Delitos informáticos: una necesaria relectura a la luz de la nueva Ley de Delitos Económicos

Por: Jorge Tisné* y Rocío Vergara**

Los ataques informáticos son cada vez más frecuentes y dañinos, especialmente por el masivo uso y dependencia que existe de la tecnología. Los ciberdelincuentes no distinguen entre personas, entidades públicas o privadas, e intentan vulnerar sistemas informáticos con el objeto de acceder, divulgar y, en muchas ocasiones, obtener una ventaja económica apalancada en el daño provocado a las víctimas. Lo anterior, se enmarca en un escenario normativo cada vez más complejo en nuestro país, que vincula la protección de datos, los delitos informáticos, la responsabilidad penal de las personas jurídicas, la ciberdelincuencia y los programas de cumplimiento.

En ese contexto, como es conocido, Chile ratificó en el año 2017 el Convenio sobre la Ciberdelincuencia del Consejo de Europa o también conocido como el Convenio de Budapest. La respuesta de nuestro país a los compromisos internacionales adquiridos tuvo como corolario la publicación de la ley N° 21.459 de 2022 que estableció normas sobre delitos informáticos y que se encuentra vigente desde junio de 2022.

Para efectos de esta columna, interesa destacar que la ley en comento introdujo ocho nuevos tipos penales específicos (ataque a la integridad de un sistema informático, acceso ilícito, interceptación ilícita, ataque a la integridad de los datos informáticos, falsificación informática, receptación de datos informáticos, fraude informático y el abuso de los dispositivos). Estos tipos penales recogen y demuestran la complejidad técnica y alta sofisticación mediante la cual los delincuentes pueden engañar, defraudar o dañar a sus víctimas haciéndose de vías y datos informáticos. Conceptos como phishing, pharming, malware o ramsonware hoy cobran especial atingencia y notoriedad pública.

En este contexto, toda empresa debería implementar sistemas para evitar ser víctima de delitos informáticos, pues una brecha de seguridad puede no solo tener un alto costo reputacional, económico y de gestión, sino que también repercutir en multas y deberes de reporte. Ese será el escenario al que se enfrentarán con la nueva ley de protección de datos que hoy se tramita en el Congreso, pues la pérdida de información personal requerirá que el responsable notifique a la futura Agencia de Protección de Datos y posibles titulares, pudiendo ser objeto de importantes multas, así como de acciones de indemnización de perjuicios, entre otras consecuencias.

Sin embargo, la ley N° 21.459 además introdujo estas conductas dentro del catálogo de delitos contemplados en la ley N° 20.393 sobre responsabilidad penal de las personas jurídicas. Así, es necesario entender que los delitos informáticos cometidos por sus integrantes pueden, a su vez, comprometer la responsabilidad penal de la misma empresa. Por lo tanto, el deber de cuidado ya no se reduce a evitar ser una víctima de los delitos informáticos, sino también impedir que alguno de los miembros de la propia organización desarrolle la conducta típica.

Este segundo elemento cobra especial importancia con la Ley N° 21.595, de Delitos Económicos, publicada el pasado 17 de agosto, pues, además de incluir los delitos informáticos como delitos económicos de segunda categoría, introduce cambios robustos en materia de la responsabilidad penal de las personas jurídicas y de las personas naturales que incurren en los delitos. En ese sentido, extiende a más de 200 delitos el ámbito por el cual responderá la persona jurídica, modifica los presupuestos de la responsabilidad penal de las empresas, aumenta las sanciones para empresas y personas naturales (incluyendo un novedoso sistema de días-multa), amplía las agravantes de responsabilidad, incorpora sanciones adicionales a la privación de libertad, establece agravantes en función del cargo dentro de la empresa, entre otros.

Con todo, un elemento decisivo para sopesar el cambio de paradigma que generará la nueva Ley de Delitos Económicos es el de la flexibilización del estándar exigible a las empresas para atribuirle responsabilidad penal. En efecto, para configurar la responsabilidad penal de la empresa, ya no será necesario acreditar que el delito fue cometido en interés o provecho de la empresa y que hubo un incumplimiento de los deberes de dirección y supervisión. En cambio, se le exigirá a la empresa: (i) que la persona que cometa o intervenga en el delito sencillamente ocupe una posición en la organización o le preste servicios gestionando sus asuntos ante terceros; y (ii) que el delito se vea favorecido o facilitado por la falta de implementación efectiva de un modelo adecuado de prevención de delitos.

Lo anterior exige que las empresas, conforme con su objeto social, giro, tamaño, complejidad, recursos y a actividades desarrolladas, generen una cultura informática que permita evaluar y reducir su nivel de exposición a ser víctima de delitos informáticos, pero también, y con mayor razón, que desincentive la comisión de estos delitos por parte de sus propios miembros, e incluso por terceros que le presten servicios, sobre la base de un modelo de prevención de delitos adecuado y eficazmente implementado.

Luego, el compromiso por asumir esta tarea, particularmente en el caso de los delitos informáticos, debe provenir de los gobiernos corporativos, involucrando a actores competentes dentro de la organización para gestionar adecuada y oportunamente los riesgos detectados. Esto redundará en la adoptación de un enfoque orientado al resguardo de la confidencialidad, integridad, disponibilidad, trazabilidad y privacidad de los sistemas y datos informáticos, pero, por sobre todo, en la oportunidad de generar una conciencia de ciberseguridad que beneficie y proteja tanto a la empresa como a cada uno de sus integrantes.

*Jorge Tisné Niemann es asociado senior en Bofill Mir Abogados y parte de la práctica de Propiedad Intelectual, Datos y Tecnologías. Es abogado de la Universidad de los Andes, Doctor en Derecho de la Universidad de los Andes y LLM en Tecnología, Innovación y Derecho de la Universidad de Edimburgo.

**Rocío Vergara Aguilar es asociada en Bofill Mir y parte de la práctica de Compliance. Es abogada de la Universidad de Chile y Candidata a Máster Iberoamericano en Compliance de la Universidad de Salamanca.