perú

Análisis de la Ley de
Delitos Informáticos
Aprobada por unanimidad por el Pleno del Congreso de la
República del Perú en la sesión del 12 de septiembre de 2013
Septiembre de 2013

Referencia para seguir la
presentación
Objeto de la ley (Artículo 1)
Esquematización o reproducción del
artículo correspondiente de la autógrafa
aprobada por el Congreso.
Comentario
Análisis y opinión relacionados con el texto
del(los) artículo(s) esquematizado(s) o
reproducido(s) en la(s) diapositiva(s)
inmediatamente anterior(es).
Compatibilidad con la
Convención de Budapest
Análisis y opinión relacionados con la
compatibilidad del artículo esquematizado
o reproducido en la diapositiva
inmediatamente anterior con la
Convención de Budapest.

Prevenir y sancionar las conductas
ilícitas que afectan los sistemas y
datos informáticos y otros bienes
jurídicos de relevancia penal
Cometidos mediante la utilización
de tecnologías de la información o
de la comunicación
Con la finalidad de garantizar la
lucha eficaz contra la
ciberdelincuencia.
O
B
J
E
T
O
Objeto de la ley (Artículo 1)

Comentario
Nos ampararnos en la amplitud conceptual de Julio Téllez Valdés, evitando pugnas doctrinarias estériles, propias de la
intolerancia. Así pues, en general, los delitos informáticos son “actitudes ilícitas que tienen a las computadoras como
instrumento o fin”. En el pensamiento de Eduardo Rosende, habrá conflicto informático cuando mediante cualquier
actividad que involucre el procesamiento automático de datos, se afecten de forma grave derechos de terceras personas.
Vistas así las cosas, no resulta extraño que una ley de delitos informáticos tipifique conductas específicas,
particularmente graves, que están dirigidas contra el bien jurídico “información” o contra otros bienes jurídicos, si es que
para su afectación ha estado involucrado el procesamiento automático de datos.
Más que una ley sustentada en la necesidad de ejercer la función punitiva del Estado enfocada en la protección de un
bien jurídico específico, ya sea éste novedoso o no, esta ley tiene como principal objetivo la estandarización de la ley
penal peruana con el orden penal internacional determinado, principalmente, por la Convención contra la
Cibercriminalidad del Consejo Europeo (CETS 185), conocida también como Convención de Budapest. De hecho, la
octava disposición complementaria final evidencia esta intención normativa. El camino planteado es el correcto, si es que
en realidad se pretende una adhesión en los términos que la propia Convención determina, ya que ésta tendrá que pasar
satisfactoriamente por exigentes filtros financiados y establecidos por el propio Consejo Europeo.
No hay que dejar de tener en perspectiva que el texto de la Convención de Budapest plantea estándares normativos, por
lo que corresponde que los países adherentes verifiquen, mediante una revisión introspectiva, si sus respectivas
legislaciones penales nacionales cumplen con este estándar o si se necesitan retoques para afinar la estandarización. Al
respecto, cabe señalar que la Convención, al representar un estándar mínimo que posibilita su universalización, se inclina
exclusivamente por la sanción de las conductas dolosas, vale decir de aquellas cometidas con conocimiento y voluntad de
realizar el acto punible y de obtener el resultado dañoso. En el caso peruano, los tipos penales no tienen que especificar
reiterativamente en todos los casos que las conductas punibles tipificadas están revestidas del dolo como elemento
subjetivo del tipo, ya que el artículo 12 del Código Penal determina con meridiana claridad que el agente de infracción
culposa solamente es punible en los casos expresamente establecidos en la ley. Por ello, la técnica legislativa penal
recomienda no abundar en aclaraciones que solo generarían redundancia innecesaria, ya que no se compromete en
absoluto el estricto apego ala estandarización internacional.

Delitos contra Datos y Sistemas Informáticos

Acceso Ilícito (Artículo 2)
El que accede sin
autorización
A todo o en parte de
un sistema
informático
Con vulneración de
medidas de seguridad
establecidas para
impedirlo
El que accede a un
sistema informático
excediendo lo
autorizado.

Comentario
Compatible con la
(Artículo 2)
Proviene del proyecto
2520, promovido por el
Poder Ejecutivo (iniciativa
legislativa del Presidente
de la República).
Sanciona la violación de la
confidencialidad de la información
protegida por medidas de seguridad
diseñadas especialmente para
evitar accesos no autorizados.
Igualmente, se sanciona el
quebrantamiento de los límites de
acceso definidos por el titular de los
derechos de autorización.
Pena:
Privativa de libertad 1 – 4 años.
30 – 90 días multa.
Ejemplos: El ingreso furtivo a
la cuenta ajena de correo
electrónico protegida
mediante una contraseña
secreta de seguridad; la
accesión no autorizada al
sistema informático de una
entidad, aprovechando las
debilidades inadvertidas de la
programación o backdoors.

La compatibilidad es total, ya que se cumple con describir la acción delictiva
en los mismos términos estandarizados de la Convención. Hay que recordar
que las referencias a la deliberación y a la falta de legitimidad de la acción
contenidas en el texto del artículo de la Convención guardan identidad con
el dolo, como elemento subjetivo del tipo presente implícitamente en todas
las tipificaciones contenidas en la ley penal peruana, en aplicación del
Artículo 12 del Código Penal, salvo que el mismo tipo penal expresamente
establezca la sanción para la conducta culposa o negligente.

Atentado a la integridad de
datos informáticos (Artículo 3)
A través
de las
TIC
Introduce
Borra
Deteriora
Altera
Suprime
Hace
inaccesibles
Datos
Informáticos

Compatible
parcialmente con la
Convención de
Budapest (Artículo 4)
2520, promovido por
el Poder Ejecutivo
(iniciativa legislativa
del Presidente de la
República).
Sanciona el atentado
contra la integridad y la
disponibilidad del dato
informático.
Pena:
Privativa de libertad 3 – 6
años.
Ejemplos: El borrado
indebido de los
antecedentes penales de
una persona determinada,
contenidos en el Registro
Oficial; la alteración del
monto de la deuda de un
cliente de una empresa de
servicios públicos.
Comentario

La compatibilidad es parcial, ya que recoge los verbos rectores “borrar”, “deteriorar”,
“alterar” y “suprimir” datos informáticos presentes en el texto de la Convención. La
adición de las acciones de “introducir” y “hacer inaccesibles” los datos informáticos, no
se contraponen con los verbos rectores anteriores, ni distorsionan el estándar
internacional. Sin embargo, no se ha recogido del estándar la penalización del acto
“ilegítimo”, componente que creemos necesario para distinguir y apartar de la
prosecución penal a las disposiciones legítimas que cada usuario de las tecnologías de
la información y de las comunicaciones realiza y puede realizar sobre datos
informáticos de su propio uso personal o sobre los que se cuenta con la debida
autorización para su disposición.

Atentado a la integridad de
sistemas informáticos (Artículo 4)
A través
de las
TIC
Inutiliza total
o
parcialmente
Impide el
acceso
Entorpece o
imposibilita su
funcionamiento
Entorpece o
imposibilita la
prestación de
sus servicios
Un sistema
informático

Compatible con la
Convención de
2520, promovido por
el Poder Ejecutivo
República).
Sanciona el atentado contra
la accesibilidad debida o la
correcta funcionalidad de un
sistema informático.
Pena:
años.
Ejemplos: El denominado
ataque de denegación de
servicio; la toma indebida
de un sistema informático
para destinarlo a
funciones distintas a las
definidas o asignadas por
sus titulares o
administradores.
Comentario

Si bien es cierto que la redacción del artículo 4 de la ley no es igual a la del artículo 5 de
la Convención, consideramos que la compatibilidad es total, en tanto que el concepto
de la “obstaculización grave” de un sistema informático, guarda equivalencia con el de la
“inutilización total o parcial” del sistema informático, el del “impedimento del acceso”,
el del “entorpecimiento” o el de la “imposibilidad” de que éste funcione o preste sus
servicios. Consideramos un acierto haber elegido a cualquier forma que emplee las
“tecnologías de la información o de la comunicación”, en vista que las formas que hoy
en día existen para realizar estos ataques exceden largamente las posibilidades incluidas
en el artículo 5 de la Convención. Hay que recordar que las referencias a la deliberación
y a la falta de legitimidad de la acción contenidas en el texto del artículo de la
Convención guardan identidad con el dolo, como elemento subjetivo del tipo presente
implícitamente en todas las tipificaciones contenidas en la ley penal peruana, en
aplicación del Artículo 12 del Código Penal, salvo que el mismo tipo penal expresamente
establezca la sanción para la conducta culposa o negligente.

Delitos Informáticos contra la Indemnidad y
Libertades Sexuales

El que a través de
las TIC
Contacta con un
menor de 14 años
Para solicitar u obtener
de él material
pornográfico, o para
llevar a cabo
actividades sexuales
con él
Proposiciones a niños, niñas y
adolescentes con fines sexuales por
medios tecnológicos (Artículo 5)
Especial:
Cuando la víctima tiene
entre 14 y 18 años y
media engaño

No está incorporado en
la Convención de
Budapest
Poder Ejecutivo
(iniciativa legislativa del
Presidente de la
República).
Sanciona el acoso sexual contra un
menor de edad con fines pornográficos
o con el propósito de llevar a cabo
actividades sexuales que involucren el
quebrantamiento de la libertad sexual
del menor (violación sexual o actos
contra el pudor).
Pena:
Privativa de libertad 4 – 8 años
Inhabilitación.
Especial:
Inhabilitación
Ejemplos: El denominado
“grooming” o el acercamiento
de adultos hacia los menores a
través de las redes sociales,
con adopción de falsas
identidades, para ganar la
confianza de la víctima y así
obtener material pornográfico
infantil que después se utiliza
para extorsiones con fines
sexuales o de otra índole.
Comentario

Delitos Informáticos contra la Intimidad y el
Secreto de las Comunicaciones

Tráfico ilegal de datos (Artículo 6)
Creando o no perjuicio
Información relativa a cualquier ámbito de la esfera
Personal Familiar Patrimonial Laboral Financiera Otro de naturaleza
análoga
Para
Comercializar Traficar Vender Promover
Favorecer o
facilitar
Una base de datos sobre
Persona natural identificada o identificable Persona jurídica identificada o identificable
El que
Crea Ingresa Utiliza indebidamente

No está incorporado en
la Convención de
Budapest
Surge por la necesidad
de evitar la pérdida de
vigencia del derogado
artículo 207-D del Código
Penal, que recién había
sido creado por la Ley
30076.
Sanciona el tratamiento comercial
no consentido de datos
personales, sobre todo cuando se
trata de datos personales
sensibles de acuerdo a la ley de la
materia, independientemente del
perjuicio que pudiera sufrir el
titular de los datos personales a
causa de esta conducta.
Pena:
Ejemplos: La comercialización
de bases de datos en conocidas
zonas del centro de Lima, que
contienen nombres,
documentos de identidad,
edades, estados civiles,
domicilios, teléfonos, centros
de labores, cargos,
remuneraciones, calificaciones
de riesgo crediticio y otros
datos relevantes.
Comentario

Interceptación de datos
informáticos (Artículo 7)
El que a través
de las TIC
Intercepta datos
informáticos en
transmisiones no
públicas
Dirigidas a un
sistema
informático;
originadas en un
o efectuadas dentro
del mismo
Las emisiones
electromagnéticas
provenientes de un
que transporte
dichos datos
informáticos
Incluidas

Compatible con la
(Artículo 3)
Proviene del
proyecto 2520,
promovido por el
Poder Ejecutivo
República).
Sanciona la interceptación de
datos informáticos y las
emisiones electromagnéticas
que transportan estos datos
en las transmisiones
privadas.
Pena:
años.
Ejemplos: La captura
de emails privados
en tránsito; la
interceptación de
señales wifi para la
conexión privada a
internet.
Comentario

Este artículo es totalmente compatible con el artículo 3 de la Convención,
en vista de que la similitud literal de su redacción releva de mayores
comentarios. Hay que recordar que las referencias a la deliberación y a la
falta de legitimidad de la acción contenidas en el texto del artículo de la
Convención guardan identidad con el dolo, como elemento subjetivo del
tipo presente implícitamente en todas las tipificaciones contenidas en la
ley penal peruana, en aplicación del Artículo 12 del Código Penal, salvo que
el mismo tipo penal expresamente establezca la sanción para la conducta
culposa o negligente.

Interceptación de datos
Agravantes
Delito recae sobre
información que,
según ley es
Secreta
Reservada
Confidencial
Delito
compromete
Defensa nacional
Seguridad
nacional
Soberanía
nacional

Los agravantes no están
incorporados en la
(Artículo 3)
de la República).
Agravantes:
Que delito base recaiga sobre
información secreta, reservada o
confidencial, conforme a ley;
cuando se comprometa la
defensa, seguridad o soberanía
nacionales.
Pena:
Privativa de libertad 8 – 10 años.
Ejemplos: Captura de archivos
en tránsito que contengan
información relacionada a una
investigación reservada por ley;
Interceptación de
comunicaciones que contengan
información sensible y
utilizable por potencias
extranjeras en conflicto bélico
con el Perú.
Comentario

Delitos Informáticos contra el Patrimonio

Fraude informático (Artículo 8)
En perjuicio de tercero
O mediante
Interferencia en el funcionamiento de un
Manipulación en el funcionamiento de un
Mediante
Diseño de DI
Introducción
de DI
Alteración de
DI
Borrado de DI
Supresión de
DI
Clonación de
DI
El que a través de las TIC
Procura para sí un provecho ilícito Procura para otro un provecho ilícito

Compatible con la
Convención de
Poder Ejecutivo
Presidente de la
República).
Sanciona la afectación de datos
informáticos en su interacción
con un sistema informático o la
alteración del normal
funcionamiento del sistema
informático, para la obtención
de un provecho ilícito en
perjuicio de tercero.
Pena:
Ejemplos: La clonación
de tarjetas bancarias; la
disposición de fondos
de una línea de crédito
a través de una tarjeta
falsa.
Comentario

El artículo 8 de la ley es totalmente compatible con el artículo 8 de la
Convención, ya que en ambos casos se pretende la sanción del empleo
indebido de datos informáticos en relación con un sistema informático o de
la manipulación del funcionamiento del sistema mismo, para obtener un
provecho ilícito en perjuicio de un tercero. Hay que recordar que las
referencias a la deliberación y a la falta de legitimidad de la acción
contenidas en el texto del artículo de la Convención guardan identidad con
el dolo, como elemento subjetivo del tipo presente implícitamente en
todas las tipificaciones contenidas en la ley penal peruana, en aplicación
del Artículo 12 del Código Penal, salvo que el mismo tipo penal
expresamente establezca la sanción para la conducta culposa o negligente.

Agravantes
Cuando se afecte
el patrimonio del
Estado destinado a
Fines asistenciales
Programas de
apoyo social
Fraude informático (Artículo 8)

Los agravantes no
están incorporados
en la Convención de
2520, promovido por
el Poder Ejecutivo
República).
Sanciona el fraude
informático que afecta al
patrimonio del Estado
destinado a fines
asistenciales o a
programas de apoyo
social.
Pena:
años.
Ejemplos: Si el fraude
informático afecta al
programa JUNTOS; si
afecta a los recursos
asignados para
socorrer a una
población víctima de
un desastre natural.
Comentario

Delitos Informáticos contra la Fe Pública

Suplantación de identidad (Artículo 9)
El que mediante
las TIC
Suplanta la
identidad de una
persona natural
o jurídica
Siempre que de
dicha conducta
resulte algún
perjuicio

Tiene relación con el
Artículo 7 de la
Convención de
Budapest
2520, promovido por
el Poder Ejecutivo
República).
Sanciona la falsificación de
la identidad de una
persona natural o jurídica,
siempre que de ello
resulte algún perjuicio.
Pena:
años.
Ejemplos: La creación de
perfiles falsos en las redes
sociales o de cuentas de
correo, atribuidas a
personas reales, para
engañar a terceros o
perjudicar al suplantado.
Comentario

Abuso de mecanismos y dispositivos
O el que ofrece o presta servicio que contribuya a ese propósito
Específicamente diseñados para la comisión de los delitos previstos
en la presente ley
Uno o más
Mecanismos
Programas
informáticos
Dispositivos Contraseñas Códigos de acceso
El que
Fabrica Diseña Desarrolla Vende Facilita Distribuye Importa Obtiene

Compatible con la
(Artículo 6)
de la República).
Sanciona diversas acciones
comerciales dolosas (Art. 12
Código Penal) vinculadas al
empleo de mecanismos,
software, contraseñas o datos
informáticos específicamente
diseñados para cometer delitos
informáticos.
Pena:
Ejemplos: El tráfico de datos
de usuario y contraseña
obtenidos ilícitamente, para
cometer fraudes
informáticos; la
comercialización de equipos
diseñados para capturar
datos en los cajeros
automáticos (teclados falsos,
boquetes con skimmers
camuflados, etc.).
Comentario

El artículo 10 de la ley guarda compatibilidad con el artículo 6
de la Convención. Sin embargo, consideramos que la extensión
de la finalidad de la acción delictiva a toda la gama de delitos
previstos en la ley, podría generar problemas en la
interpretación judicial, ya que el fin del abuso de dispositivos se
entiende extensivo a ilícitos como la interferencia telefónica, la
pornografía infantil o la discriminación. Sería más conveniente
que el abuso se sancione cuando tenga por finalidad el acceso
ilícito, la interceptación ilícita, los atentados contra la integridad
de los datos informáticos y de los sistemas informáticos y el
fraude informático.
Por otro lado, no caben dudas de que el hacking ético está a
salvo de cualquier persecución penal habida cuenta que las
referencias a la deliberación y a la falta de legitimidad de la
acción contenidas en el texto del artículo de la Convención
guardan identidad con el dolo, como elemento subjetivo del
tipo presente implícitamente en todas las tipificaciones
contenidas en la ley penal peruana, en aplicación del Artículo
12 del Código Penal, salvo que el mismo tipo penal
expresamente establezca la sanción para la conducta culposa o
negligente. No hay forma de que una conducta no dolosa sea
sancionada por el delito de abuso de mecanismos y dispositivos
informáticos.

Aumenta hasta 1/3
por encima del
máximo legal
El agente comete delito en
calidad de integrante de
organización criminal
El agente comete el delito
mediante el abuso de
Una posición especial de acceso a
la data o información reservada
El conocimiento de esta
información en razón del ejercicio
de un cargo o funciónEl agente comete el delito con el
fin de obtener un beneficio
económico (salvo en delitos que
prevén dicha circunstancia)
El delito compromete
Fines asistenciales
La defensa nacional
La seguridad nacional
La soberanía nacional
Agravantes (Artículo 11)

Agravantes no están
incorporados en la
Convención de
Budapest
Poder Ejecutivo
Presidente de la
República).
Las circunstancias
mencionadas ameritan el
aumento de un tercio por
encima del máximo legal
fijado para cualquier
delito previsto en la ley.
Ejemplos: La actuación de
organizaciones criminales
en la comisión de delitos
informáticos; el acceso
ilícito con fines de
obtener beneficios
económicos.
Comentario

Disposiciones Complementarias Finales

Codificación de la pornografía infantil
(Primera DCF)
La PNP puede
mantener en sus
archivos material
de pornografía
infantil
En medios de
almacenamiento
de datos
informáticos
Con autorización y
supervisión del
Ministerio Público
Para fines
exclusivos del
cumplimiento de
su función

No está incorporado
Budapest
Proviene del
proyecto 370,
promovido por el
congresista Octavio
Salazar del Grupo
Parlamentario de
Fuerza Popular.
Las reglas para la posesión de archivos
de pornografía infantil en poder de la
PNP, bajo la autorización y supervisión
del Ministerio Público deben evitar
lesionar los derechos de los niños.
Hay que recordar que, aunque estos
archivos se utilicen para facilitar las
investigaciones, los niños utilizados
para dicho material son víctimas de
delitos y podría haber conflicto con el
interés superior del niño, en tanto que
este uso podría incrementar aún más
el daño sufrido.
Comentario

Agente encubierto en delitos
informáticos (Segunda DCF)
El Fiscal
Atendiendo a la
urgencia del caso
particular y con la
debida diligencia
Podrá autorizar la
actuación de agentes
encubiertos
A efectos de realizar las
investigaciones de los
delitos previstos en la
ley.
A efectos de realizar las
investigaciones de todo
delito que se cometa
mediante las TIC
Con prescindencia de si
estos delitos están
vinculados a una
organización criminal

No está incorporado
Budapest
congresista Octavio
Salazar del Grupo
Parlamentario de
Fuerza Popular.
La necesidad de infiltrar
agentes encubiertos en el
proceso de la comisión de
delitos informáticos a cargo
de las organizaciones
criminales, debe ser
plenamente justificada y
motivada por la Fiscalía, ya
que existe el riesgo de
causar daños a terceros.
Comentario

Coordinación interinstitucional de la
PNP con el Ministerio Público (Tercera
DCF)
La PNP fortalece
Al órgano
especializado
Encargado de
coordinar las
funciones de
investigación con el
Ministerio Público

Coordinación interinstitucional de la
PNP con el Ministerio Público (Tercera
DCF)
A fin de establecer mecanismos de comunicación
con los órganos de gobierno del Ministerio Público
La Policía Nacional del Perú
Centraliza la información aportando su
experiencia en la elaboración de los
programas y acciones para la adecuada
persecución de los delitos informáticos
Desarrolla programas de protección y
seguridad

Comentario
Esta disposición, que proviene del Proyecto 2520 (iniciativa del Poder Ejecutivo),
reconoce a la Policía Nacional la labor desarrollada en la lucha contra los delitos
informáticos, a través de la División de Investigación de Delitos de Alta Tecnología
(DIVINDAT), única experiencia desarrollada en el Perú de dependencia especializada
en ciberdelincuencia a cargo de alguna de las instituciones legalmente encargadas de
la investigación y del juzgamiento de delitos: El Ministerio Público y el Poder Judicial
aún no han concretado esfuerzos similares. Por esta razón es que, si bien es cierto
que a partir de la vigencia del Código Procesal Penal corresponde al Ministerio
Público liderar la investigación de delitos, no se puede pasar por alto que es la Policía
Nacional la que, a través de la DIVINDAT, aporta el mayor conocimiento,
infraestructura, equipamiento y experiencia no solamente para la investigación de
ciberdelitos, sino también para la custodia de la información vinculada a estas
investigaciones. Este rol determina, naturalmente, la necesidad de fortalecer a la
DIVINDAT, a través de la asignación de los recursos necesarios que le permitan
operar en coordinación no solamente con el Ministerio Público y con la
responsabilidad de presentar casos judiciales sustentados en pruebas sólidas, sino
también con instituciones policiales y fiscales de otras partes del mundo, como
resultado de la estandarización internacional que persigue nuestro país.

Cooperación efectiva (Cuarta DCF)
Con el objeto de garantizar
Intercambio de
información
Equipos de
investigación
conjuntos
Transmisión de
documentos
Interceptación de
comunicaciones
Demás actividades
correspondientes
para dar
efectividad a la ley
Deben establecer protocolos de cooperación operativa reforzada
La PNP, el Ministerio Público, el Poder Judicial y los operadores del
sector privado involucrados en la lucha contra los delitos informáticos

Comentario
La novedad que presenta esta Cuarta Disposición Complementaria Final es la
incorporación de la categoría de “operadores del sector privado involucrados en
la lucha contra los delitos informáticos”. Aunque la norma no determina
quiénes son dichos operadores, la naturaleza del objeto del establecimiento de
la “cooperación efectiva” entre aquellos y la PNP, el Ministerio Público y el Poder
Judicial (transmisión de documentos, interceptación de comunicaciones, etc.),
permite vislumbrar que, principalmente la referencia está hecha hacia las
empresas proveedoras de servicios de comunicaciones y telecomunicaciones.
No obstante ello, esta disposición queda abierta para que sea desarrollada por
otros instrumentos normativos, a fin de que, muy posiblemente, se concrete la
incorporación de otros operadores del sector privado que desarrollen
actividades que guarden cercanía o vínculo con el objeto de la cooperación
efectiva antes mencionada. El origen de esta disposición se encuentra en el
Proyecto 2520, presentado por el Ejecutivo.

Capacitación (Quinta DCF)
Las instituciones
públicas involucradas
en la prevención y
represión de los
delitos informáticos
Especialmente la
PNP, el Ministerio
Público y el Poder
Judicial
Deben impartir cursos
de capacitación
destinados a mejorar la
formación profesional
de su personal
En el tratamiento
de los delitos
previstos en la ley

Comentario
Estos procesos de capacitación deben conllevar a la creación, adecuado
equipamiento y sostenimiento debidamente presupuestado de unidades
especializadas en materia de delitos informáticos al interior del Poder Judicial
(juzgados y salas especializadas) y del Ministerio Público (fiscalías
especializadas), así como el potenciamiento de la unidad especializada de la
Policía Nacional (DIVINDAT), en atención a las condiciones particulares que la
adecuada investigación y juzgamiento de delitos informáticos necesitan, sobre
todo en materia de conocimientos técnicos, no solamente jurídicos sino
también técnicos informáticos. Asimismo, la validación de los procedimientos
de investigación, acopio de material probatorio y juzgamiento exige no solo el
empleo de herramientas tecnológicas de procedencia y posesión legal, sino
también la certificación del personal interviniente en cada una de las funciones
que desarrollen a lo largo de todas estas actuaciones, a fin de que la actividad
de los operadores de justicia penal no pueda ser tachada de inválida o de
insuficiente por parte de la defensa legal de los ciberdelincuentes. Esta
disposición proviene del Proyecto 2520, presentado a iniciativa del Poder
Ejecutivo.

Medidas de seguridad (Sexta DCF)
La ONGEI, en
coordinación con
las instituciones
del sector público
Promueve
permanentemente
El fortalecimiento
de sus medidas de
seguridad
Para la protección
de los datos
informáticos
sensibles y la
integridad de sus
sistemas
informáticos

Comentario
Es importante que el Estado tome conciencia, de manera transversal y
generalizada, acerca de la necesidad de adoptar una cultura de
ciberseguridad, que pase por la aplicación de medidas y criterios vinculados
a la seguridad informática y a la seguridad de la información. En este
aspecto, la ONGEI tiene un rol determinante en su condición de ente rector
del Sistema Nacional de Informática, para mejorar los servicios que el Estado
brinda a los particulares, a través del adecuado uso de las tecnologías de la
información y de las comunicaciones en cada dependencia pública.

Buenas prácticas (Séptima DCF)
Y establecerá los mecanismos de prevención necesarios incluyendo
Respuestas coordinadas Intercambio de información Buenas prácticas
Destinadas a combatir el fenómeno de los ataques masivos contra las infraestructuras
informáticas
A fin de poner en marcha
Acciones Medidas concretas
El Estado peruano realizará acciones conjuntas con otros Estados

Comentario
Esta disposición (que también proviene del Proyecto 2520
presentado por el Poder Ejecutivo), tiene como objetivo hacer
frente a uno de los fenómenos más nocivos que hoy en día
afronta la ciberseguridad: Los ciberataques con fines políticos o
como instrumentos de guerra cibernética. La norma pretende
establecer coordinaciones con otros Estados para potenciar la
inteligencia preventiva, la unión de esfuerzos para afrontar las
amenazas comunes y reforzar buenas prácticas de ciberseguridad
nacional ante ataques que pueden aprovechar debilidades o
falencias para crear incomodidad (ataques de denegación de
servicio en los sistemas informáticos de las entidades públicas y
privadas más importantes), así como zozobra o desconcierto
(ataques destinados a sabotear servicios públicos indispensables
o esenciales).

Convenios multilaterales (Octava DCF)
El Estado
peruano
promoverá
La firma y
ratificación de
convenios
multilaterales
Que garanticen la
cooperación mutua
con otros Estados
Para la persecución
de los delitos
informáticos

Comentario
La Convención de Budapest de 2001 (Convention on Cybercrime – CETS 185) es
un esfuerzo del Consejo de Europa con el objeto de promover un estándar
internacional universal para la tipificación de delitos informáticos y para
establecer procedimientos uniformes entre los Estados partes, que faciliten la
investigación de esta clase de delitos, la obtención de medios probatorios
suficientes y el favorecimiento de la actividad jurisdiccional, tanto en el plano
nacional interno, como en la relación de cooperación internacional de Estado a
Estado. Por mandato de la ley que es objeto del presente análisis, el Perú
expresa su voluntad de adherirse a la Convención de Budapest, y asume el
compromiso formal de participar activamente en otros esfuerzos similares,
como aquel que promueve el COMJIB (Conferencia de Ministros de Justicia de
Iberoamérica), que partiendo del estándar básico de la Convención de
Budapest, busca perfeccionar el estándar con la experiencia de los últimos doce
años. Esta disposición tiene origen en el Proyecto 2520 presentado a iniciativa
del Poder Ejecutivo.

Terminología (Novena DCF)
En ejecución de un programa
El tratamiento automatizado de datos
Cuya función, o la de alguno de sus elementos sea
Sistema informático es
Todo dispositivo aislado
Conjunto de dispositivos interconectados o relacionados
entre sí

Terminología (Novena DCF)
Incluidos los programas diseñados para que un
sistema informático ejecute una función
Expresados de cualquier forma que se preste a
tratamiento informático
Son Datos Informáticos
Toda representación
de hechos
Información Conceptos

Comentario
Las dos definiciones contenidas en la Novena Disposición Complementaria Final
son exactamente iguales a las contenidas en los literales a y b del artículo 1 de la
Convención de Budapest. Esta identidad de definiciones obedece a la intención
del legislador de concretar la estandarización de la legislación penal peruana con
los términos de la Convención de Budapest, en tanto que no solamente existe la
necesidad de homologar la tipificación de los delitos informáticos, sino también
los conceptos que sirven de base para la interpretación del sentido exacto de la
norma. Esta es la base de la cooperación internacional prevista en el texto de la
Convención. Es fundamental, pues, que todos aquellos países que aspiran a
concretar su adhesión a este instrumento internacional, adopten estas
definiciones como parte de su ordenamiento penal nacional.

Regulación e imposición de multas por
la Superintendencia de Banca, Seguros
y AFP (Décima DCF)
La SBS
Establece escala
de multas
atendiendo en
cada caso a
Características
Complejidad
A las
empresas
bajo su
supervisión
Que incumplan con la obligación de
entregar información relacionada con
el levantamiento judicial del secreto
bancario
Circunstancias
El juez pone en conocimiento de la
SBS la omisión incurrida por la
empresa, en el término de 72 horas

Comentario
Esta modificación completa el círculo de la facultad sancionadora que
tiene el Estado, con la sanción administrativa por el incumplimiento de las
entidades del sistema financiero de la obligación de entregar la
información correspondiente a la orden judicial de levantamiento del
secreto bancario, en tanto que, si bien es cierto que el sistema judicial
impone las medidas correctivas y las sanciones correspondientes contra el
incumplimiento de los mandatos judiciales, administrativamente no existe
infracción ni sanción si éstas no están previstas expresamente en la ley, tal
como lo prescribe la Ley 27444. Este artículo sirve de complemento a la
modificación introducida al artículo 235 del Código Procesal Penal por la
Tercera Disposición Complementaria Modificatoria.

Regulación e imposición de multas por el
Organismo Supervisor de Inversión Privada
en Telecomunicaciones (Undécima DCF)
Osiptel
Establece
escala de
multas
atendiendo en
cada caso a
Características
Complejidad
A las empresas
telefónicas y de
telecomunicaciones
Que incumplan con la obligación de
posibilitar la diligencia judicial de
intervención, grabación o registro
de las comunicaciones y
telecomunicaciones
Circunstancias
El juez pone en conocimiento de
Osiptel la omisión incurrida por la
empresa, en el término de 72 horas

Comentario
Esta modificación completa el círculo de la facultad sancionadora que
tiene el Estado, con la sanción administrativa por el incumplimiento de las
empresas prestadoras de servicios de comunicaciones y
telecomunicaciones de la obligación de posibilitar la diligencia judicial de
intervención, grabación o registro de las comunicaciones y
telecomunicaciones, en tanto que, si bien es cierto que el sistema judicial
impone las medidas correctivas y las sanciones correspondientes contra el
incumplimiento de los mandatos judiciales, administrativamente no existe
infracción ni sanción si éstas no están previstas expresamente en la ley, tal
como lo prescribe la Ley 27444. Este artículo sirve de complemento a la
modificación introducida al artículo 230 del Código Procesal Penal por la
Tercera Disposición Complementaria Modificatoria.

Disposiciones Complementarias Modificatorias

Modificación de la Ley 27697
(Primera DCM)
Solo podrá
hacerse uso de la
facultad prevista
en la presente ley
en los siguientes
delitos
Secuestro
Trata de
personas
Pornografía
infantil
Robo
agravado
Extorsión
TID
Tráfico
ilícito de
migrantesDelitos
contra la
humanidad
Atentados
contra la
seguridad
nacional y
traición a la
patria
Peculado
Corrupción
de
funcionarios
Terrorismo
Delitos
tributarios y
aduaneros
Lavado de
activos
Delitos
informáticos
Artículo 1.- La presente
ley tiene por finalidad
desarrollar legislativa-
mente la facultad
constitucional otorgada a
los jueces para conocer y
controlar las
comunicaciones de las
personas que son
materia de investigación
preliminar o
jurisdiccional

Comentario
Es importante la inclusión de los delitos informáticos dentro del catálogo
de delitos susceptibles del ejercicio de la facultad judicial de conocimiento
y control de las comunicaciones de las personas que son materia de
investigación preliminar o jurisdiccional. A partir de esta incorporación, la
justicia pasa a tener una herramienta necesaria e indispensable que
ayudará a la obtención de material probatorio orientado tanto al
esclarecimiento de hechos delictivos vinculados a la comisión de delitos
informáticos, como para la correcta atribución de responsabilidades
penales. Esta innovación legislativa tiene respaldo dentro del estándar
internacional, específicamente en el artículo 21 de la Convención de
Budapest.

Modificación de la Ley 30077 – Ley contra
el Crimen Organizado (Segunda DCM)
Artículo 3.-
Delitos
comprendidos:
La presente ley
es aplicable a
los siguientes
delitos: (…)
9. Delitos
informáticos,
previstos en la
ley penal

Comentario
La incorporación de los delitos informáticos dentro del ámbito legal de la lucha
contra el crimen organizado representa un avance importante en la
consolidación de la posición decididamente anticibercriminal que adopta el
Perú, sobre todo si se toma en cuenta la naturaleza transfronteriza que tienen
no solamente las organizaciones cibercriminales, sino también sus acciones
delictivas más comunes.
A partir de esta incorporación, los fiscales pueden hacer uso de ciertas
facultades que facilitan la investigación de delitos informáticos cometidos por
organizaciones cibercriminales, las que, a su vez, en contraposición, hacen uso
de todos los recursos, legales o no, que tienen a la mano para evitar o
entorpecer el rastreo, detección y desenmarañamiento de sus ilícitas acciones.

Modificación del Código Procesal Penal
(Tercera DCM)
Artículo 230. Intervención o grabación o registro de comunicaciones telefónicas o de otras formas
de comunicación.
(…)
4. Los concesionarios de servicios públicos de telecomunicaciones deben facilitar, en el plazo
máximo de treinta días hábiles, la geolocalización de teléfonos móviles y la diligencia de
intervención, grabación o registro de las comunicaciones, así como la información sobre la
identidad de los titulares del servicio, los números de registro del cliente, de la línea telefónica y
del equipo, del tráfico de llamadas y los números de protocolo de internet, que haya sido dispuesta
mediante resolución judicial, en tiempo real y en forma ininterrumpida, las veinticuatro horas de
los trescientos sesenta y cinco días del año, bajo apercibimiento de ser pasible de las
responsabilidades de ley en caso de incumplimiento. Los servidores de las indicadas empresas
guardar secreto acerca de las mismas, salvo que se le citare como testigo al procedimiento. El juez
fija el plazo en atención a las características, complejidad y circunstancias del caso en particular.
Dichos concesionarios otorgarán el acceso, la compatibilidad y conexión de su tecnología con el
Sistema de Intervención y Control de las Comunicaciones de la Policía Nacional del Perú.
Asimismo, cuando por razones de innovación tecnológica los concesionarios renueven sus equipos
o software, se encontrarán obligados a mantener la compatibilidad con el Sistema de Intervención
y Control de las Comunicaciones de la Policía Nacional.

Comentario
Esta modificación guarda compatibilidad con los artículos 17, 20 y 21 de la Convención de
Budapest. En efecto, el estándar internacional exige que los proveedores de servicios conserven
los datos relativos al tráfico y aseguren la revelación rápida de éstos a la autoridad competente (la
Directiva 2006/24/CE exige que la conservación de datos de tráfico no sea menor a seis meses ni
mayor a dos años). Asimismo, exige a las autoridades nacionales, directamente o a través de los
proveedores de servicios, que obtengan o graben, en tiempo real, los datos relativos al tráfico, así
como los datos relativos al contenido de las comunicaciones transmitidas en su territorio por
medio de un sistema informático, cuando estos datos estén asociados a comunicaciones
específicas.
Sin embargo, el plazo máximo de treinta días hábiles que esta modificación otorga a las empresas
proveedoras para “facilitar” datos relacionados al tráfico y al contenido de las comunicaciones,
resulta excesivo y no se condice con el estándar internacional cuando exige la “revelación rápida”
de los datos de tráfico a la autoridad. Si bien es cierto que este plazo puede ser adecuado por los
jueces “en atención a las características, complejidad y circunstancias del caso en particular”, hay
que tener en cuenta que el máximo de treinta días resulta desproporcionado sobre todo si se tiene
en cuenta que las empresas proveedoras están obligadas a conservar permanentemente los datos
relativos al tráfico. Como ejemplo, podemos señalar que en España, la Ley 25/2007 establece un
plazo, por defecto, de 72 horas.

(Tercera DCM)
Artículo 235. Levantamiento del secreto bancario
(…)
5. Las empresas o entidades requeridas con la orden judicial deben proporcionar en el plazo
máximo de treinta días hábiles la información correspondiente o las actas y documentos,
incluso su original, si así se ordena, y todo otro vínculo al proceso que determine por razón de
su actividad, bajo apercibimiento de las responsabilidades establecidas en la ley. El juez fija el
plazo en atención a las características, complejidad y circunstancias del caso en particular.

Comentario
La regulación de los plazos para la entrega de la información
relacionada con el levantamiento del secreto bancario no guarda
relación directa alguna con la temática propia de los delitos
informáticos. Por lo tanto, consideramos que ésta no es la
oportunidad más propicia de regular los plazos para la entrega de
información vinculada al levantamiento judicial del secreto
bancario, más aún si no se tiene la opinión especializada de la
Superintendencia de Banca, Seguros y Administradoras de AFP.

(Tercera DCM)
Artículo 473. Ámbito del proceso y competencia
Los delitos que pueden ser objeto de acuerdo, sin perjuicio de los que establezca la
Ley, son los siguientes:
Asociación ilícita, terrorismo, lavado de activos, delitos informáticos, contra la
humanidad;
(…)

Comentario
Dado que los delitos informáticos han sido incorporados dentro del ámbito de
aplicación de las normas especiales para el combate contra el crimen organizado, es
vital establecer mecanismos eficaces para el desmantelamiento de las
organizaciones criminales. Uno de estos mecanismos es el de la colaboración eficaz
de un informante que haya tenido un rol activo como autor, coautor o partícipe de
un acto delictivo, cuya planificación y ejecución haya estado bajo control de la
organización criminal, a cambio de los beneficios que se acuerden con el Ministerio
Público, siempre que se cuente con la respectiva aprobación judicial.

Modificación del Código Penal (Cuarta DCM)
Artículo 162. Interferencia telefónica
El que, indebidamente, interfiere o escucha una conversación telefónica o similar,
será reprimido con pena privativa de libertad no menor de tres ni mayor de seis
años.
Si el agente es funcionario público, la pena privativa de libertad será no menor de
cuatro ni mayor de ocho años e inhabilitación conforme al artículo 36, incisos 1, 2 y
4.
La pena privativa de libertad será no menor de cinco ni mayor de ocho años cuando
el delito recaiga sobre información clasificada como secreta, reservada o
confidencial de conformidad con las normas de la materia.
La pena privativa de libertad será no menor de ocho ni mayor de diez años, cuando
el delito comprometa la defensa, seguridad o soberanía nacionales.

Comentario
La duda que subsiste radica en que si este tipo penal se ocupa de las mismas conductas
antijurídicas que son materia del artículo 7. Si se entiende como “similares” a la
conversación telefónica, a aquellas conversaciones que emplean señales o archivos de
audio que reproducen la voz humana, nos estaremos refiriendo también, pues, a los
chats de voz, a las conversaciones a través del servicio de Skype, al intercambio de
archivos de audio, etc. ¿No sería esto también interceptación de datos informáticos, si
nos atenemos a la definición establecida en la novena disposición complementaria y
final? En todo caso, en ambos supuestos las penas son exactamente las mismas, con
idénticas circunstancias agravantes. Quizás se pudo acumular las circunstancias que
llevan a penalizar la interceptación de datos informáticos dentro del tipo penal de la
interceptación telefónica. No obstante, la opción que tomaron los legisladores que dio
lugar a la creación del tipo penal contenido en el artículo 7 conllevaba, forzosamente, a
la homologación de la tipificación de la interceptación telefónica, ya que, si bien es
cierto que más allá de la “similitud” ya referida, este delito no tiene que ser materia de
tratamiento en una legislación especializada en delitos informáticos, también lo es que
si no se modificaba el artículo 162 del Código Penal, se habría dejado abierta una
ventana legal que favorecería injustificadamente al reo, en tanto que ante la existencia
de una duda relacionada con la aplicación de normas similares, tendría que preferirse
la aplicación de aquella penalmente menos gravosa.

Artículo 183-A. Pornografía infantil
El que posee, promueve, fabrica, distribuye, exhibe, ofrece, comercializa o publica,
importa o exporta por cualquier medio; objetos, libros, escritos, imágenes, vídeos
o audios, o realiza espectáculos en vivo de carácter pornográfico, en los cuales se
utilice a personas de catorce y menos de dieciocho años de edad, será sancionado
con pena privativa de libertad no menor de seis ni mayor de diez años y con ciento
veinte a trescientos sesenta y cinco días multa.
La pena privativa de libertad será no menor de diez ni mayor de doce años y de
cincuenta a trescientos sesenta y cinco días multa cuando:
El menor tenga menos de catorce años de edad.
El material pornográfico se difunda a través de las tecnologías de la información o
de la comunicación .
Si la víctima se encuentra en alguna de las condiciones previstas en el último
párrafo del artículo 173 o si el agente en calidad de integrante de una organización
dedicada a la pornografía infantil la pena privativa de libertad será no menor de
doce ni mayor de quince años.
De ser el caso, el agente será inhabilitado conforme a los numerales 1, 2 y 4 del
artículo 36.

Comentario
Se considera como un agravante el empleo de las tecnologías de la información
y de las comunicaciones. Hay que tener en cuenta que el delito de pornografía
infantil, en su concepción básica ya se encuentra sancionado con penas
considerablemente elevadas (hasta diez años de pena privativa de la libertad).
Ante esto, no se afirma nada novedoso cuando se señala que el delito de
pornografía infantil hoy en día se comete casi exclusivamente a través de las
tecnologías de la información y de las comunicaciones, por lo que bien puede
estar considerándose un agravante que en la realidad constituye la generalidad
básica de los casos y no una circunstancia particularmente incrementadora del
daño. Los legisladores siempre están ante la posibilidad de optar; en este caso,
se han inclinado por incorporar un agravante a mérito del uso de las
tecnologías de la información y de las comunicaciones, en vez de la elevación
de la pena del tipo base (ya bastante elevada, por cierto), si es que se considera
que las penas no son lo suficientemente consecuentes con la gravedad del
daño producido.

Artículo 323. Discriminación
El que, por sí o mediante terceros, discrimina a una o más personas o grupo de
personas, o incita o promueve en forma pública actos discriminatorios, por motivo
racial, religioso, sexual, de factor genético, filiación, edad, discapacidad, idioma,
identidad étnica y cultural, indumentaria, opinión pública o de cualquier índole, o
condición económica, con el objeto de anular o menoscabar el reconocimiento,
goce o ejercicio de los derechos de la persona, será reprimido con pena privativa de
libertad no menor de dos años, ni mayor de tres o con prestación de servicios a la
comunidad de sesenta a cientos veinte jornadas.
Si el agente es funcionario o servidor público la pena será no menor de dos, ni
mayor de cuatro años e inhabilitación conforme al numeral 2 del artículo 36.
La misma pena privativa de libertad señalada en el párrafo anterior se impondrá si
la discriminación se ha materializado mediante actos de violencia física o mental, o
si se realiza a través de las tecnologías de la información o de la comunicación.

Comentario
No queda claro si lo que se ha pretendido es tipificar las conductas establecidas en el
Protocolo adicional a la Convención de Budapest, o si simplemente es está
constituyendo un agravante por el uso de las Tecnologías de la Información y de las
Comunicaciones. Dado que el Protocolo exige la inclusión específica de las
conductas discriminatorias por medio de sistemas informáticos en los tipos penales
de los países que son parte de la Convención de Budapest, entendemos que su
incorporación como un agravante del tipo penal base resulta siendo una decisión
autónoma del legislador peruano, que si bien es cierto que no se aparta del espíritu
de la Convención de Budapest, creemos que el caso sí amerita una debida
fundamentación para justificar la creación de un agravante que incide directamente
en la magnitud de la pena, por el mero hecho de utilizar una tecnología disponible.
Consideramos que para el exclusivo fin de adecuar la norma penal peruana al
estándar internacional, no había necesidad de hacer una mención expresa en el tipo
penal del delito de discriminación, ni tampoco incorporar un agravante. En todo
caso, y en la medida que se hubiera considerado estrictamente necesario, bastaba
hacer una precisión en el tipo penal base para aludir a la comisión del delito a través
de cualquier medio de expresión oral, escrita, gestual o de cualquier otra índole,
quedando así incorporado forzosamente el uso de las tecnologías de la información y
de las comunicaciones para la comisión de este delito.

Disposición Complementaria Derogatoria

Derogatoria (Única DCD)
Quedan derogados
Numeral 3 del segundo
párrafo del Artículo 186
del Código Penal
Artículo 207-A del
Código Penal
Artículo 207-B del
Código Penal
Artículo 207-C del
Código Penal
Artículo 207-D del
Código Penal

Comentario
Estas disposiciones derogatorias eliminan el Capítulo X del Título V del Libro Segundo del Código
Penal, mediante el cual legislativamente se había optado por conceptualizar a los delitos
informáticos como agresiones al patrimonio, entendido éste como el bien jurídico que se estaba
protegiendo con la acción punitiva del Estado frente a las conductas tipificadas. Evidentemente,
esta legislación se encontraba en un plano ideológico divergente de la estandarización universal,
razón por la cual, era indispensable que una reforma del modelo punitivo peruano frente a los
delitos informáticos, que pretende acercarse a este estándar, pase pues por una corrección que
enmiende una conceptualización que dificultaba la adhesión del Perú a la Convención de Budapest.
Por cierto, como ya se comentó anteriormente, el artículo 207-D del Código Penal, recientemente
incorporado a nuestra legislación por la Ley 30076, no pierde vigencia (pese a su derogatoria), ya
que se ha recogido íntegra y literalmente en el Artículo 6 de la ley que es objeto del presente
análisis.
Hay que llamar la atención acerca del error que se ha cometido con la derogatoria del numeral 3
del segundo párrafo del artículo 186 del Código Penal, toda vez que no hay razón ni motivo para
eliminar de la relación de agravantes del hurto agravado, a la comisión del delito sobre bienes de
valor científico o que integren el patrimonio cultural de la Nación. El numeral que debió derogarse
es el 4, referido al hurto mediante la utilización de sistemas de transferencia electrónica de fondos,
de la telemática en general o la violación del empleo de claves secretas, toda vez que estas
conductas no solamente son jurídicamente imposibles, sino que ya están sancionadas bajo el tipo
penal del fraude informático (artículo 8).

Muchas gracias por tu atención
Síguenos en Twitter:
@AlvaroThais

Análisis de la Ley de Delitos Informáticos aprobada por el Congreso del Perú

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Semelhante a Análisis de la Ley de Delitos Informáticos aprobada por el Congreso del Perú

Semelhante a Análisis de la Ley de Delitos Informáticos aprobada por el Congreso del Perú (20)

Mais de Alvaro J. Thais Rodríguez

Mais de Alvaro J. Thais Rodríguez (15)

Último

Último (20)

Análisis de la Ley de Delitos Informáticos aprobada por el Congreso del Perú