|
|
|
Temario
|
Introducción
Con
mucho placer acudo al llamado amable y halagador del Colegio de
Ingenieros de la Provincia de Entre Ríos para aportar algo de
conocimiento acerca del tema de la seguridad informática y su
vinculación estrecha con el derecho.
Deseo
aclarar que en mi vida me encuentro encerrado entre dos pasiones por
lado mi apego incondicional a la informática en cuanto al desarrollo de
sistemas y por otro a mi desmedido interés por las normas jurídicas
que tanto interfieren y moldean nuestra vida desde que nacemos y hasta la tumba donde finalizamos.
En
Noviembre del año 2007 tuve la oportunidad de hablar acerca de este
tema con relación a la ley 25.326 y su aplicación y alcances en la
materia que nos ocupa. En ese entonces hice una pequeña introducción
al mundo del derecho para iniciar al auditorio en el vocabulario y
significados de la temática. Sugiero a los lectores de este material
vean aquella presentación para su mejor ilustración y comprensión del
presente apunte sobre diversos temas relacionados a la problemática
actual del derecho informático. Presentación
2007.
El
presente material incluye temas de interés y relevancia jurídica
actual para el ámbito de la informática. En el menu Descarp2p
podrán encontrar un relato acerca del caso 'SOTO', un joven programador
acusado y seguido por la justicia española por crear programas de descargas.
En
el menú Denuncia y en Prueba
se dictan distintas cuestiones a tener presentes al momneto de
denunciar un delito informático y las posibles pruebas a presentar en
eventual juicio.
En
Ley Sarcozy se puede ver el resultao de un
intento del parlamento europeo por sancionar a los que descarguen
contenido multimedia con derechos de autor.
En
Correo del Empleado se puede observar el
gran debate planteado acerca de la cuestión de los derechos personales
del trabajador y los de la empresa empleadora para interferir sus
comuncaciones en horario de trabajo.
En
el menu Fallo Formoseño se puede corroborar
la pena impuesta en sentencia judicial a una persona que adulteraba
datos del sistema para percibir remuneraciones.
Ley
26388. Se realiza un análisis pormenorizado de los artículos que
se han modificado del código penal. Tambien se puede acceder al texto
completo de la ley.
Fallo
Sobre Spam: El primer fallo sobre spam en Argentina (año 2006).
Nuevos
delitos: Abogados de la matrícula nacional impulsan el dictado de
leyes que replieguen las nuevas amenazas conocidas ultimamente por
internet.
Fallo
Atípico: un juez considera que el sabotaje informático no es
delito porque no se encuentra establecido en el código penal. Entonces
el hecho injusto deviene atípico, es decir no es perseguible
pennalmente. Ahora, luego de la nueva ley 26388 la situación es
totalmente distinta.
Contacto
por dudas.
Los desafíos de las descargas por
Internet
El caso de Pablo Soto, un programador
español llevado a juicio por crear un software para compartir archivos
en la Red, genera diversas posturas sobre cómo deben actuar los jueces
en estos ámbitos
|
Ramón Muñoz - Diario El País
Puestos a hacer paralelismos, el debate podría
remontarse a los albores de la civilización, cuando los primeros bípedos
pulieron los huesos de sus presas para servirse de ellas como
herramientas, pero también como armas. ¿Quién es el culpable del apuñalamiento?
¿El que empuña el puñal o el que lo forja? Este viejo sofisma,
envuelto en un halo de tecnología, aún levanta polémica a propósito
de las descargas de Internet. Algunos programadores han diseñado
sistemas de compartir archivos mediante redes descentralizadas en las
que miles de internautas son al mismo tiempo clientes y servidores, en
una comuna informática anónima en la que nadie le pide cuentas a nadie
de lo que sube a la Red o lo que se descarga.
Bueno, nadie, exactamente, no. Porque la llamada
industria cultural, integrada por discográficas, grandes estudios
cinematográficos y empresas de videojuegos, estiman que esos programas
vulneran la ley, al permitir que se adquieran gratis películas, música
y contenidos sujetos a derechos de autor. Y como no pueden perseguir uno
por uno a los millones de internautas, han puesto su dedo acusador en
los creadores de esos programas, denominados gráficamente P2P.
En España, las discográficas han llevado a
juicio a Pablo Soto, un joven de 29 años, brillante programador
autodidacta quien, pese a no haber pisado la universidad, ha sido capaz
de idear programas P2P como Blubster, Manolito y Piolet, utilizados por
25 millones de usuarios, rivalizando con aplicaciones como eMule o Ares.
No es la primera demanda por las descargas -hay más de una veintena en
marcha contra responsables de webs que facilitan enlaces- pero sí la
primera contra un diseñador de software.
"La tecnología es siempre neutral, no se
puede acusar a ningún desarrollador por el uso que le den luego los
usuarios. Ninguna aplicación está diseñada para transmitir ningún
archivo en concreto, ni con o sin copyright. No me siento culpable por
una acusación sin justificación, pero tampoco el héroe de las
descargas ilegales", decía Soto a la entrada del juicio celebrado
el mes pasado en Madrid.
La Asociación de Productores de Música de España
(Promusicae) y las multinacionales Warner, Universal, Emi y Sony le
piden 13 millones de euros por el perjuicio causado al haber violado
presuntamente la propiedad intelectual de su catálogo y por competencia
desleal debido a que se lucraba con una ventaja competitiva sin pagar
los correspondientes derechos.
El asunto tiene varios precedentes
internacionales. Napster
, uno de los precursores del P2P que llegó a contar con más de 25
millones de usuarios, fue cerrado
en 2001 por orden de un juez estadounidense por violar los derechos
de autor. Aceptó pagar 36 millones de dólares (26 millones de euros) a
las discográficas. Ahora es una tienda legal con un catálogo de seis
millones de canciones que se promociona como vendedor ideal de
contenidos para el iPod y el iPhone.
Kazaa
tomó el relevo de Napster, pero también acabó en los juzgados.
Primero un tribunal en Australia le ordenó que pusiera los medios
necesarios para impedir que sus 100 millones de usuarios descargasen
canciones con copyright . Luego, la compañía se doblegó ante las
discográficas estadounidenses y aceptó pagarles una
indemnización de 100 millones de dólares (72 millones de euros).
Reconvertida en respetable, y financiada por publicidad, ahora se
anuncia como la primera firma del P2P bajo la más absoluta indiferencia
de los usuarios.
La Corte Suprema de Estados Unidos falló a
favor de MGM y otros 27 estudios cinematográficos contra Grokster, que
diseñó un P2P para descargar películas. En 2005, se cerró el sitio.
Aún hoy si se teclea la página web aparece un aviso amenazante:
"Hay servicios legales de descargas de música y películas. Éste
no es uno de ellos". Luego, te advierte de que tienen tu dirección
IP (la que identifica la conexión de cada computadora) y concluye.
"No pienses que no puedes ser pillado. No eres anónimo".
No obstante, las discográficas españolas harían
mal en fiarse de estos ejemplos. El derecho anglosajón de propiedad
intelectual no tiene nada que ver con el español. Y prueba de ello es
que han perdido casi todas las batallas en los tribunales. En España no
es delito descargarse archivos (incluyendo los protegidos). Y tampoco lo
es armar páginas web de enlaces a esos archivos como han dictaminado
numerosos fallos judiciales. Únicamente tienen una sentencia a favor,
la de un juzgado de La Rioja, que declaró culpable este año al
administrador de la web Infopsp por lucrarse facilitando enlaces para
descargar archivos, y le condenó a seis meses de prisión y una
indemnización. No obstante, esta sentencia se produjo por aceptación
del inculpado para evitar afrontar indemnizaciones millonarias en un
proceso civil, por lo que difícilmente podrá ser referente para
futuros procesos, ni crear jurisprudencia.
Por eso, la industria de contenidos ha decidido
abandonar la vía penal, consciente de que enviar a la prisión a
alguien que facilita la labor a los más de ocho millones de internautas
que se calcula que realizan descargas en España no da precisamente una
buena imagen. En lugar de prisión, exigen indemnización. Y Pablo Soto
es la punta de lanza de estrategia.
"No se puede criminalizar a alguien que ha
creado una herramienta tecnológica. Crea una incertidumbre absoluta
para todos aquellos que apuestan por la innovación. Estados Unidos
intenta imponer su influencia en la legislación porque defiende su
industria cultural, que es la segunda que más aporta al producto
interior bruto. Mantener el status quo es beneficioso para ellos, pero,
¿lo es para España? Están intentando imponer un modelo cultural de
derechos de autor que proviene del siglo XIX, y que no es válido para
la economía digital del siglo XXI", apunta Enrique Dans, profesor
del Instituto de Empresa y uno de los mayores expertos en Internet.
Pablo
Soto, el programador español que diseñó la aplicación Blubster,
por la cual se encuentra acusado de violar las normas sobre derecho
de autor. Foto: AP
El juicio se presenta ya juzgado, al menos ante
la opinión pública. De un lado, Soto, un programador joven que apela
en su blog a "compartir el arte". Y, de otro, la todopoderosa
industria discográfica, que intenta crujirle en los juzgados. "Es
muy curioso que intenten presentar a Soto como una especie de ONG, y a
nosotros como las discográficas diabólicas, con rabo y pincho, que
intentamos ir contra ese joven emprendedor. Lo que no dicen es que Soto
no es un pobre chico sino alguien que vive muy bien, que puede
permitirse tener tres abogados en su defensa, y que ha ganado mucho
dinero vendiendo programas cuyo fin último es descargar música
protegida por derechos de autor. Soto cobra incluyendo publicidad en sus
páginas. En el juicio salió que no acepta anunciantes por una cantidad
menor de 10.000 dólares. Y, además, también cobra por la versión
Premium de sus programas", dice Emiliano Figueroa, representante
legal de Sony Music.
Pablo Soto, a través de su empresa MP2P
Technologies, SA, no niega que se financie con publicidad, y está al
alcance de cualquier usuario que la versión Premium de sus programas,
que elimina los anuncios, cuesta 19,95 dólares.
El programador, que afirma que "la única
forma de defender el arte es compartiéndolo", protege tanto la
versión Premium como la gratuita de sus programas bajo los derechos de
autor, los mismos que él denuncia por obsoletos en el caso de la música
que se descargan sus usuarios. David Bravo, uno de los tres abogados de
Soto, justifica en su blog este detalle: "El software del que se
habla no está desarrollado ni explotado por Pablo Soto, sino por una
empresa -con su plantilla de programadores y sus accionistas- de la que
Soto es administrador". A Bravo se le olvida decir que Soto es
también principal accionista de MP2P Technologies, la empresa que
explota sus programas.
En este punto, los argumentos empleados por
Bravo coinciden con la postura de las discográficas para llevar a Soto
a los tribunales. "En los últimos años han desaparecido casi
todos los estudios de grabación, los músicos, los técnicos de sonido,
las tiendas de música. Las descargas están acabando con miles de
puestos de trabajo para que haya gente como Soto que se lucre vulnerando
los derechos de autor. Se habla siempre de las discográficas como entes
maléficos, pero tienen sus accionistas, sus empleados y sus familias
detrás", dice Figueroa, de Sony.
Y es que pese a que unos y otros hayan
convertido el debate en una cuestión metafísica, en el fondo no se
sustancian los inmaculados derechos de acceso a la cultura libre de los
internautas ni la recompensa al compositor o al guionista que se rompe
la cabeza para crear canciones o películas. Se trata de un asunto mucho
más trivial: dinero.
Todos se juegan mucho. La industria discográfica,
según sus propias cifras, ha visto cómo las ventas han caído un 30%
en el primer cuatrimestre de este año, y culpa de ese desastre a las
descargas. No se paran a pensar que tal vez ya nadie está dispuesto a
pagar 15 euros por un CD del que sólo interesa una canción. Del otro
lado, los desarrolladores de programas de software y de enlaces como
Soto no son colegas que realizan un programa en un garaje y lo ponen a
disposición del mundo, sino empresas, con sus accionistas y su cuenta
de resultados. Nada que ver con el espíritu libertario de los programas
P2P pioneros como eMule, a disposición de todos los usuarios, sin
publicidad, sin administradores, sin abogados y sin pagar un euro.
"Los músicos son un colectivo que siempre
han permanecido cerca de la tecnología. Sin embargo el caso de Pablo
Soto es bien distinto. Se juzga a unas empresas de las que él es
administrador y responsable y que han basado su modelo de negocio en la
explotación de una tecnología que básicamente es una herramienta para
piratear música y se alimenta de nuestras grabaciones. El propio Soto
reconoció que cuando se le ocurrió crear sus programas fue cuando cerró
Napster y porque ?vio una oportunidad de negocio?. A esto se le llama ánimo
de lucro", señala Antonio Guisasola, presidente de Promusicae.
Muchos piensan que hay que reconducir el debate
al primer párrafo de este artículo: ¿Es lícito criminalizar al
creador del programa? Entre ellos está Julio Alonso, director de
Weblogs, unas de las principales empresas de blogs: "Es obvio que
las herramientas no son ni buenas ni malas, lo pueden ser sus usos. Un
creador de herramientas idea un instrumento para resolver un problema,
una necesidad. Pero, además, muchas veces las herramientas acaban
resolviendo muy bien un problema para el que inicialmente no fueron
concebidas. Claramente la responsabilidad en cuanto al uso es de los
usuarios. Esto, salvo en los casos extremos de instrumentos de destrucción
masiva y sin usos alternativos (tipo bombas nucleares), que obviamente
no es el caso de Soto".
Javier Muñoz Pereira, director de iAbogado.com,
un bufete especializado en derecho de propiedad intelectual, no duda en
enfrentar el debate del cuchillo y la culpabilidad: "Quien
distribuye un dispositivo con el objeto de promover su uso para vulnerar
los derechos de autor, y fomenta deliberadamente esa vulneración (no
desarrollando filtros, vendiendo espacio publicitario, más rentable
cuanto mayor sea el volumen de intercambios, etcétera), debería
responder de los actos resultantes de la infracción por los usuarios
que utilicen el dispositivo, con independencia de que éste sirva también
para usos lícitos. El argumento es del Tribunal Supremo americano en el
caso Grokster y Morpheus, plataformas similares a las de Pablo Soto. Si
aceptamos la metáfora del cuchillo, podemos responder que hay un
reglamento de armas que prohíbe determinadas armas blancas por ser
inadecuadas para sus fines o suponer un peligro objetivo para la
seguridad ciudadana, y a todo el mundo le parece bien. Si el cuchillo
que vendo se utiliza en el 99% de los casos para cometer asesinatos y en
un 1% para pelar naranjas, y yo promuevo constante y lucrativamente el
primer uso, alguna responsabilidad tendré".
Algunos de los argumentos empleados por defensa
y acusación en el juicio de Soto resultarían surrealistas para
cualquier usuario de P2P, incluso para el más novato. La defensa, por
ejemplo, alegó que los que usan los programas de Soto pueden compartir
no sólo canciones o películas sino apuntes o fotos personales. ¿Un
estudiante de Edimburgo se descargaría un software para compartir los
apuntes de historia británica con un colega anónimo de un instituto de
Albacete que subiera sus propios apuntes? Desde las discográficas, se
exigió que Soto incluyera en sus programas un sistema de filtrado que
creara listas negras de sus artistas para impedir las descargas y se
quejaron de que se saltaran los protocolos DRM, sistemas anticopia que
protegen archivos con derechos de autor. Pero las discográficas saben
perfectamente que no existe ninguna tecnología que permita discernir
los archivos que están protegidos por derechos y los que no, y que son
ellas las responsables de introducir DRM en los artículos que
comercializan, y no un tercero como Soto.
Así las cosas, el debate ha derivado en un
asunto de militancia. Ambos frentes se han dogmatizado hasta límites
delirantes. Se exige estar a favor o en contra. Cualquier matiz es
considerado un ataque personal y doctrinal. Miguel Ángel Uriondo,
periodista especializado en tecnología y reputado bloguer, intenta
aportar algo de cordura: "Por el lado de la industria cultural no
entiendo nada. En lugar de crear un modelo sostenible e inteligente para
su negocio, basado en la venta o alquiler de contenidos de gran calidad,
ingente catálogo y a bajo precio, usando las modernas redes de
telecomunicaciones existentes y compensando la caída en ingresos
unitarios con el aumento por volumen, defienden a muerte un modelo de
negocio caduco e irrelevante. Pero también por el lado de los
internautas, donde muchas veces se tiende a mezclar el argumento legítimo
con la descalificación personal o la crítica absurda".
El juicio de Soto está visto para sentencia.
Sus programas son bendiciones para miles de internautas. Intuitivos,
manejables, rápidos y técnicamente impecables. Y además son gratis.
Pero, ¿son culpables? Que lo digan los jueces. Fuente:
© El Pais, SL
|
Cómo denunciar
un delito informático?
Si Ud. ha sido víctima de un
delito informático, tiene varias opciones en Argentina:
1. Denunciarlo en la cámara del crimen en la
capital Federal (Viamonte 1147 PB de 7,30 a 13,30).
2. Ir a una Fiscalía
federal o de de instrucción (dependiendo de la jurisdicción) o Fiscalia
o justicia Contravenciaonal de la C.A.B.A. (si corresponde) a que
le tomen la denuncia. En la provincias puede ir directo a la fiscalia
federal con asiento en su provincia. O bien a la policia federal.
3. Denunciarlo en Policia
Federal (teléfonos 101 ó 911) o en la sección Delitos de
Tecnología (calle Cavia 3350, Piso 1º, Capital
Federal, Tel.4370-5899, e mail:
analisis_criminal@policiafederal.gov.ar). O a las policias
federales de cada provincia.
4. Acudir a la Dirección
Nacional de Protección de Datos personales, en Sarmiento 1118
Piso 5, si el delito está relacionado con la privacidad o sus datos
personales.
5. Hable con el Arcert
de Argentina, no toman denuncias pues se centran en el Estado,
pero podrán ayudarlo. CABASE tiene también un CESIRT
para incidentes (contacto
aquí).
6. Consultar un abogado para iniciar una
querella o denuncia penal.
Lo primero y mas urgente
que deberá hacer es juntar la prueba acudiendo a un informático
junto a un notario o escribano y levantar un acta notarial. Recuerde
que todo lo que está en Internet se puede borrar en segundos y dejará
de ser prueba para su caso!!!. La mayoría de los delitos informáticos
no tienen condena por falta de pruebas.
|
Pruebas.
Quien mando ese email anonimo? Como Probarlo?
|
|
Una recomendación muy especial
antes que nada. La revista Brando ( www.conexionbrando.com
) acaba de publicar una producción imperdible con los 50 inventos
tecnológicos que marcaron nuestras vidas. El ranking fue establecido
por un jurado (del que me sentí honrado de formar parte, gracias a la
invitación de Brando ); los lectores, por su parte, también
hicieron su Top 10. La edición, el papel, la impresión y los textos,
impecables. Y el conjunto, de colección, aporta una perspectiva de lo más
reveladora.
Y ahora a la pregunta del título: ¿Quién me
mandó ese mail intimidatorio, insultante, falsamente acusatorio o
extorsivo? ¿Cuántas veces me han consultado esto? No sé, ya perdí la
cuenta. Está también la versión opuesta: "Alguien me acusa de
haber enviado mails intimidatorios (insultantes, acusatorios,
extorsivos, etcétera), ¡pero yo no mandé nada! Aseguran tener
pruebas, me dijeron que averiguaron mi número IP, pero no entiendo nada
de esto. ¿Es posible saber quién mandó un mail?"
La respuesta simple: sí, se puede, pero...
Pero en tecnología nada es simple. En el mejor
de los casos es posible determinar qué número IP envió un cierto
mensaje de correo electrónico; en el peor, qué servidor de correo fue
usado para enviarlo.
El número (o dirección) IP es la identificación
que posee cada dispositivo conectado con Internet, sea una PC, un
servidor de correo, un celular, una impresora. Es como la patente del
auto, el DNI o la dirección postal. Claro que, como ocurre en todos los
demás órdenes de la vida, las identificaciones tienden a ser muy
complicadas.
Supongamos que un sujeto se pasa la luz roja y
lo ve un policía o una cámara de control de tránsito. ¿Le van a
labrar una infracción? Depende. Si antes de eso se tomó el trabajo de
poner en su auto una copia de la patente del vehículo de su vecino, no.
Supongamos ahora que el vecino del infractor tiene un auto del mismo
modelo y color. Las cosas se le pueden poner espesas a la hora de negar
que se pasó ese semáforo en rojo. Si tiene testigos de que a esa hora
estaba en otro lugar, debería poder evitar la sanción. Pero lo que
importa es que el verdadero infractor no pudo ser identificado.
¿Acaso se puede fraguar el IP? Oh, claro que sí.
Esta técnica se llama spoofing , y aunque hoy se ha vuelto mucho
más difícil, sigue siendo posible. No obstante, es poco probable que
un sujeto que envía mails intimidatorios se tome tanto trabajo. Es
posible. Pero improbable o, al menos, excepcional.
Sigamos: ya que nuestro aprendiz de malhechor va
a cruzarse semáforos en rojo y su vecino usa el mismo modelo de auto,
¿por qué no intercambiar vehículos y ya? En el mundo real uno se daría
cuenta (incluso con los ojos cerrados) de que ese auto no es el suyo.
Pero así funciona el spam hoy. Los spammers no envían
los mensajes que inundan nuestras casillas desde sus propias
computadoras. Usan PC que han pasado a formar parte de una botnet tras
infectarse con un virus. Los dueños de esas computadoras no saben nada.
Ni siquiera lo sospechan. Pero el IP del remitente del spam será,
como es obvio, el de sus máquinas.
Cambiemos de escenario: imaginemos que un chico
malo quiere enviar una carta malintencionada en sobre y papel. ¿Lo hará
dejando huellas digitales en las hojas y ADN al pegar las estampillas
con saliva? ¡Debería ver más películas de detectives! En el mundo
real, aun si usara guantes, goma de pegar y pinzas, casi seguramente
terminarían por capturar al delincuente, si las pruebas no se
contaminan y la investigación se hace con responsabilidad y
profesionalismo.
Pasemos al mundo virtual. Si el pillo se
disfraza de Gandalf, se va a un locutorio a 10 kilómetros de su casa
(la Capital Federal tiene unos 17 kilómetros en el sentido este-oeste),
crea en ese momento una cuenta de correo en Hotmail o Gmail, pone allí
datos totalmente falsos y luego envía el correo malintencionado, ¿de
qué puede servir el IP? De nada, básicamente. Además de que en los
locutorios casi siempre hay un NAT ( Network Address Translation )
para todas las PC.
La víctima buscará en el encabezado de ese
mail un número IP (más sobre esto enseguida) e irá con esta dirección
a ver al juez, que ordenará una investigación para llegar a un
locutorio donde, como mucho, le podrán decir que estuvo Gandalf hace
una semana. Si hay una cámara, aparecerá Gandalf. Si dejó huellas, ya
pasaron por esa misma computadora cientos de personas en el curso de esa
semana, y sabemos que el trámite puede llevar mucho más de siete días.
No es imposible dar con un IP. El problema es
probar qué persona mandó el mail desde ese IP.
La cantidad de duda razonable es tan grande, en
estos casos, que Pablo Palazzi, abogado experto en alta tecnología, me
contaba: "Sólo se conocen un par de casos donde se pudo probar el
delito. Uno fue el de un empleado de un banco que infectó la red con un
virus, y lo descubrieron porque había una cámara filmando lo que hacía.
El otro fue por amenazas enviadas por mail. Rastrearon los IP y pudieron
procesar a uno de los dos culpables".
Gattaca punto com
Aquí es donde los fundamentalistas propondrán
la idea de que todos los ISP estén registrados en una base de datos del
gobierno y los usuarios deban entregar su DNI o cédula antes de usar
una computadora. Qué lindo mundo para vivir.
Una medida así no sólo sería propia de un
estado policial, sino que además sería inútil: los DNI, pasaportes y
las cédulas también se pueden fraguar, y es altamente improbable que
el empleado del locutorio conozca las técnicas para detectar documentos
falsos. En este punto el dictador de bolsillo emitirá la mayor de sus
tonterías: "El día de mañana, los documentos personales
digitales evitarán que se los fragüe".
En realidad, los documentos digitales podrían
ser incluso más fáciles de falsificar que los de papel, al menos con
el estado del arte actual y, al paso que vamos, esto no va a cambiar
durante algún tiempo.
Pero, además, ¿qué seguiría, en esta línea
de razonamiento, si el DNI digital tampoco funcionara? ¿Que nos tomen
una muestra de ADN antes de usar cualquier computadora? ¿O que
directamente nos implanten un chip al nacer? ¿Antes de nacer? ¿Que se
codifique el DNI en nuestro genoma?
Las posibilidades causan espanto, pero hay algo
peor. Las sociedades tipo Gattaca no sólo son repugnantes al espíritu
porque cercenan derechos que nos definen como humanos, sino que además
el hombre siempre encontrará la forma de alcanzar la libertad y burlar
las restricciones. Que los malvivientes usen esta misma inteligencia
para violar la ley no debería ser la regla rectora de convivencia; de
allí que las personas son inocentes hasta que se demuestra lo
contrario.
No imaginábamos llegar a estas honduras cuando
preguntamos si se puede averiguar quién nos mandó un mensaje de correo
electrónico. Pero es que la tranquilidad del agua no dice nada acerca
de su profundidad.
De cabeza
Sabemos, sin embargo, que no faltan pícaros y vándalos.
Esto, para usar dos bonitos adjetivos de salón. No crea que siempre me
expreso así. Ni que son las palabras que emplean las víctimas, que en
estas situaciones se sienten invadidas, espiadas, vulnerables,
expuestas, inermes, despojadas de otro de derecho fundamental: la
privacidad.
Una de las formas de vencer esta sensación es
hacer algo, luchar. No es la única, pero funciona para sentirse menos
indefenso. Llamé a varios abogados para averiguar qué se puede hacer
frente a un acoso por mail. La respuesta es simple: "Ir al juez o a
un fiscal para que libren una orden de oficio para que el ISP nos
informe qué cuenta usó el número IP desde el que recibimos el correo
electrónico a la hora que se especifica en el encabezado del mensaje.
En cuanto a la documentación, tengo que llevar el mail impreso, aunque
eso sólo no alcanza. También debo llevar una versión digital en un
CD, que conviene (aunque no es imprescindible) que sea levantada frente
a un escribano para su certificación".
Fantástico, ¿pero cómo averiguo el IP desde
el que se envió el correo electrónico? En general, lo que el mensaje
nos puede informar con certeza es la identificación del servidor de envío
de mensajes usado por el remitente. Todavía estamos bastante lejos de
saber qué persona mandó el mensaje.
En todo caso, en Outlook Express o Windows
Live Mail basta mirar las Propiedades del mail
malintencionado, ir a la pestaña Detalles y apretar el botón Origen
del mensaje . En Thunderbird hay que abrir el mensaje y
elegir el menú Ver> Encabezados> Todo .
En cualquiera de los casos se verá una larga
lista de lo que, a primera vista, parece sánscrito. No se desaliente.
Busque las líneas que empiezan con Received: from . La última
empezando de arriba debería contener el IP del servidor de correo al
que se conectó la PC para enviar el mail.
Como el lector sabe, no es nuestra
computadora la que manda los mensajes de correo electrónico de forma
directa al destinatario, que los recibe a su vez por medio de otro
servidor. En el correo electrónico convencional, el primero (el que envía)
se llama SMTP y el segundo (donde recibimos los mensajes), POP3. Lo que
usted ?o un técnico? puede averiguar al observar el encabezado de un
mail es el número IP que identifica al servidor SMTP que mandó el
mensaje. Luego, con herramientas como http://samspade.org
o www.dnsstuff.com
sabremos qué proveedor, empresa u organización tiene registrado ese
IP. Esa es la entidad con la que el juez o el fiscal deberán ponerse en
contacto.
¿Es posible saber de qué IP, es decir de qué
computadora, se envió el mail? Eventualmente, sí. Debe buscarse el
campo X-originating-IP en el encabezado. La dirección IP que se
consigna ahí es la que, a la hora especificada, se le asignó a la
cuenta de usuario que mandó el mail.
Hay unas cuantas variantes sobre este tema, pero
un técnico podrá leer los encabezados fácilmente.
Duda razonable
Como dije, hay una diferencia muy grande entre
saber un IP y tener un culpable. A lo sumo, se podría hablar de un
responsable, el de la cuenta registrada en el proveedor de Internet. ¿Pero
quién usó esa computadora y esa conexión?
Es más: todavía queda una pregunta fundamental
por responder, como me explicaron los legistas: "¿Es el IP un dato
personal? ¿Una dirección IP se puede relacionar con un individuo
determinado? En algunos contextos, si un ISP asigna una dirección IP a
una máquina que se conecta con la cuenta de un abonado concreto, y
proporciona al juez el nombre y la dirección de la persona que sostiene
la cuenta, entonces esa dirección IP es un dato personal, a pesar de
que varias personas todavía podrían estar utilizándolo. Para resumir,
la dirección IP sólo identifica una conexión. Para llegar a la
persona detrás de toda esa cadena de números se requiere información
adicional que sólo siguiendo los cursos de investigación normales se
podría obtener".
Aunque soy escéptico sobre los resultados de
una investigación de esta clase, mi amigo Eduardo Suárez, que
administra la red de la Facultad de Ciencias Astronómicas y Geofísicas
de la Universidad de La Plata, me decía estos días, con justa razón,
que en el fondo todo depende de la voluntad y los recursos disponibles.
"Siempre se puede encontrar al responsable, incluso si envió el
mail malintencionado desde una botnet . En tal caso, sería
cuestión de hacer ingeniería inversa del virus y ver desde qué números
IP está recibiendo comandos". Le pregunté entonces qué ocurría
si alguien se iba a un cibercafé en la otra punta de la ciudad.
"Si no hay cámaras -me respondió- y se ocupa de no dejar huellas
en el teclado, y si nadie lo reconoce, entonces no hay modo..."
Pero entonces mencionó algo que es muy cierto y que las personas que
estén siendo víctimas de estos acosos deben tomar muy en cuenta:
"Lo raro es que uno de estos sujetos mande solamente un mail
intimidatorio o extorsivo ?reflexionó Eduardo?; en general envía
muchos, y cuanta más información tenés, más fácil es dar con el
culpable". Muy cierto.
El consejo es, pues, no bajar los brazos. Además,
cuanto antes se inicie la investigación, mejor. Los simples cobardes
que insultan o intimidan escudándose detrás de una capucha virtual, y
esto ya es un ilícito agravado por el anonimato, y los que, cometiendo
un delito grave, extorsionan a alguien mediante el mismo modus
operandi , deben empezar a entender que el anonimato de Internet es
nada más que un mito, y que en cierto modo, si existe la voluntad, es más
fácil dar con un responsable en el espacio virtual que en el mundo
real.
Una anécdota aleccionadora, para terminar. Una
persona me decía hace poco, desesperada, que estaban acusándola de
mandar mails intimidatorios. Después de hacerle una serie de preguntas
descubrí que tenía un router inalámbrico con contraseña, pero
compartía esa contraseña cuando familiares, colegas y amigos iban a su
casa, que a estas alturas no sólo era una suerte de locutorio, sino que
la clave posiblemente ya era vox populi . Todavía la legislación
no nos hace responsables por un AP ( Access Point ) abierto, un
router inalámbrico sin contraseña. "Esto es así porque se trata
de temas poco conocidos -me explicaba Palazzi-, la gente se compra un
router, lo instala y por ahí ni sabe que tiene que cerrar el acceso a
desconocidos." "¿Vos creés que seguirá siendo así en el
futuro, o que seremos responsables de nuestros AP, como ocurre con
nuestro auto?", le pregunté. "En el futuro, creo que se nos
va a hacer responsables por nuestros puntos de acceso a Internet. En
Francia eso está en camino, con la llamada ley de los tres golpes. Fue
declarada inconstitucional, pero ahora están reformando el proyecto
para que salga. Ahora contempla la intervención de un juez."
No baje los brazos
Estoy completamente en contra de la
piratería, pero la ley de los tres golpes o ley Sarkozy ( www.lanacion.com.ar/1138126
) me parece bochornosa. Explicar los motivos llevaría otra columna como
ésta, pero diré, al menos, que con el nivel actual de inseguridad y
vulnerabilidad del software y, por ende, de Internet, la responsabilidad
sobre un AP no es todavía viable. Es como si los autos tuvieran errores
de fabricación que los hicieran doblar imprevistamente por sí mismos
cada tanto, al azar. O casi.
Ha sido una columna muy extensa, y todavía
quedan cientos de aristas sin tocar. El epígrafe, en todo caso, es:
frente al acoso virtual no hay que bajar nunca los brazos.
|
|
La ley
Sarkozy no aprobó el test de constitucionalidad…
NOVEDAD: Parece que se
reformaría le lay luego de la decisión del Consejo
Constitucional.
Como comentamos
en este blog, los franceses aprobaron una ley que permite dar de
baja usuarios que están cometiendo infracciones a la ley de derecho
de autor. Pues bien, el Consejo Constitucional frances, acaba de
decidir que varios
articulos de esa ley son inconstitucionales.
|
|
Debate
sobre el control del correo electrónico del trabajador
Se realizaron las cuartas
jornadas de derecho informático, que coordina ADIAR,
y su Presidente Horacio Fernandez Delpech, y que siempre son motivo de
interesantes discusiones. Fecha: 12/06/09
Este año me tocó estar en el panel de
delitos informáticos (moderado por Guillermo Zamora y Cynthia Savino)
que estuvo de lo mas interesante porque el famoso
debate sobre si es lícito vigilar el correo electrónico corporativo
sigue con opiniones encontradas. Tanto Eduardo Molina Quiroga
como Gonzalo Ferreras mostraron una postura a favor de limitar este
control, mientras que Humberto Ruani (hijo) y quien les escribe
consideran que esta conducta podría ser legítima si hay acuerdo del
trabajador. El debate fue muy amplio y mostró que el tema
seguramente seguirá dando de qué hablar (y escribir…). También se
habló del nuevo delito de pornografía infantil y yo tenía que
hablar de estafa informática, pero no cabe duda que el tema estrella
de nuestro panel fue el control del correo electrónico corporativo…
Hay muchos argumentos pero los mas claros son el consentimiento del
trabajador, la posibilidad de consentir y renunciar a derechos
personalísimos (ya presentes en el art. 5 de la ley 25.326 y el
derecho a la imagen de la ley 11.723), el derecho de propiedad de las
herramientas de la empresa y el concepto de indebido para el art. 153
del Cod. Penal. Me dejó pensando una pregunta de un abogado
-laboralista seguro- que puso énfasis en el principio protectorio y
el orden público en materia de derecho del trabajo.
Personalmente
creo que los tiempos y las herramientas de trabajo han cambiado mucho
y los principios de orden público deben adaptarse al nuevo orden de
la realidad actual. No es sencillo para la empresa o corporación
comprender que durante el horario del trabajo el empleado este enviado
correos o leyendo mensajes de contenido eminentemente personal y sin
que siquera roce el tema laboral. El salario se abona al trabajador
por su disposición al trabajo, asi -de momento- no tenga tarea en su
función específica no lo habilita (salvo autorización) a realizar
otra actividad y menos de orden personal.
|
Fallo:
Formosa- Caja de Previsión Social. Adulteración de haberes.
El
Superior Tribunal de Justicia dictó un fallo por el cual se confirmó
la condena dictada por la Cámara Segunda en lo Criminal, a un ex
empleado de la Caja de Previsión Social, que adulteraba los haberes de
una jubilada en beneficio propio.
La maniobra
consistía en cargar un monto mayor en el haber de la jubilada, con el
objeto de cancelar mensualmente el alquiler del inmueble que el
empleado infiel alquilaba a la beneficiaria del ente previsional. El
caso fue denunciado oportunamente por el Dr. Jorge Garcia Cabello, por
entonces Fiscal de Estado de la provincia, en tanto la maniobra había
sido detectada por el propio sistema informático de la Caja de
Previsión Social, a través de sus técnicos, lo que motivó la
sustanciación de un sumario administrativo que fue incorporado al
juicio penal.
La jubilada reconoció en su momento
la maniobra dolosa en perjuicio del organismo previsional, y se acogió
al beneficio de la suspensión de juicio a prueba que contempla el
Art. 76 del Código Penal, devolviendo a la Caja las sumas percibidas
indebidamente.
El ex empleado del ente previsional
negó el hecho argumentando que si bien la carga de datos que
posibilitaba la maniobra dolosa se había realizado desde su
computadora, no era él quien había hecho la maniobra, señalando que
el resto del personal conocía su clave. No obstante, de las pruebas
acumuladas en el proceso se concluyó que cada usuario del sistema
informático de la Caja de Previsión Social tenía un código de
acceso (técnicamente un “pasword”) que era intransferible y
reservado, cada usuario tenía una clave o contraseña para operar con
el equipo informático que tenía asignado, esa clave o contraseña es
absolutamente personal e intransferible, debe ser desconocida por
todas aquellas personas que, por un motivo u otro, accedan al recinto
donde funcione el equipo, y así se concluyó precisamente de los demás
testimonios del personal del ente previsional.
La
condena
Lo
relevante del caso, que culminó con la confirmación de la condena de
prisión en suspenso al acusado y la inhabilitación absoluta perpetua
para ejercer funciones públicas, radica en dos aspectos, que guardan
relación con los llamados delitos informáticos. El primero de ellos -
como lo señala la sentencia del STJ – es que fue el propio sistema
informático de la Caja quien detectó la maniobra y el responsable del
mismo no dudó en realizar la comunicación pertinente a sus superiores
quienes motorizaron las actuaciones correspondientes; el segundo aspecto
a tener en cuenta y dada la masividad que existe actualmente en la
utilización de equipos informáticos en la administración pública y
en la esfera privada, es el carácter personal, intransferible y
reservado que debe tener la clave de acceso de cada usuario, siendo
responsable de lo que emane de su equipo informático, salvo que pruebe
una efectiva adulteración externa de los datos allí contenidos, caso
que no fue el del juicio en cuestión. Ver
Fallo.
|
|
Es Ley el proyecto de delitos informáticos
(Jun/08)
La cámara de Diputados convierte en ley con 172 votos a favor y ninguno en contra el
proyecto de delitos informáticos (PDF
con texto final).
Finalmente luego de muchos años se reforma el Código Penal en
materia de delitos informáticos. En concreto se legisla sobre:
-
distribución y tenencia con fines de
distribución de pornografía infantil;
-
violación de correo electrónico;
-
acceso ilegítimo a sistemas informáticos;
-
daño informático y distribución de virus;
-
daño informático agravado;
-
e interrupción de comunicaciones
Texto de la ley 26388
Reforma del código Penal en materia de delitos informáticos.
Art. 1°.- Incorpóranse
como últimos párrafos del artículo 77 del Código Penal, los
siguientes:
“El término
“documento” comprende toda representación de actos o hechos, con
independencia del soporte utilizado para su fijación, almacenamiento,
archivo o transmisión.
Los términos “firma” y
“suscripción” comprenden la firma digital, la creación de una
firma digital o firmar digitalmente.
Los términos “instrumento
privado” y “certificado” comprenden el documento digital firmado
digitalmente.”
Art. 2°.- Sustitúyese el
artículo 128 del Código Penal, por el siguiente:
“Artículo 128.- Será
reprimido con prisión de seis meses a cuatro años el que produjere,
financiare, ofreciere, comerciare, publicare, facilitare, divulgare o
distribuyere, por cualquier medio, toda representación de un menor de
dieciocho años dedicado a actividades sexuales explícitas o toda
representación de sus partes genitales con fines predominantemente
sexuales, al igual que el que organizare espectáculos en vivo de
representaciones sexuales explícitas en que participaren dichos
menores.
Será reprimido con prisión
de cuatro meses a dos años el que tuviere en su poder
representaciones de las descriptas en el párrafo anterior con fines
inequívocos de distribución o comercialización.
Será reprimido con prisión
de un mes a tres años el que facilitare el acceso a espectáculos
pornográficos o suministrare material pornográfico a menores de
catorce años.”
Art. 3°.- Sustitúyese el
epígrafe del Capítulo III, del Título V, del Libro II del Código
Penal, por el siguiente:
“Violación de Secretos y
de la Privacidad.”
Art. 4°.- Sustitúyese el
artículo 153 del Código Penal, por el siguiente:
“Artículo 153.- Será
reprimido con prisión de quince días a seis meses el que abriere o
accediere indebidamente a una comunicación electrónica, una carta,
un pliego cerrado, un despacho telegráfico, telefónico o de otra
naturaleza, que no le esté dirigido; o se apoderare indebidamente de
una comunicación electrónica, una carta, un pliego, un despacho u
otro papel privado, aunque no esté cerrado; o indebidamente
suprimiere o desviare de su destino una correspondencia o una
comunicación electrónica que no le esté dirigida.
En la misma pena incurrirá
el que indebidamente interceptare o captare comunicaciones electrónicas
o telecomunicaciones provenientes de cualquier sistema de carácter
privado o de acceso restringido.
La pena será de prisión de
un mes a un año, si el autor además comunicare a otro o publicare el
contenido de la carta, escrito, despacho o comunicación electrónica.
Si el hecho lo cometiere un
funcionario público que abusare de sus funciones, sufrirá además,
inhabilitación especial por el doble del tiempo de la condena.”
Art.
5°.- Incorpórase como artículo 153 bis del Código Penal, el
siguiente:
“Artículo
153 bis.- Será reprimido con prisión de quince días a seis meses,
si no resultare un delito más severamente penado, el que a sabiendas
accediere por cualquier medio, sin la debida autorización o
excediendo la que posea, a un sistema o dato informático de acceso
restringido.
La
pena será de un mes a un año de prisión cuando el acceso fuese en
perjuicio de un sistema o dato informático de un organismo público
estatal o de un proveedor de servicios públicos o de servicios
financieros.”
Art. 6°.- Sustitúyese el
artículo 155 del Código Penal, por el siguiente:
“Artículo 155.- Será
reprimido con multa de pesos UN MIL QUINIENTOS ($1.500) a PESOS CIEN
MIL ($100.000), el que hallándose en posesión de una
correspondencia, una comunicación electrónica, un pliego cerrado, un
despacho telegráfico, telefónico o de otra naturaleza, no destinados
a la publicidad, los hiciere publicar indebidamente, si el hecho
causare o pudiere causar perjuicios a terceros.
Está exento de
responsabilidad penal el que hubiere obrado con el propósito inequívoco
de proteger un interés público.”
Art. 7°.- Sustitúyese el artículo 157 del Código Penal, por el
siguiente:
“Artículo 157.- Será
reprimido con prisión de un mes a dos años e inhabilitación
especial de uno a cuatro años, el funcionario público que revelare
hechos, actuaciones, documentos o datos, que por ley deben ser
secretos.”
Art. 8°.- Sustitúyese el
artículo 157 bis del Código Penal, por el siguiente:
“Artículo 157 Bis.- Será
reprimido con la pena de prisión de un mes a dos años el que:
1. A
sabiendas e ilegítimamente, o violando sistemas de confidencialidad y
seguridad de datos, accediere, de cualquier forma, a un banco de datos
personales;
2. Ilegítimamente
proporcionare o revelare a otro información registrada en un archivo
o en un banco de datos personales cuyo secreto estuviere obligado a
preservar por disposición de la ley.
3. Ilegítimamente insertare
o hiciere insertar datos en un archivo de datos personales.
Cuando el autor sea
funcionario público sufrirá, además, pena de inhabilitación
especial de uno a cuatro años.”
Art. 9°.- Incorpórase como
inciso 16 del artículo 173 del Código Penal, el siguiente:
“Inciso 16.- El que
defraudare a otro mediante cualquier técnica de manipulación informática
que altere el normal funcionamiento de un sistema informático o la
transmisión de datos.”
Art. 10.- Incorpórase como
segundo párrafo del artículo 183 del Código Penal, el siguiente:
“En la misma pena incurrirá
el que alterare, destruyere o inutilizare datos, documentos, programas
o sistemas informáticos; o vendiere, distribuyere, hiciere circular o
introdujere en un sistema informático, cualquier programa destinado a
causar daños.”
Art. 11.- Sustitúyese el
artículo 184 del Código Penal, por el siguiente:
“Artículo 184.- La pena
será de tres meses a cuatro años de prisión, si mediare cualquiera
de las circunstancias siguientes:
1. Ejecutar el hecho con el
fin de impedir el libre ejercicio de la autoridad o en venganza de sus
determinaciones;
2. Producir infección o
contagio en aves u otros animales domésticos;
3. Emplear substancias
venenosas o corrosivas;
4. Cometer el delito en
despoblado y en banda;
5. Ejecutarlo en archivos,
registros, bibliotecas, museos o en puentes, caminos, paseos u otros
bienes de uso público; o en tumbas, signos conmemorativos,
monumentos, estatuas, cuadros u otros objetos de arte colocados en
edificios o lugares públicos; o en datos, documentos, programas o
sistemas informáticos públicos;
6. Ejecutarlo en sistemas
informáticos destinados a la prestación de servicios de salud, de
comunicaciones, de provisión o transporte de energía, de medios de
transporte u otro servicio público.”
Art. 12.- Sustitúyese el
artículo 197 del Código Penal, por el siguiente:
“Artículo 197.- Será
reprimido con prisión de seis meses a dos años, el que interrumpiere
o entorpeciere la comunicación telegráfica, telefónica o de otra
naturaleza o resistiere violentamente el restablecimiento de la
comunicación interrumpida.”
Art. 13.- Sustitúyese el
artículo 255 del Código Penal, por el siguiente:
“Artículo 255.- Será
reprimido con prisión de un mes a cuatro años, el que sustrajere,
alterare, ocultare, destruyere o inutilizare en todo o en parte
objetos destinados a servir de prueba ante la autoridad competente,
registros o documentos confiados a la custodia de un funcionario público
o de otra persona en el interés del servicio público. Si el autor
fuere el mismo depositario, sufrirá además inhabilitación especial
por doble tiempo.
Si el hecho se cometiere por
imprudencia o negligencia del depositario, éste será reprimido con
multa de SETECIENTOS CINCUENTA PESOS a DOCE MIL QUINIENTOS PESOS.”
Art. 14.- Deróganse el artículo
78 bis y el inciso 1° del artículo 117 bis del Código Penal.
|
|
Texto
completo del primer fallo sobre spam en Argentina
Enviado por Pablo Palazzi el Dom, 2006-04-30
11:41
PROTECCION DE DATOS PERSONALES. MARKETING.
BASES DE DATOS. HABEAS DATA . Spam. Envio de correo electrónico.
Solicitud de remoción. Incumplimiento. Daños producidos al
ordenador en la fragmentación del disco rígido. Derecho a la
privacidad. Derecho a controlar la información personal. Derecho a
pedir la remoción de un banco de datos con fines de publicidad.
Ver notas de Jorge
Prividera - Favio
Farinella - Nota de
Prensa
SUMARIO
1.- A través del denominado “marketing de
banco de datos” las empresas crearon un sistema por el que se
brinda información gratuita vía personas, correo, telefónica o
Internet a cambio de proporcionar datos personales que servirán a
los fines de la publicidad de sus productos. Con esa información se
configuran bancos de datos que contienen las características de los
usuarios y que además se comercializan, quienes así comienzan a
concretar ventas. Se produce entonces, un cruzamiento de datos que
apunta a vender un determinado producto a quien compró otro con
anterioridad y en razón de la información que dejó al hacerlo;
esta situación se multiplica cuando tiene lugar a través de
Internet, como consecuencia de la información que arroja el usuario
en la red cuando ingresa a distintas páginas web y que después será
utilizada con una finalidad distinta de la que previó cuando la
brindó.
2.- La información que recolectan los
demandados y el modo en que la organizan, o sea que agrupan las
direcciones de correo electrónico por la profesión o actividad que
desarrolla la persona, constituye incuestionablemente una verdadera
base de datos. Repárese que en algunos casos el archivo que ofrecen
a la venta incluye, también, datos como nombre y apellido, dirección,
teléfono, fecha de nacimiento, número de documento e ingresos
aproximados o empresas con nombre, cuit, cantidad de empleados, fax,
responsable, cargo y rubro.
3.- La ley
25.326 en su art. 27, permite el tratamiento de datos que sean
aptos para establecer perfiles determinados con fines promocionales,
comerciales, publicitarios, o que permitan establecer hábitos de
consumo cuando éstos figuren en documentos accesibles al público
(inc. 1). No obstante, la norma prevé la posibilidad de que, en
cualquier momento, el titular solicite el retiro o bloqueo de su
nombre de los referidos bancos de datos (inc. 3).
4.- Los informes producidos por las
distintas entidades oficiadas y la pericia –no impugnados por las
partes (art. 477 del CPCC)-, dan cuenta del significado del término
SPAM y del daño que se ocasiona a los receptores de los mensajes
atento al tiempo de descarga que requiere identificarlos,
seleccionarlos y borrarlos, así como también al incremento en el
costo de recepción y procesamiento. Ello genera, además, la
necesidad de implementar sistemas para bloquear y, aún lograr, la
protección de los virus que pueden dispensar. El informe pericial
explica el proceso de fragmentación que tiene lugar el
almacenamiento y la eliminación de archivos y el perjuicio que ello
irroga, que se traduce en una notable disminución de la velocidad
de almacenamiento y obtención de información. Asimismo, puntualiza
que los correos electrónicos son archivos de pequeño tamaño y,
consecuentemente, su excesiva grabación y borrado produce una mayor
fragmentación del disco rígido de la computadora.
5. Si se encuentran probados los extremos
invocados por los actores en cuanto a la existencia de la base de
datos, la inclusión de sus datos personales, el envío masivo de
mensajes con el consecuente daño que esa circunstancia provoca y el
requerimiento de no enviar más publicidad a sus casillas de correo
que, si bien no fue remitido por los medios tradicionales de
interpelación sino a través de Internet, no puede quitársele el
valor que tiene, dado que fue el medio previsto por los demandados a
ese fin en los términos del decreto 1558/01, art. 27, tercer párrafo,
corresponde ordenar el cese del tratamiento de datos y la eliminación
de los datos personales de los actores.
6.- La actividad de envio de correos elecrtónicos
no solicitados comporta una invasión en la esfera de la intimidad
de los actores y de su tranquilidad, por cuanto se ven sometidos a
la intromisión en sus datos personales que se ve reflejada en el
envío masivo de mensajes no solicitados y la oferta de
comercialización de esos datos que efectúan a terceros, cuando ya
habían requerido el cese del envío y el bloqueo de esa información
de la base respectiva, conforme lo previsto en el ya citado art. 27
de la ley 25.326. Esta nueva faceta de la vida íntima de las
personas –que se pone de manifiesto con el avance de las
comunicaciones- merece el resguardo del ordenamiento jurídico como
los otros aspectos de ella, contemplados en el art. 1071 bis del Código
Civil.
Caso “Tanús Gustavo Daniel y otro c/ Cosa
Carlos Alberto y otro s/ habeas data” - Juzgado Civil y Comercial
Federal Nº 3 de la Capital Federal - Secretaría Nº 6 –
7/4/2006.
TEXTO COMPLETO DEL FALLO
Buenos Aires, 7 de abril de 2006.-
Y VISTOS, para resolver estos autos caratulados “TANUS GUSTAVO
DANIEL Y OTRO c/ COSA CARLOS ALBERTO Y OTRO s/ HABEAS DATA”,
Expte. n° 1.791/2003, radicado en la Secretaría n° 6, de cuyo
estudio resulta y
CONSIDERANDO. 1) Los doctores GUSTAVO DANIEL
TANÚS y PABLO ANDRÉS PALAZZI (letrados en causa propia), promueven
la presenta acción de habeas data –que amplían a fs. 261/27-
contra don CARLOS ALBERTO COSA y doña ANA CAROLINA MAGRANER, con
fundamento en el art. 43 de la Constitución Nacional y en la ley
25.326, a fin de obtener : a) el acceso a los datos personales de
los actores, incluidos en las bases de datos que los demandados
utilizan para enviarles mensajes de correo electrónico no
solicitado (SPAM) b)la eliminación de esos registros en las
mencionadas bases; c) se condene a los demandados a adoptar los
recaudos técnicos necesarios para proceder al bloqueo de toda
dirección de correo electrónico vinculada con los actores.
Solicitaron y obtuvieron a fs. 180 el
dictado de una medida cautelar, tendiente a que los demandados se
abstuvieren de enviar mensajes a las casillas de los actores así
como transferir o ceder a terceros la dirección de su correo electrónico
u otro dato personal que se vincule con ellos. Relatan que aquellos
, bajo el nombre de fantasía “PUBLICC SOLUCIONES INFORMÁTICAS”,
se dedican a la venta de bases de datos que contiene información
personal de terceros, en especial de direcciones de correos electrónicos
de millones de usuarios argentinos de Internet, cuya finalidad es
hacer publicidad masiva e indiscriminada, y para ello se valen
precisamente del mismo método, es decir, el envío de correos
electrónicos no () solicitados, denominados SPAM.
Agregan que promocionan sus servicios en
diferentes sitios de Internet y que, según las constancias que
emanan del NIC-AR, resultan ser titulares. Explican que las base de
datos que comercializan los demandados –y que en reiterados
ocasiones les ofrecieron- no solo contiene las direcciones de
correo, sino también datos personales que, conforme a la ley
25.326, son considerados “sensibles” y que apuntan a diferenciar
a los consumidores por perfiles o tipos. Los actores destacan que en
diversas oportunidades respondieron esos mensajes solicitando el
cese de los envíos y el acceso a la información relacionada con
ellos que los demandados tuvieran en su poder, así como también la
eliminación de esa información de las mencionadas bases de datos.
Se explayan sobre la naturaleza del correo
electrónico y del SPAM (envío de mensajes no solicitados) y
resaltan que, a diferencia de la publicidad no requerida que se
recibe habitualmente por otros medios como el correo postal,
llamadas telefónicas o fax, en el caso del SPAM es el receptor
quien asume parte del costo económico de esa actividad, ya que además
del tiempo que se utiliza para “bajar” ese mensaje, implica un
gasto por la conexión a cargo del usuario final, quien debe pagar
el tiempo de tarifa telefónica y de servicio de Internet que
conlleva ese proceso. A ello, añaden el desgaste que se produce en
el disco rígido de la computadora por la “fragmentación” (los
espacios que quedan en el sistema) que se origina al borrar esos
mensajes. Por último, destacan la invasión a la privacidad que
constituye este tipo de tratamiento de los datos personales, en
violación a las disposiciones de los arts. 18 y 19 de la constitución
Nacional, 11 de la Convención Americana sobre Derechos Civiles y
Políticos. Ofrecen prueba, dejan planteado el caso federal y
solicitan la imposición de costas.
2) Requerido el informe previsto en el art.
39 de la ley 25.326, don CARLOS ALBERTO COSA y doña ANA CAROLINA
ELIZABETH MAGRANER, con patrocinio letrado, piden a fs. 229/234 el
rechazo de la acción por improcedente. Sostiene que no existe tal
base de datos y que obtiene las direcciones de correo directamente
de Internet, de acuerdo a un criterio de búsqueda previamente
determinado. Aducen que los actores tiene una gran relación con el
ámbito informático, como abogados especialistas en el tema y que
sus direcciones de correo electrónico aparecen con diversos
sistemas de búsqueda. Explican que ofrecen un servicio lícito, que
consiste en el siguiente procedimiento: ingresan en la página de
Internet donde se encuentra la sujeto, le envían un correo y con el
mismo método buscan otros, sin que esas direcciones sean parte de
alguna base de datos y de la cual pueden eliminarse.
Alegan que la actividad que realizan no
puede calificarse como SPAM, dado que quienes envían este tipo de
correos ocultan su identidad y ellos, por el contrario, se
encuentran registrados como titulares de los dominios utilizados
para la promoción del servicio, ante el Ministerio de Relaciones
Exteriores (Network Information Center, NIC-AR). Aducen que los
pretensores dieron su dirección de correo electrónico personal de
Internet, de modo que no pueden invocar que se haya infringido el
art. 5 inc. 2 de la ley 25.326 cuando establece que “… no será
necesario el consentimiento cuando los datos se obtengan de fuentes
de acceso público irrestricto”. Finalmente, niegan comercializar
datos “sensible”, así como también haber recibido por parte de
los actores la solicitud del caso de envío de correos y que se les
haya ocasionado a los demandantes un perjuicio económico. Ofrecen
pruebas.
3) Cabe efectuar una apreciación previa
referente a las prestaciones efectuadas a fs. 345/347 por la parte
actora y a fs. 349/351 por la demanda, en las que se adjudican en
forma mutua el allanamiento y el desistimiento, respectivamente. En
cuanto a estas peticiones, es menester dejar sentado que ni el
escrito de fs. 229/234 ni el de fs. 336/343 constituyen un
allanamiento a la pretensión de los actores, así como tampoco el
escrito de fs. 345/347 comporta un desistimiento de la acción, dado
que de la simple lectura de sus contenidos ninguno de ellos reúne
–ni siquiera en mínima medida- las condiciones requeridas que el
Código Procesal exige como modos anormales de terminación del
proceso. Se abrió la causa a prueba a fs. 357, diligenciándose la
etapa pertinente de fs. 361 a 505 y, corrida la vista al señor
Procurador Fiscal que prevé el art. 39 de la ley 24.946 a fs. 506,
quedó el proceso en estado de resolver.
4) La acción de hábeas data –con origen
en el art. 43 de la Constitución Nacional y posterior reglamentación
en la ley 25.326- constituye un subtipo de amparo destinado por un
lado, a tomar conocimiento de los datos que obran en un registro o
banco de dato público o privado, creado con el objeto de
proporcionar informes así como de la finalidad que persiguen y, por
el otro, a obtener la supresión, rectificación, confidencialidad o
actualización de ellos, en caso de falsedad, inexactitud,
desactualización o tratamiento prohibido (art. 33). De este modo,
son diversas las situaciones que pueden afectar a una persona –física
o jurídica- como consecuencia del almacenamiento y tratamiento de
sus datos e igualmente amplia es la tutela que ofrece la acción de
hábeas data. Paralelamente, dado que es una acción expedita, y por
lo tanto restrictiva, deben evaluarse rigurosamente las
circunstancias en virtud de las cuales ésta se inicia, siendo
menester además que se carezca de otra vía más idónea para
articular la pretensión.
En otro orden , conviene puntualizar las
distintas naturalezas que pueden revestir los datos de las persona.
Así, los personales representan la información de cualquier tipo,
ya sea de índole comercial, laboral. Patrimonial, financiera, entre
otras; en tanto que los datos sensibles son aquellos que revelan
origen racial y étnico, opiniones, políticas, convicciones
religiosas, filosóficas o morales, afiliación sindical, referentes
a la salud o a la actividad sexual. Estos últimos se encuentran
reservados a la órbita de la intimidad de las personas y no procede
su registro ni su tratamiento, salvo en las condiciones
excepcionales contempladas en el art. 7 de la ley citada.
5) En el sub examine, la pretensión
consiste en el acceso y la supresión de los datos que los
demandados poseen de los actores, el cese de su tratamiento y el
bloqueo de toda dirección de correo electrónico vinculada con los
demandantes. En relación a ello cabe resaltar la particularidad que
la materia exterioriza, tanto por la diversidad de garantías que
protege este tipo de acción –puntualizada con anterioridad en el
considerando 4- cuanto por lo novedoso del caso, así como la
complejidad de la tecnología que se halla involucrada en el
tratamiento de los datos. No puede soslayarse, además, que ese
procesamiento de información tiene en el presente una finalidad
exclusivamente publicitaria.
A través del denominado “marketing de
banco de datos” las empresas crearon un sistema por el que se
brinda información gratuita vía personas, correo, telefónica o
Internet a cambio de proporcionar datos personales que servirán a
los fines de la publicidad de sus productos. Con esa información se
configuran bancos de datos que contienen las características de los
usuarios y que además se comercializan, quienes así comienzan a
concretar ventas. Se produce entonces, un cruzamiento de datos que
apunta a vender un determinado producto a quien compró otro con
anterioridad y en razón de la información que dejó al hacerlo;
esta situación se multiplica cuando tiene lugar a través de
Internet, como consecuencia de la información que arroja el usuario
en la red cuando ingresa a distintas páginas web y que después será
utilizada con una finalidad distinta de la que previó cuando la
brindó (conf. Masciotra, Mario. “El habeas data. La garantía
polifuncional”, pags. 464, 467).
Los actores solicitan ser removidos de la
base de datos que poseen los demandados y estos últimos, por su
parte, niegan la existencia de la documental aportada por la actora
–que no fue desconocida en los términos del art. 456 inc. 1º del
CPCC (art. 37 de la ley 25.326)- que los demandados promocionan la
venta, y hasta el obsequio, de bancos de datos. Ello en virtud de la
documentación obrante a fs. 4/7, 12/47, consistente en mensajes de
correo electrónico enviados a los actores en distintas fechas por
“publicc soluciones informáticas”, denominación que pertenece
a los demandados, según lo reconocieran en el informe que
produjeron a fs. 230 vta., 4to. Y 5to. párrafos y fs. 231, 3º párrafo,
quienes también aceptaron –contradictoriamente con la postura
asumida- que publicitan la venta de bases de datos a fs. 230, cap.
III, primero y segundo párrafos.
A esta altura y sobre la cuestión a
decidir, no resulta ocioso recordar la definición que brinda la ley
de habeas data acerca del archivo, registro, base o banco de datos,
cuando legisla que: “indistintamente, designan al conjunto
organizado de datos personales que sean objeto de tratamiento o
procesamiento, electrónico o no, cualquiera que fuere la modalidad
de su formación, almacenamiento, organización o acceso” (art.
2). A su vez, el decreto 1558/2001 reglamenta que “...quedan
comprendidos en el concepto de archivos, registros, bases o bancos
de datos privados destinados a dar informes, aquéllos que exceden
el uso exclusivamente personal y los que tienen como finalidad la
cesión o trasferencia de datos personales, independientemente de
que la circulación del informe o la información producida sea a título
oneroso o gratuito” (art. 1º).
En este sentido, ha de concluirse que la
información que recolectan los demandados y el modo en que la
organizan, o sea que agrupan las direcciones de correo electrónico
por la profesión o actividad que desarrolla la persona, constituye
incuestionablemente una verdadera base de datos. Repárese que en
algunos casos el archivo que ofrecen a la venta incluye, también,
datos como nombre y apellido, dirección, teléfono, fecha de
nacimiento, número de documento e ingresos aproximados (ver fs. 21)
o empresas con nombre, cuit, cantidad de empleados, fax,
responsable, cargo y rubro (ver fs. 27).
Igualmente, ofertan la cesión o
transferencia de los mencionados archivos a terceros, con la
finalidad de enviar publicidad y promocionan, además, un servicio
que posibilita el envío de correos electrónicos ocultando la
dirección remitente, en flagrante violación a lo dispuesto en el
art. 6 inc. e y en el art. 14 de la ley, dado que ese accionar
imposibilita o, por lo menos, dificulta el acceso a la base de datos
(ver fs. 44). Por otra parte, el tratamiento de los datos que los
demandados llevan a cabo le adjudica a la información que tomaron
en la oportunidad en que volcaron esos datos en Internet, en
detrimento de lo dispuesto en el art. 4 inc. 3º.
Ahora bien, como los demandados argumentan
que la recopilación de la información que ofrecen es extraída de
documentos accesibles al público sin restricciones, el tratamiento
que realizan encuadra en las previsiones del art. 5 inc. 2 ap. a) de
la ley, que exime de requerir el consentimiento del titular de los
datos; ha de tenerse en cuenta, además, que en principio la calidad
de los datos se limitaría a la estipulada en el inc. c) de la norma
citada (nombre, documento nacional de identidad, identificación
tributaria o provisional, ocupación, fecha de nacimiento y
domicilio).
Por otra parte, la ley 25.326 en su art- 27,
permite el tratamiento de datos que sean aptos para establecer
perfiles determinados con fines promocionales, comerciales,
publicitarios, o que permitan establecer hábitos de consumo cuando
éstos figuren en documentos accesibles al público (inc. 1). No
obstante, la norma prevé la posibilidad de que, en cualquier
momento, el titular solicite el retiro o bloqueo de su nombre de los
referidos bancos de datos (inc. 3). Y tal como surge de la
documentación que aportaron los actores a fs. 49, 51, 56, 58 y 59,
así lo pidieron en reiteradas oportunidades a las direcciones de
correo tarjetas@publicc.zzn.com y remover@publi.com.ar –esta última
arrojó un resultado negativo- previstas por los demandados para
enviar la solicitud de no recibir más publicidad (ver fs. 57 y 60).
Tampoco obtuvieron resultado alguno cuando requirieron el acceso a
los datos, puesto que con posterioridad a ello continuaron los envíos
de mensajes (confrontar las respectivas fechas de la prueba
documental por el perito en informática ingeniero Daniel Edgardo
Cortés a fs. 482/488, punto 2).
Respecto del daño que los actores alegan
que les origina la recepción del mentado correo masivo no
solicitado, ya sea por el costo económico como por el tiempo que
esa actividad insume, debe estarse a las probanzas adquiridas a ese
efecto. En este sentido, los informes producidos a fs. 413/414,
427/428, 447, 450 y 496/499 por las distintas entidades oficiadas y
la pericia mencionada precedentemente (punto 6) –no impugnados por
las partes (art. 477 del CPCC)-, dan cuenta del significado del término
SPAM y del daño que se ocasiona a los receptores de los mensajes
atento al tiempo de descarga que requiere identificarlos,
seleccionarlos y borrarlos, así como también al incremento en el
costo de recepción y procesamiento. Ello genera, además, la
necesidad de implementar sistemas para bloquear y, aún lograr, la
protección de los virus que pueden dispensar.
Por su parte, el experto explica el proceso
de fragmentación que tiene lugar el almacenamiento y la eliminación
de archivos y el perjuicio que ello irroga, que se traduce en una
notable disminución de la velocidad de almacenamiento y obtención
de información. Asimismo, puntualiza que los correos electrónicos
son archivos de pequeño tamaño y, consecuentemente, su excesiva
grabación y borrado produce una mayor fragmentación del disco rígido
de la computadora (ver respuesta brindada al séptimo punto de
pericia).
En esas condiciones, se encuentran probados
los extremos invocados por los actores en cuanto a la existencia de
la base de datos, la inclusión de sus datos personales, el envío
masivo de mensajes con el consecuente daño que esa circunstancia
provoca y el requerimiento de no enviar más publicidad a sus
casillas de correo que, si bien no fue remitido por los medios
tradicionales de interpelación sino a través de Internet, no puede
quitársele el valor que tiene, dado que fue el medio previsto por
los demandados a ese fin en los términos del decreto 1558/01, art.
27, tercer párrafo.
De ese modo, además del daño apuntado
precedentemente, la actividad de los demandados comporta una invasión
en la esfera de la intimidad de los actores y de su tranquilidad,
por cuanto se ven sometidos a la intromisión en sus datos
personales que se ve reflejada en el envío masivo de mensajes no
solicitados y la oferta de comercialización de esos datos que efectúan
a terceros, cuando ya habían requerido el cese del envío y el
bloqueo de esa información de la base respectiva, conforme lo
previsto en el ya citado art. 27 de la ley 25.326 (ver considerando
4). Y esta nueva faceta de la vida íntima de las personas –que se
pone de manifiesto con el avance de las comunicaciones- merece el
resguardo del ordenamiento jurídico como los otros aspectos de
ella, contemplados en el art. 1071 bis del Código Civil.
Es dable destacar en idéntico sentido la
jurisprudencia extranjera, que ha sostenido en la materia que la
garantía de la intimidad se traduce en un derecho de control sobre
los datos relativos a la propia persona, siendo la libertad informática
el derecho a controlar el uso de los mismo insertos en un programa
informático, pudiendo el ciudadano oponerse a que determinados
datos personales sean utilizados para fines distintos de aquel legítimo
que justificó su obtención (T. Constitucional, España, Sala 1,
8-11-1999, La Ley 2001 D-545). Por ende, estimo que se encuentran
reunidos los elementos suficientes para admitir la pretensión
deducida por los actores.
En razón de los fundamentos vertidos,
normas legales y jurisprudencia citadas y oído que fue el
Ministerio Público Fiscal así como lo dispuesto en el art. 68 del
CPCC y 43 de la ley 25.326,
RESUELVO:
I) Hacer lugar a la acción de hábeas data promovida por los
doctores GUSTAVO TANÚS y PABLO ANDRES PALAZZI y condenar a don
CARLOS COSA y a doña ANA CAROLINA ELIZABETH MAGRANER para que en el
plazo de DIEZ DIAS CORRIDOS: a) permitan a los actores el acceso a
los datos personales que poseen de ellos; b) con posterioridad, los
eliminen de las bases de datos que detentan; c) cesen en el
tratamiento de sus datos personales, con costas a su cargo.
(......)
Regístrese, notifíquese, comuníquese a la Dirección Nacional de
Protección de Datos Personales –Secretaría de Política Judicial
y Asuntos Legislativos del Ministerio de Justicia, Seguridad y
Derechos Humanos, sita en Sarmiento 327 de esta ciudad a cuyo fin líbrese
oficio y, oportunamente, archívese. Fdo.: Roberto Torti - Juez
Federal. Viviana J. M. Malagamba – Secretaria Federal
|
|
¿Nuevos
delitos? Robo de identidad, Grooming y ciberbullying
Los
abogados Daniel Monastersky y Raúl Martínez Fazzalari,
expertos en la materia, impulsan una reforma para incluir esas
prácticas, cada vez más comunes, al Código Penal. La ley de
Delitos Informáticos, sancionada en junio del año pasado, no
las contempla.
|
|
El abogado
Daniel Monastersky aseguró a DiarioJudicial.com que está
manteniendo charlas informales con diputados del Pro para
impulsar un proyecto de reforma al Código Penal para que
incluya los delitos de robo de identidad, grooming (un subtipo
de extorsión) y ciberbullying (hostigamiento digital o electró
manteniendo
Con el objetivo de intercambiar
propuestas, Monastersky indicó que este jueves se reunirá con
asesores de la diputada Paula Bertol (Pro) y junto con el
abogado Raúl Martínez Fazzalari, también especialista en la
materia.
Es que la ley 26.388 (de Delitos Informáticos),
sancionada en junio de 2008, no contempla delitos tales como
grooming o ciberbullying y robo de identidad. Este delito
consiste en la sustracción de números de DNI, tarjetas de crédito
o débito, cheques y cualquier otro documento que contenga datos
personales.
En un artículo reciente, Monastersky señaló
que la usurpación de identidad sigue siendo la excusa perfecta
para el engaño y criticó la ausencia del Estado. El abogado
criticó la frecuencia con la que aparecen noticias sobre robo
de datos, identidades, hackeos, daños a sistemas y demá que
“la usurpación
El usuario promedio de Internet tiene un
gran desconocimiento sobre los riesgos a los que está expuesto.
La mayoría de los problemas que suceden en la red se deben a la
poca información que se tiene sobre la materia. Las personas se
sienten vulnerables y les cuesta filtrar lo bueno de lo dañino,
impidiendo medir las consecuencias de su accionar, escribió
“El
En esa misma publicación, Monastersky
informó que a principios de octubre fueron hackeadas unas
30.000 cuentas de correo de Hotmail, GMail, Yahoo y AOL. Los que
obtuvieron esos datos utilizaron técnicas de la ingeniería
social a la que el abogado definió con Wikipedia- como la práctica
de obtener información confidencial a través de la manipulación
de usuarios legí que
En diálogo con este diario, Monastersky
especificó que esa práctica tiene que ver con el engaño a las
personas y no a empresas. En ese sentido, descartó que los
usuarios pudieran demandar a las empresas proveedoras. Explicó
que las compañías efectúan monitoreos aunque deslizó que
siempre se puede hacer más y ponderó la importancia de la
educación.
|
|
|
|
Fallo Argentino sobre atipicidad del
sabotaje informático
|
|
Por Hugo Daniel CARRION
Abogado Especialista en Derecho
Penal y Derecho Informático
Auxiliar Letrado de la Sala Tercera de la Excma.
Cámara de Apelación y Garantías en lo Penal del departamento
judicial de Lomas de Zamora -
Provincia de Buenos Aires
V- LOS DENOMINADOS DELITOS INFORMATICOS
- BIEN JURIDICO TUTELADO
En consonancia con lo expuesto en el punto
anterior, adelantando nuestra postura y tal como tuvimos
oportunidad de sostener en el Anteproyecto de Ley de Delitos
Informáticos en el cual participáramos (el cual fue publicado en
el Boletín Oficial y sometido a consulta pública por el término
de treinta días con fecha 27/9/01), consideramos que el bien jurídico
tutelado en los delitos informáticos, es la información en sí
misma, en toda su amplitud (titularidad, autoría, integridad,
disponibilidad, seguridad, transmisión, confidencialidad), sin
perjuicio de que con su ataque, subsidiariamente y tratándose de
un interés colectivo, afecte otros bienes jurídicos como la
intimidad o la propiedad.
Debemos señalar que a los efectos de no
violentar los principios constitucionales de legalidad y reserva
(artículos 18 y 19 de la Constitución Nacional Argentina)
tipificando como delitos conductas que no implican una real
afectación o un concreto peligro sobre un interés social, deberá
tenerse presente que el derecho penal es la última
"ratio" del orden normativo, el último instrumento de
control social, a disposición del Estado para la prevención de
la criminalidad, por lo que su utilización debe limitarse a la
intervención necesaria, mínima, para preservar la convivencia
humana en la comunidad. Asumimos con MUÑOZ CONDE que la norma
penal tiene una función protectora de bienes jurídicos y que
para cumplir dicha función, eleva a la categoría de delito, por
medio de la tipificación legal, aquellos comportamientos que más
gravemente los lesionan o ponen en peligro.
En cuanto al bien jurídico en sí,
compartimos los alcances de las concepciones trascendentes, en
cuanto a que la realidad social es la que le otorga su contenido.
Los bienes jurídicos son intereses vitales del individuo o la
comunidad, el orden no puede crearlo, lo crea la vida, pero la
protección del Derecho eleva el interés vital a bien jurídico .
En definitiva y tal como lo adelantáramos, atendiendo a las
características de esta nueva era y sus implicancias ya
descriptas, entendemos que el bien jurídico en los delitos informáticos
es la información en sí misma, en todos sus aspectos, como interés
macro-social o colectivo, porque su ataque supone una agresión a
todo el complejo entramado de relaciones socio-económico-culturales,
esto es, a las actividades que se producen en el curso de la
interacción humana en todos sus ámbitos y que dependen de los
sistemas informáticos. Disentimos, acorde con la postura
sustentada en torno al bien jurídico tutelado en los delitos
informáticos, con las tradicionales distinciones doctrinales de
estas conductas ilícitas en delitos informáticos de carácter
económico y aquellos que atentan contra la privacidad .
En primer lugar, porque toda la información
-aún la privada- posee un valor apreciable económicamente y en
segundo, porque los intereses vulnerados superan el marco
meramente patrimonial, verificándose un verdadero carácter
pluriofensivo de las conductas disvaliosas, por implicar afectación
de cuestiones que atañen a la seguridad y a la confianza en el
correcto funcionamiento de los sistemas informáticos que
repercuten en la vida social colectiva. Por otra parte, tal
reduccionismo haría innecesaria la creación de la categoría de
los delitos informáticos, puesto que no serían más que delitos
contra la propiedad, o bien, contra la intimidad o privacidad. Con
el mismo criterio equívoco, Klaus TIEDEMANN señala que, con la
expresión criminalidad mediante computadoras (adviértase que en
el ámbito tecnológico actual las computadoras u ordenadores tal
como los conocemos se encuentran casi obsoletos), se alude a todos
los actos, antijurídicos según la ley penal vigente (lo cual no
significa más que decir que los delitos informáticos no son
otros que los que la ley define como tal), realizados con el
empleo de un equipo automático de procesamiento de datos.
Esta definición lleva al absurdo de
calificar como delito informático o "criminalidad mediante
computadoras" (término por demás deficiente para abarcar el
fenómeno en estudio) a la acción de matar a una persona aplicándole
un golpe con un equipo de computación (un motherboard por
ejemplo). Los delitos informáticos se realizan necesariamente con
la ayuda de sistemas informáticos o tecnologías similares, pero
tienen como objeto del injusto la información en sí misma, la
cual, como expresamos, posee múltiples características que
trascienden lo meramente económico o confidencial. So riesgo de
resultar anacrónicos en muy poco tiempo, debido a los avances
tecnológicos y, por ende, a las nuevas formas que asuma la
criminalidad informática, señalamos cuáles son las conductas
lesivas a la información, según el Consejo de Europa y el XV
Congreso Internacional de Derecho, entre otras:
1. Fraude en el campo de la informática.
2. Falsificación en materia informática.
3. Sabotaje informático y daños a datos
computarizados o programas informáticos.
4. Acceso no autorizado.
5. Interceptación sin autorización.
6. Reproducción no autorizada de un
programa informático protegido.
7. Espionaje informático.
8. Uso no autorizado de una computadora.
9. Tráfico de claves informáticas
obtenidas por medio ilícito.
10. Distribución de virus o programas
delictivos.
Consecuentemente, entendemos por delitos
informáticos aquellas acciones típicas, antijurídicas y
culpables, que recaen sobre la información, atentando contra su
integridad, confidencialidad o disponibilidad, como bien jurídico
de naturaleza colectiva o macro-social (abarcativo de otros
intereses, vgr.: propiedad común, intimidad, propiedad
intelectual, seguridad pública, confianza en el correcto
funcionamiento de los sistemas informáticos, fé pública, etc.),
en cualquiera de las fases que tienen vinculación con su flujo o
intercambio (ingreso, almacenamiento, proceso, transmisión y/o
egreso), contenida en sistemas informáticos de cualquier índole,
sobre los que operan las maniobras dolosas.
VI- HACKERS Y CRAKERS
La palabra hacker proviene de los
reparadores de cajas telefónicas (E.E.U.U. en la década del 50),
cuya principal herramienta de reparación era un golpe seco al
artefecto con fallas (un "hack"), de ahí que se los
llamara "hackers". Preliminarmente podemos definirlo
como un informático que utiliza técnicas de penetración no
programadas para acceder a un sistema informático con los más
diversos fines: satisfacer su curiosidad, superar los controles,
probar la vulnerabilidad del sistema para mejorar su seguridad,
sustraer, modificar, dañar o eliminar información; y cuyas
motivaciones también responden a los más variados intereses: ánimo
de lucro, posturas ideológicas anarquistas, avidez de
conocimientos, orgullo, propaganda política, etc.
Con el tiempo y frente a las actitudes dañosas
de alguno de estos individuos, la misma cultura hacker gestó el término
"crackers" para aludir a estos sujetos, diferenciándose
de los mismos por tener fines más altruistas. Posteriormente, la
doctrina receptó tal diferenciación entre intrusismo informático
ilegítimo (hacking) y sabotaje informático (cracking), basándose
en el elemento subjetivo que delimita la frontera de cada
comportamiento; mientras en el último supuesto, la
intencionalidad del agente es obstaculizar, dejar inoperante o dañar
el funcionamiento de un sistema o dato informático, en el primer
caso, la acción realizada busca únicamente el ingreso a tales
sistemas sin dirigir sus actos a la afectación de la integridad o
disponibilidad de la información, pero sí a la confidencialidad
y exclusividad de la misma y también, en algunos casos, a
vulnerar la intimidad del titular de aquélla.
VII- EL FALLO
La decisión desincriminante del Juez
Torres -una verdadera sentencia absolutoria anticipada- señala en
sus fundamentos que no es dable considerar a la página Web de la
Corte Suprema de Justicia de la Nación, como una
"cosa", en los términos en que esta debe ser entendida.
Si bien acepta que las cosas a las que alude el art. 2311 del C.C.
pueden ser objetos no corpóreos, bastando que puedan ser
detectados materialmente, concluye en la atipicidad de la conducta
de la alteración del contenido del sitio web, por entender que,
por su naturaleza, no es un objeto corpóreo, ni puede ser
detectado materialmente, destacando que una interpretación
extensiva del concepto cosa que permita incluirlo, implicaría un
claro menoscabo al principio de legalidad establecido en el artículo
18 de nuestra Constitución Nacional.
Ahora bien, cuál es entonces la
naturaleza de un sitio web? Para poder arribar a una respuesta
satisfactoria, debemos establecer qué se entiende por sistema
informático y por dato informático o información. Para ello
recurrimos al mentado Anteproyecto de Ley que establece: "Se
entenderá por sistema informático todo dispositivo o grupo de
elementos relacionados que, conforme o no a un programa, realiza
el tratamiento automatizado de datos, que implica generar, enviar,
recibir, procesar o almacenar información de cualquier forma y
por cualquier medio" Asimismo, prescribe "A los fines de
la presente ley se entenderá por dato informático o información,
toda representación de hechos, manifestaciones o conceptos en un
formato que puede ser tratado por un sistema informático.".
Resulta palmario que la información, como entidad abstracta, no
tiene utilidad si no se encuentra plasmada o expresada de alguna
forma, es decir, en algún suporte, sustrato o base que permite su
tratamiento, lo cual no significa que aquélla se identifique con
la energía o materia que la anima.
El primer error conceptual, a nuestro
criterio, es, consecuenteme, señalar que un sitio web no es
detectable materialmente, lo cual, a la luz de las consideraciones
precedentemente formuladas -desde el punto de vista físico-,
resulta falso, toda vez que la información contenida en el sitio
está ubicada en la memoria del servidor respectivo, como archivo
HTML, el que está constituido de energía (detectable
materialmente), como una combinación binaria de unos y ceros o
estados de tensión determinados, susceptibles de ser
interpretados por el sistema informático, decodificados y
representados en la información que finalmente se plasma en la página
web. Ahora bien, si se alude a la información, esto es, a los
conceptos, ideas o manifestaciones que se plasman en el sitio web
(en forma material), la situación es diferente. En efecto, el
interés predominante es el que debe regir la adecuada subsunción
legal. ¿Cuál era, en definitiva, la finalidad de la conducta del
grupo de hackers X-Team? La modificación de los estados de tensión?
El apoderamiento de la energía en su condición de fluído? En
modo alguno. La intención era la modificación de la información,
mientras que la alteración de los bits o del código del archivo
HTML no fue tenida en cuenta por los autores como objeto principal
de la conducta, siendo meramente un instrumento para la consecución
de la acción-fin.
Ese ha sido el objeto de la acción, el
cual no se encuentra protegido por el C.P.A., dado que si bien la
información puede integrar el patrimonio de una persona, no es
cosa a los fines del derecho penal, salvo vulnerando la proscripción
de analogía que dimana del principio de legalidad. Nos
encontramos frente a una situación análoga a la ya esbozada de
los derechos y los documentos que los prueban. El valor intrínseco
de la información poco tiene que ver con la energía que permite
su manifestación material (su flujo, intercambio, etc.), dado
que, como se ha sostenido, en la Sociedad actual reviste la
naturaleza de interés colectivo sustancial (al igual que el medio
ambiente, su ataque supone la vulneración de un complejo
entramado de relaciones socio-económico-culturales, sin
posibilidad de establecer "a priori", como acontece con
otros bienes jurídicos, aún con provisoriedad, el grado y la
extensión del daño causado). Señalar que la información es
cosa porque es detectable materialmente, dado que se trata de
energía y, por ende, es susceptible de ser objeto del delito de
daño, es un reduccionismo inaceptable.
Por otra parte, se podrá esgrimir que, en
todos los casos, la información atañe a una actividad del
intelecto humano y, en consecuencia, ya se encontraba protegida
por el derecho de propiedad intelectual (derechos de autor, de
patentes e invenciones, etc.). Pero lo cierto es que, sólo en
algunos casos estaremos frente a información que constituyen
obras científicas, artísticas o literarias, software o
compilaciones de datos o a invenciones de productos o
procedimientos novedosos que entrañan actividad inventiva y son
susceptibles de aplicación industrial o ante marcas o diseños
industriales. Aún más, atentar contra la confidencialidad,
integridad o disponibilidad de la información tampoco se
identifica típicamente sin más con las conductas que reprimen
las figuras penales que contemplan las leyes complementarias (en
el caso de la ley 11.723 y modif.: edición, venta o reproducción
sin autorización). Tambien se registran dificultades para la
adecuación típica si se pretende entender que podría existir
apoderamiento de la información, como hurto o eventualmente como
violación de secretos que supone el apoderarse de una carta, de
un pliego, de un despacho o de otro papel privado, aunque no esté
cerrado (destácase que según el fallo "Lanata" se ha
identificado el correo electrónico -mail- a la correspondencia
protegida por el art. 153 del C.P.).
La doctrina mayoritaria es conteste en que
no existe el apoderamiento sin desapoderamiento, lo que implica
remover la cosa de la esfera de custodia de su tenedor e
ingresarla a la propia para detentarla con carácter exclusivo y
excluyente. En el caso de la información es imposible, salvo
efectuando dos acciones distintas (copiar y luego suprimir la
información), apoderarse de la información mediante un solo
acto, puesto que su titular seguirá ejerciendo actos de efectiva
disposición sobre la misma (no existirá desapoderamiento).
Tambien resultará insuficiente, aún extendiendo la protección
al documento electrónico, la definición que trae el art. 255 del
C.P., puesto que los documentos que son susceptibles de ser sustraídos,
destruidos o inutilizados, deben ser documentos confiados a la
custodia de un funcionario o de otra persona en el interés del
servicio público. El único delito informático en sentido
estricto que se encuentra contemplado en el código sustantivo es
el que estatuye el art. 157 bis, introducido por la ley 25.326
-habeas data-, que contempla el tipo de acceso informático ilegítimo,
pero exclusivamente restringido a las bases de datos personales.
En todos los casos, la conclusión es la misma.
Nuestro ordenamiento penal no ha previsto
dotar de protección a la información como bien jurídico
complejo, ya sea por insuficiencia en la descripción de las
conductas que pueden vulnerarla o bien, por una deficiente o
inexistente descripción de este bien como objeto de las conductas
disvaliosas que venimos tratando. En el caso del fallo sub
examine, que primigeniamente se calificó como daño agravado, amén
de las conclusiones a las que arribamos en el sentido que la
información no es cosa a los fines del derecho penal, puesto que
su valor no está dado por la materia o energía que permite su
tratamiento, se suman otros escollos para arribar a la tipicidad
de la conducta de los hackers. ¿Cuál es la acción típica? Dañar
implica un ataque a la materialidad, utilidad o disponibilidad de
la cosa, que elimine o disminuya el valor de uso o de cambio de la
misma (la doctrina mayoritaria es concordante).
Si la información pudiera identificarse
con la sustancia que le permite ser expresada (algo que ya hemos
descartado), tampoco se advierte en el caso examinado de qué
manera se vió disminuída o eliminada esta energía, teniendo
presente que la alteración no es típica -salvo aquella que
recaiga sobre su sustancia y que permanezca de una manera
indeleble o considerablemente fija-. La conclusión a la que
arriba el fallo (atipicidad de la conducta del sabotaje informático),
si bien no profundiza en el concepto de información como interés
social que amerita especial protección penal, mediante su elevación
a la categoría de bien jurídico, ni aclara la naturaleza que el
Magistrado le asigna a un sitio web, en modo alguno implica que
las conductas de "hackear" o de "crackear"
sean legales. El ordenamiento jurídico argentino (vgr.: el
derecho civil, el administrativo) puede brindar una respuesta
reparatoria para el daño causado (por ejemplo, a través de la
obtención de una indemnización por daños y perjuicios), pero no
será posible hacerlo, atento al estado legislativo actual, sin
vulnerar garantías de raigambre constitucional, mediante la última
herramienta de control social: el derecho penal.
CONCLUSIÓN
La necesidad de una legislación específica
en la materia ha quedado de manifiesto, con meridiana claridad,
con este fallo que comentamos y ha sido el despertar para muchos a
la realidad de un anacronismo y una desactualización de nuestro
ordenamiento penal positivo en materia de conductas disvaliosas
que recaen sobre las nuevas tecnologías de la información y que,
en muy poco tiempo, tambien constituirán un grave problema
social. Fuente: Delitosinformaticos.com.
| Oscar
Londero |
|
|
Informática |
Derecho |
|
Por dudas y/o
consultas referente al tema tratado en la conferencia pueden
solicitar a mi correo personal que con gusto les daré respuesta.
Hago esta salvedad porque de lo que está escrito aquí se habla
mucho y se explica el significado de cada expresión durante la
exposición dando ejemplos y además contestando las preguntas que
se formulan a cada paso. Pero bueno, espero les sirva a todos, si
ven errores por favor avisen, hasta pronto ... !
|
Oscar
Londero
oscarlondero@gmail.com
www.oscarlondero.com.ar
|
