Columnas
Compliance y responsabilidad penal de los Delitos Informáticos
"Todos los avances regulatorios a nivel administrativo (CMF, SEC y SP) deben verse fortalecidos con la pronta aprobación en el Congreso Nacional del proyecto de ley que deroga a la ley 19.223 sobre delitos informáticos y que incorporaría en nuestro ordenamiento jurídico un nuevo cuerpo legal definiendo nuevos tipos penales en esta materia. El alcance de esta reforma es relevante en diversos aspectos, particularmente es importante señalar que el PL hace referencia a modificar también la ley N° 20.393, que establece la responsabilidad penal de las personas jurídicas".
Por Andrés Pumarino *
Nuestro país requiere avanzar para actualizar su legislación en materia de ciberseguridad. Se han realizado avances en algunos campos, por ejemplo se han dictado normas técnicas en materia de telecomunicaciones y la Comisión para el Mercado Financiero ha emitido la norma RAN 20-10 (en vigencia desde el 1 de diciembre del 2020) que entrega los lineamientos mínimos que deben observar las entidades sujetas a esta normativa, con el objetivo de establecer sanas prácticas para una adecuada gestión de los riesgos en seguridad de información y ciberseguridad. Al respecto, en los últimos años las instituciones financieras han migrado de manera creciente al mundo de las operaciones digitales, situación que, si bien ofrece una serie de oportunidades a las instituciones fiscalizadas y a sus clientes, también implica mayores riesgos operacionales que deben ser adecuadamente https://estadodiario.com/wp-content/uploads/2018/02/im4-1.jpgistrados, a fin de lograr un equilibrio entre el uso de las tecnologías de la información y el control de los riesgos subyacentes.
Por otra parte, la Superintendencia de Pensiones ha puesto en consulta una norma de carácter general en la materia, estableciendo disposiciones -basadas en marcos de buenas prácticas- que la Sociedad Administradora de Fondos de Cesantía debe considerar para contar con un Sistema de Gestión de Seguridad y Ciberseguridad (SGSI), que permita optimizar los procesos y asegurar la confidencialidad, integridad y disponibilidad de la información, protegiendo los datos de carácter personal y sensibles de los afiliados y usuarios del Seguro de Cesantía, con el objeto de lograr un control preventivo de los riesgos en estas materias.
A lo anterior se suma la norma del Coordinador Nacional Eléctrico, que de acuerdo a lo instruido por los oficios N°3377 del 25 de junio de 2018 y N°11508 del 3 de Junio de 2019 emitidos por la Superintendencia de Electricidad y Combustible (SEC), ha trabajado en establecer los requisitos mínimos de resguardo de la seguridad cibernética o ciberseguridad aplicables al Sector Eléctrico, con vista a prevenir y/o mitigar potenciales ciber amenazas que pongan en riesgo la seguridad y continuidad del servicio de energía eléctrica.
Todos estos avances regulatorios a nivel https://estadodiario.com/wp-content/uploads/2018/02/im4-1.jpgistrativo deben verse fortalecidos con la pronta aprobación en el Congreso Nacional del proyecto de ley que deroga a la ley 19.223 sobre delitos informáticos y que incorporaría en nuestro ordenamiento jurídico un nuevo cuerpo legal definiendo nuevos tipos penales en esta materia. El alcance de esta reforma es relevante en diversos aspectos, particularmente es importante señalar que el proyecto de ley hace referencia a modificar también la ley N° 20.393, que establece la responsabilidad penal de las personas jurídicas en los delitos de lavado de activos, financiamiento del terrorismo y delitos de cohecho, incorporando los delitos base definidos en el Titulo I del proyecto de ley de delitos informáticos.
Este artículo es importante destacar pues viene a exigir al gobierno corporativo de las empresas tomar las medidas de resguardo frente a las nuevas figuras consideradas en el proyecto de ley, entre las cuales se encuentran: Ataque a la integridad de un sistema informático, que dice relación a el que deliberadamente obstaculice en forma grave o impida el normal funcionamiento, total o parcial, de un sistema informático, a través de la introducción, transmisión, daño, deterioro, alteración o supresión de los datos informáticos; el Acceso ilícito, relacionado al que sin autorización o excediendo la autorización que posea y superando barreras técnicas o medidas tecnológicas de seguridad, acceda a un sistema informático.
Otra figura es la Interceptación ilícita, a el que indebidamente intercepte, interrumpa o interfiera, por medios técnicos, la transmisión no pública de información en un sistema informático o entre dos o más de aquellos, además, el que, sin contar con la debida autorización, capte, por medios técnicos, datos contenidos en sistemas informáticos a través de las emisiones electromagnéticas provenientes de éstos.
Otra acción que se busca sancionar es el ataque a la integridad de los datos informáticos, por lo tanto el que indebidamente altere, dañe o suprima datos informáticos, será castigado con presidio menor en su grado medio, siempre que con ello se cause un daño grave al titular de estos mismos.
También encontramos la falsificación informática, el que indebidamente introduzca, altere, dañe o suprima datos informáticos con la intención de que sean tomados como auténticos o utilizados para generar documentos auténticos; y la receptación de datos, el que conociendo su origen o no pudiendo menos que conocerlo, almacene, a cualquier título, datos informáticos provenientes de la realización de las conductas descritas en los artículos 2°, 3° y 5°.
El fraude informático será el que, causando perjuicio a otro y con la finalidad de obtener un beneficio económico para sí o para un tercero, manipule un sistema informático, mediante la introducción, alteración, daño o supresión de datos informáticos o a través de cualquier interferencia en el funcionamiento de un sistema informático.
Otra figura que hace referencia el proyecto de ley es el abuso de los dispositivos, el que para la perpetración de los delitos previstos en la ley N° 20.009, entregare u obtuviere para su utilización, importare, difundiera o realizare otra forma de puesta a disposición uno o más dispositivos, programas computacionales, contraseñas, códigos de seguridad o de acceso u otros datos similares, creados o adaptados principalmente para la perpetración de dichos delitos.
Todas son figuras que vienen a actualizar y derogar la ley 19.223 del año 1993, incorporando las nuevas figuras indicadas y sobre todo que las empresas tomen los resguardos correspondientes para no ser sancionados por la responsabilidad penal de las personas jurídicas.
* Estos temas se abordarán en el curso Delitos Informáticos – visión legal y forense que será dictado por el abogado Rodolfo Herrera, el ingeniero Andrés Godoy y presentado por Andrés Pumarino, que se desarrollará el próximo 29 y 30 de septiembre. Más información en www.delitos.cisoconvergence.com