1
CIBERCRIMEN II
NUEVAS CONDUCTAS PENALES Y CONTRAVENCIONALES.
INTELIGENCIA ARTIFICIAL APLICADA AL DERECHO PENAL
Y PROCESAL PENAL. NOVEDOSOS MEDIOS PROBATORIOS
PARA RECOLECTAR EVIDENCIA DIGITAL. COOPERACIÓN
INTERNACIONAL Y VICTIMOLOGÍA
Director
Daniela Dupuy
Coordinadora
Mariana Kiefer
ISBN: 9789974745643
Editorial: Editorial B de f
2018
Buenos Aires. Argentina
2
INDICE

















Presentación
La estafa informática. Fenomenología y Respuesta Jurídica
El delito de acceso ilegítimo a un sistema informático
Reflexiones sobre el proyecto legislativo tendiente a castigar la
difusión no consentida de imágenes de desnudez o videos de
contenido sexual
La “pornovenganza” en el Derecho Penal Argentino
Calumnias e injurias on line
Reforma Fiscal. Gravamen que recae sobre las monedas virtuales en
función de la reforma introducida por la ley 27.430. Consecuencias
en materia penal tributaria y lavado de dinero
Reventa de entradas por internet para espectáculos masivos de
carácter artístico o deportivo en el Código Contravencional de la
Ciudad Autónoma de Buenos Aires: ¿Conducta neutral de los
hosting o participación en el ilícito contravencional?
Allanamiento remoto ¿Un cambio de paradigma en el registro y
secuestro de datos informáticos?
El uso de drones sobre domicilios en la investigación penal
Los registros domiciliarios con análisis de dispositivos de
almacenamiento de datos en el lugar
Delitos informáticos y cibercrimen. Técnicas y tendencias de
investigación penal y su afectación a los Derechos Constitucionales
Material de explotación sexual infantil y la importancia de las
investigaciones en redes
Inteligencia artificial al servicio de la justicia penal, contravencional
y de faltas. “Prometea” en el ámbito de la Ciudad de Buenos Aires
Inteligencia artificial aplicada al Derecho Penal y Procesal Penal
La cadena de custodia en la evidencia digital
Los próximos paradigmas de las pruebas digitales
3
 La evolución de la investigación de los ciberdelitos
 Protocolos de preservación de evidencia digital y cuestiones forenses
 Cloud Act. La nueva ley y su impacto en investigaciones en entornos
digitales
 Desafíos del cibercrimen para el Derecho Internacional
 Victimización sexual de menores a través de las TIC
 La responsabilidad penal de las personas jurídicas en Argentina y el
"Ciberconvenio" de Budapest
 Prevención de las víctimas menores de edad en delitos informáticos
4
Presentación
Prólogo -
Es para mí un honor prologar este segundo volumen del libro sobre
Cibercrimen. La obra constituye una contribución trascendental para el
debate y la comprensión en nuestro medio de uno de los desafíos más
importantes que atraviesa en la actualidad el sistema penal: la asimilación
del impacto de las tecnologías de la informática y las comunicaciones,
tanto a nivel teórico y legislativo, en las diferentes ramas del derecho
penal, como en la práctica diaria de las investigaciones penales.
Un aspecto destacable de la obra es el acierto en la elección de los temas
y en la selección de los autores para abordarlos. ello permitió reunir en
esta obra conjunta artículos que analizan cuestiones jurídicas de gran
actualidad en el derecho nacional y comparado, con artículos que analizan
cuestiones “prácticas” de las investigaciones penales en las que resulta
necesaria la obtención de evidencia digital. Esta “mezcla” de temas de
Derecho penal, procesal penal y cooperación internacional, con trabajos
dedicados al análisis (desde una perspectiva tecnológica) de la recolección
y resguardo de evidencia digital, no es azarosa. Antes bien, responde a una
planificación y selección de temas que parte de una adecuada comprensión
de la necesidad de un abordaje “multidisciplinario” del fenómeno del
cibercrimen y, de manera más amplia, de las implicancias de la prueba
informática en el proceso penal moderno. Este es para mí uno de los
atractivos principales de la obra. La elección de los autores, priorizando
el enfoque interdisciplinario y la presencia de especialistas con
experiencia profesional en áreas profesionales diferentes (académicos,
abogados, fiscales, jueces, peritos, investigadores), fortalece esta idea de
un abordaje amplio y multidisciplinario de la problemática y enriquece el
debate. el libro avanza también sobre cuestiones que, lejos de estar
resueltas, se hallan en los albores de la discusión en los países más
avanzados sobre la materia y son eje de debate a nivel internacional, como
la inteligencia artificial y el uso de programas maliciosos por el Estado
para el proceso penal. De esta manera, el libro se destaca por su actualidad
y por la visión de las cuestiones que será necesario resolver en el futuro
inmediato.
5
La publicación del segundo volumen se da en un momento histórico
“especial”. Nuestro país, como otros países de la región, parecen haber
iniciado un camino para afrontar los desafíos que plantea la informática al
sistema penal con nuevas herramientas. La discusión de nuevos tipos
penales, la regulación procesal de medios de prueba que atiendan a las
características distintivas de la evidencia digital, cambios
jurisprudenciales que redefinan las garantías procesales atendiendo a las
características del entorno digital, la innovación en las técnicas de
investigación, la creación de fiscalías especializadas, la incorporación de
esta problemática en los programas de estudio tanto de los operadores del
sistema penal como de las facultades de derecho, son una muestra de este
proceso, iniciado un poco tardíamente y que entiendo resulta fundamental
para el futuro de nuestros sistemas penales. Esta obra colectiva que
prologo está llamada a ser una herramienta importante en este proceso.
En el marco de este proceso de cambio, nuevas formas de cooperación
internacional en materia penal se vuelven ineludibles. es que en la
persecución de los delitos informáticos, un sistema eficiente en la
adquisición de evidencia digital para el proceso penal requiere de nuevas
formas de cooperación internacional. El ciber crimen y la evidencia digital
son quizá la cuestión “más transnacional” a la que se ha enfrentado el
sistema penal hasta el momento, con desafíos como el alojamiento de
información en la “nube”, la necesidad de accesos transfronterizos de
datos, o la cooperación directa de un estado con empresas proveedoras de
servicios con sede en otros estados, temas que aún no han encontrado
soluciones consolidadas en el derecho comparado.
Precisamente en el año de publicación del libro que presento, la Argentina
dio un paso importante en este proceso al concretar, luego de años de
retraso, el proceso de adhesión a la Convención sobre la
Ciberdelincuencia del Consejo de europa (conocida como Convención de
Budapest). el proyecto de ley de adhesión fue impulsado desde el
Programa nacional contra la Criminalidad informática del ministerio de
Justicia, y luego de un profundo debate fue aprobado por amplia mayoría
en ambas cámaras 1. El ingreso de la Argentina a este tratado internacional
constituye un hito fundamental para la mejora del sistema penal en esta
materia. es, además, un paso importante para mejorar el acceso a la
cooperación internacional vinculada a la evidencia digital en la
investigación de cualquier delito, ya que ubica a la Argentina (ahora con
“voz y voto”) en un sistema de cooperación especializado junto a países
6
importantes tanto por su avanzado desarrollo en estos temas como por sus
vínculos tradicionales de cooperación en materia penal con nuestro
país. A la fecha han adherido a la Convención 61 estados entre los que
se destacan EE.UU., España, Italia, Francia, Holanda, Alemania, Portugal,
Canadá, Israel y Australia. El tratado tiene además una creciente
aceptación a nivel regional. OeA/remJA han recomendado este
instrumento internacional y ya han adherido, al igual que Argentina,
Chile, Costa Rica, Paraguay, Panamá y República Dominicana. Han
iniciado también el proceso y se encuentran como países invitados a
adherir Perú, Colombia y México.
Los desafíos recién comienzan. Argentina debe regular de manera urgente
en sus códigos procesales novedosas formas de investigación y medios de
prueba diseñados atendiendo a las necesidades del entorno digital.
Asegurar un adecuado balance que permita un uso “eficiente” de estas
nuevas herramientas por los órganos de persecución penal y la protección
de los datos personales y la intimidad es fundamental; mejorar los
mecanismos de cooperación nacional e internacional en materia penal con
nuevas modalidades como las unidades conjuntas de investigación y las
unidades 24/7; la capacitación de los operadores del sistema penal;
modificar la lógica de las investigaciones introduciendo, por ejemplo,
técnicas de inteligencia en redes abiertas, uso de big data e inteligencia
artificial; desarrollar laboratorios de análisis de informática forense; todo
ello deben estar en la agenda de un estado moderno.
El presente libro constituye claramente un aporte en este proceso. Sólo me
resta felicitar a Daniela Dupuy (directora) y mariana Kiefer
(coordinadora) por este excelente libro, esperando que prontamente
tengamos una “tercera” entrega.
Marcos Salt
Introducción -
A fines del año 2017 la Argentina adhirió al Convenio sobre Ciberdelitos
del Consejo de Europa, adoptado en la Ciudad de Budapest en el año 2012.
7
Este representa un avance fundamental para la lucha coordinada contra
este tipo de delincuencia. Si bien durante la última década nuestro país ha
trabajado sobre los desafíos que presentan los delitos acaecidos en el
ciberespacio o aquellos que se sirven de medios tecnológicos para su
comisión de acuerdo a las previsiones del Convenio de Budapest –dando
origen a la ley 26.388, que modificó y amplió el catálogo de delitos
existentes en el Código Penal de la Nación–, cierto es que dicha
modificación no fue omnicomprensiva. Surgieron, en los últimos años,
nuevas conductas consideradas disvaliosas –como por ejemplo la figura
de grooming– y otras cuya tipificación aún está siendo debatida –como la
pornovenganza o suplantación de identidad–. Asimismo, la evolución de
la tecnología ha dado origen a nuevas herramientas que son utilizadas con
fines ilícitos, como así también a otras que resultan útiles para la
investigación de los llamados “delitos informáticos” o para la recolección
de evidencia digital.
Como se advierte, las conductas en el ciberespacio presentan un objeto de
estudio constantemente dinámico. ello genera la necesidad de contar con
espacios de reflexión, donde podamos debatir y comprender su alcance,
impacto y consecuencias, ya no sólo en el Derecho Penal sino en las
diferentes ramas del Derecho. esto va aunado a la necesidad de una
constante capacitación de abogados, jueces, fiscales, defensores oficiales
y personal policial para poder afrontar en forma eficiente y eficaz esta
nueva realidad.
Con esta idea, a más de un año de la publicación de la primera edición del
libro Cibercrimen…, hemos convocado nuevamente a diferentes expertos,
tanto nacionales como internacionales, para continuar enriqueciendo el
debate a través de sus aportes sobre diferentes aspectos del fenómeno de
la ciberdelincuencia.
En consecuencia, y ahora no sólo tomando como referencia el Convenio
de Budapest sino también otros tópicos que generan desafíos en la
actualidad (como inteligencia artificial, penalización de la difusión de
imágenes no consentidas de desnudez, nuevas técnicas de investigación,
victimología, criptomonedas y Derecho Tributario, entre otros), se
estructuró este compendio.
8
Esperamos que los contenidos del presente sean de utilidad para todos
aquellos que desean estar actualizados sobre los avances tecnológicos y
su impacto en investigaciones en entornos digitales.
Por todo ello, agradecemos a los destacados y prestigiosos autores que han
participado de esta nueva edición, permitiendo que la profundización de
esta problemática genere un debate constante.
Notas -
1 Ley 27.411 aprobada en el año 2017, deposito del instrumento en junio
del
año
2018.
2 Ley 27.411 publicada en el Boletín Oficial el 15/12/17.
La estafa informática
Fenomenología y Respuesta Jurídica*
Fernando Miró Llinares
Ana Belén Gómez Bellvís
1. Introducción: Algunas falacias sobre el ciberfraude -
A día de hoy, no cabe duda de que el fraude ha encontrado en el
ciberespacio un nuevo ámbito de oportunidad criminal1, configurándose
9
como una de las grandes preocupaciones tanto a nivel nacional como
internacional2. De ahí que la comprensión de su fenomenología y la
determinación de su alcance y prevalencia haya sido y sea una prioridad3.
Sin embargo, en la búsqueda de dicha comprensión ha sido habitual
asumir como verdaderos algunos presupuestos relativos a la delincuencia
que no lo son o que, cuanto menos, tienen tantísimos matices que debieran
ser revisados. En especial, cuando en muchas ocasiones los conocimientos
sobre este tipo de realidades delictuales responden a la “ilusión del
iceberg”, de acuerdo con la cual lo que se percibe o visualiza es tan sólo
un porcentaje ínfimo en comparación con lo que realmente existe4. Esta
idea ya la puso de manifiesto el profesor Marcus Felson en su obra Crime
and Everyday Life5, en la que dedica una de sus partes a las falacias sobre
el crimen, que ha ido modificando y completando a lo largo de varias
obras6 y que se analizaron en otro lugar respecto del cibercrimen7. Si bien
se analizaron con profundidad ocho de ellas, como la falacia de la
“aleatoriedad”8, o la falacia del “hacker inadaptado”9, las que más nos
interesa traer a colación en este trabajo, por su directa incidencia en el
ciberfraude, son la falacia del nombre y la falacia del “no es para tanto”.
Respecto de la primera, la falacia del nombre es aquella que sostiene el
ciberfraude como sinónimo de delincuencia altamente tecnificada,
sofisticada y compleja, tanto en su ejecución como en su prevención, y a
su vez identifica ciberfraude con un único tipo de evento. La razón de esta
confusión es que se ha tendido a relacionar la cibercriminalidad con la
informática, con el uso de las TIC, y se ha dado por hecho que tales
técnicas e instrumentos son complejos y no fácilmente accesibles. Sin
embargo, se olvida que también son TIC el smartphone o la tablet y que,
por ello, puede cometerse un cibercrimen mandando un correo
electrónico. Pero, en todo caso, lo realmente falaz es creer que bajo el
concepto de ciberfraude hay un único evento. En realidad, el ciberfraude
no es un evento aislado y definido exclusivamente por un traspaso
patrimonial de la víctima al delincuente de forma ilegítima, sino que se
debe entender como un proceso de conductas fuertemente conectadas,
como un fenómeno multidimensional y polifacético. Y en el caso de este
tipo de cibercrimen, la realidad es que hay una pluralidad de tipos,
modalidades y técnicas de las cuales algunas requerirán de amplios
conocimientos de informática, como, por ejemplo, aquellos ciberfraudes
que se valen de la ingeniería social o del empleo de subterfugios para
encontrar las vulnerabilidades del sistema informático de la víctima, frente
a otros en los que no se requerirán dichos conocimientos, como en el caso
de los ciberfraudes burdos tipo romance scam.
10
Por otro lado, hasta hace bien poco, y todavía hoy en algunos sectores, se
ha entendido que el problema de la cibercriminalidad se ha
sobredimensionado tanto cuantitativa como cualitativamente. Es decir, se
apela a que, aunque haya ciberdelitos, estos no son tantos como se cree, y
que, aun produciéndose no tienen los mismos efectos en términos de
gravedad en comparación con los delitos que ocurren en el espacio físico.
Estas premisas constituyen, grosso modo, la falacia del “no es para tanto”,
también presente en algunas explicaciones fenomenológicas del
ciberfraude10. No obstante, se ha de poner en tela de juicio ambas
afirmaciones ante la falta de estadísticas oficiales que den cuenta de la
dimensión real del fenómeno, o bien, para el caso de que existan
estadísticas disponibles, ante la omisión del extremo de que estas no son
más que la parte del iceberg que sobresale del agua. Efectivamente, en
muchas ocasiones no se tiene en cuenta la cifra negra y, si es así en
general, hay motivos para creer que, en el caso del crimen en el
ciberespacio, y en particular en el ciberfraude, el porcentaje de delitos no
denunciados puede ser aún mayor. En muchas ocasiones, la conducta
criminal pasa directamente inadvertida, de modo que no es denunciada,
aunque haya sido consumada y se hayan logrado los efectos criminales
con la misma11. En otros casos, lo que sucede es que la víctima sí se
apercibe del ataque, pero lo hace tarde, cuando el mismo ha prescrito o
cuando ya valora absurdo presentar denuncia12, dado que habrá pocas
posibilidades de que la policía llegue a identificar, detener y procesar a los
delincuentes13. Asimismo, es perfectamente posible que la víctima, que
sí perciba el ataque, ni siquiera valore el mismo como delictivo y
denunciable. Por último, y en particular en relación con las empresas que
sufren ciberfraudes, y más en concreto las entidades bancarias14, se puede
considerar determinante para la cifra negra el hecho de que para las
grandes empresas e instituciones públicas resulta tan ventajoso el uso de
los sistemas informáticos que prefieren negar la cibercriminalidad que las
afecta y, con ello, evitar la desconfianza de los clientes antes que
reconocerla15. A todo esto, hay que sumar, además, que en muchas
ocasiones, cuando se denuncian efectivamente este tipo de cibercrímenes,
son las propias características del ciberespacio, en especial su carácter
transnacional, las que dificultan sobremanera la investigación e
identificación de los autores, por lo que terminan con el archivo de las
actuaciones o la absolución por falta de determinación de la autoría16.
Todo lo anterior se resumiría, por tanto, en la afirmación de que el
cibercrimen no es un único tipo de crimen, sino un macroconcepto que
incluye una multiplicidad de cibercrímenes, entre los cuales está el
11
ciberfraude, y este, a su vez, incluye distintos tipos de los cuales unos
requerirán conocimientos tecnificados y otros no. Del mismo modo,
aunque las estadísticas oficiales nos puedan decir que el volumen del
fraude en el ciberespacio es inferior al que sucede en el espacio físico, no
hemos de obviar que la explicación más plausible para ello es la
considerable cifra negra que acompaña al cibercrimen en general. Qué
duda cabe de que lo afirmado no se queda en el terreno meramente teórico,
sino que tiene consecuencias prácticas a efectos preventivos. Es
fundamental para elaborar y adoptar estrategias preventivas tomar en
consideración las características particulares de cada ciberfraude, sin
renunciar, por supuesto, a comprender los caracteres específicos que el
ámbito de oportunidad delictiva que es Internet puede conferir a cualquier
ciberdelito.
2. La fenomenología del ciberfraude: “Vino viejo en botellas
nuevas” -
Hace más de treinta años, el mundo del análisis y la prevención del crimen
empezó a ampliar su glosario de términos incluyendo todas aquellas
realidades delictivas que, en mayor o en menor medida, asociaban
criminalidad e informática17, y con esta unión la consideración del fraude
como el “Moby Dick” de la ciberdelincuencia económica debido a su
carácter más prevalente y extendido. Tal y como se dijo en un trabajo
anterior, aunque hoy no puede ni debe identificarse completamente la
cibercriminalidad con una delincuencia patrimonial o económica, une a
todas las épocas analizadas de evolución de la delincuencia relacionada
con las TIC el protagonismo absoluto, en términos de prevalencia, del
fraude, no tanto en cuanto a delito consumado pero sí en lo relativo a la
finalidad última de las infracciones18. Por lo tanto, debemos incluir al
ciberfraude dentro del conjunto de ciberdelitos económicos,
entendiéndose como los distintos comportamientos criminales llevados a
cabo a través del ciberespacio, con la finalidad de obtener un beneficio
patrimonial directo, como en el fraude en compra, o indirecto, como el
uso de spam o la infección por malware, entre otros19. Así, con la célebre
metáfora de “vino viejo en botellas nuevas” (“old wine, new bottles”) se
explica cómo esta macro categoría delictual que constituye el fraude
económico ha encontrado en el ciberespacio un ámbito de oportunidad
criminal. En realidad, se trata de conductas que coinciden en lo esencial
con los fraudes tradicionales, pero que se diferencian en que no requieren
de un traslado físico, sino de una comunicación posible en Internet. Dicho
12
de otro modo, estas conductas constituyen nuevas formas de realización
de infracciones tradicionales en las que la red es el nuevo medio a través
del cual se comete una infracción que utilizaba anteriormente otros medios
para llevarse a cabo. Sin embargo, los especiales caracteres de este nuevo
ámbito de realización criminal que es el cibersepacio confieren a la
conducta una singularidad tal, que la hacen aparecer prácticamente como
una conducta nueva, hasta el punto de que lo que en el espacio físico podía
apenas tener relevancia dañina, puede adquirirla significativamente en el
ciberespacio.
2.1. Los ciberfraudes: especial referencia a los auction fraud
Desde una perspectiva criminológica, el concepto de ciberfraude incluye
toda una variedad de conductas cuyo denominador común es el uso de las
redes telemáticas como instrumento esencial mediante el cual se puede
lograr un beneficio patrimonial ilícito derivado de un perjuicio
patrimonial a una víctima. En este sentido, son muchas las formas en que
se puede acceder al patrimonio de terceros, bien sea utilizando las
múltiples formas de relación comercial existentes en el ciberespacio, bien
a través del aprovechamiento de las propias debilidades de seguridad de
los sistemas informáticos que dan directamente acceso al patrimonio o
indirectamente a él, al contener las claves o datos bancarios de los
usuarios. De la misma forma, si bien pudiera parecer que los factores
humanos pierden importancia en beneficio de la innovación tecnológica
para la comisión de estas conductas, conceptos como el de “ingeniería
social” muestran que el engaño humano juega un papel indispensable para
la consecución final del ciberfraude. El abuso de la confianza de la víctima
a través de Internet va a ser el elemento catalizador de esta conducta en
muchos casos, mostrando la enorme importancia del estudio de los
factores humanos para la prevención del fenómeno20.
Algunas de las formas más conocidas de ciberfraude son los distintos
fraudes con tarjetas de crédito, cheques21, las estafas de inversión22, las
estafas piramidales realizadas a través de Internet23, las estafas de la
lotería24, así como los ataques de scam en los que se prometen cantidades
importantes de dinero a cambio de pequeñas transferencias relacionadas
con ofertas de trabajo, loterías, premios u otros25, entre una variedad de
fraudes que van transformándose constantemente26.
13
Uno de los más comunes, y que se ha mantenido en el tiempo, es el
ciberfraude denominado auction fraud, o fraude en las subastas, y que
consiste básicamente en la tergiversación de un producto o su no entrega
conforme a lo pactado en los sistemas de subasta online tipo eBay27. En
general, la actividad relacionada con las subastas en Internet comprende
una serie de acciones que requieren de la participación de los usuarios: se
exige el registro de una cuenta, la búsqueda de productos, la puja, ganar
la misma, la transacción, y finalmente informar sobre la reputación de los
vendedores28. Cada una de estas acciones puede ser objeto de fraude. De
hecho, Chua y Wareham29 han tratado de pormenorizar y categorizar las
distintas formas de fraude de subastas refiriéndose a las siguientes
modalidades: shilling (los vendedores participan en la puja subastando sus
propios artículos, intentado subir el precio de la puja compitiendo con
otros compradores, quienes deben pujar con cantidades más altas para
adquirir los productos); bid shielding (dos personas se confabulan para
pujar en la misma subasta, una de ellas realiza pujas bajas mientras que la
otra hace pujas muy altas para disuadir a otros compradores. Después, el
comprador que ha ganado la puja renuncia al artículo, por lo que la otra
persona puede adquirir el producto); tergiversación (los vendedores
proporcionan descripciones falsas de sus productos); ampliar la factura
(los vendedores ocultan costes extras, como gastos post-subasta por
preparación del artículo); envío suspendido (los vendedores no envían los
artículos adquiridos por los compradores); pago suspendido (los
compradores no pagan después de adquirir un producto); reproducción y
falsificación (los vendedores envían productos de imitación de otros
auténticos); triangulación/custodia (los vendedores venden productos
robados); comprar y cambiar (los compradores reciben los productos, sin
embargo, rechazan la transacción y devuelven a los vendedores otros
productos similares o de inferior calidad); reclamación por pérdida o
daños (los compradores reclaman falsos daños en los productos y piden el
reembolso al vendedor); autosubasta (los vendedores organizan falsas
subastas con la intención de obtener nombres de compradores e
información de tarjetas de crédito).
2.2. Los ciberfraudes burdos o scam
Por su parte, los ciberfraudes burdos o scam son aquellas estafas
tradicionales en las que la comunicación entre las personas para conseguir
14
el engaño tiene lugar a través de Internet, sea por medio del correo
electrónico o a través de las redes sociales30. Si bien es cierto que esta
categoría podría incluir a casi todos los fraudes, no lo es menos que se
suele utilizar para señalar a aquellos que son los más burdos, en los que el
engaño es poco elaborado y el error de la víctima puede ir más allá del
error común. Un ejemplo sería el conocido caso de las “cartas
nigerianas”31 o el “timo de la estampita”, o algunos ciberfraudes
relacionados con el ofrecimiento del trabajo desde casa. Como
consecuencia de lo anterior, podríamos señalar una diferencia entre este
tipo de fraude y aquel en el que la disposición patrimonial en perjuicio de
tercero se hace mediante el aprovechamiento de la vulnerabilidad del
sistema informático. Esto es que, en los ciberfraudes burdos o scam, la
nota característica no es otra que el factor humano, más concretamente, la
vulnerabilidad de la propia víctima como elemento fundamental para que
el engaño tenga éxito32. En la medida en que dicha vulnerabilidad es
esencial, los ciberdelincuentes basan sus mensajes en ciertos principios de
comportamiento humano. Así, Stajano y Wilson33 realizaron una
investigación en la que describieron los patrones seguidos por los
estafadores y establecieron los principios psicológicos en que estaban
basados sus mensajes y estrategias. Por ejemplo, uno de los principios es
el de la adecuación social, cuya nota característica es la casi ausencia de
cuestionamiento de la autoridad. Cuando una persona recibe un CD o un
USB de un organismo oficial como la Policía, generalmente lo acepta sin
recelos, abriendo la posibilidad de instalar en su sistema un malware; o el
principio de la masa que describe que incluso cuando las personas pueden
tener algún tipo de sospecha, su nivel de autoprotección disminuye cuando
comparten riesgos con otros; o el principio de la urgencia, que provoca
respuestas rápidas en los usuarios, siendo esto clave para el éxito de la
trampa.
2.3. El phishing
El phishing34, o pesca de incautos, por su parte, ha sido definido como el
“mecanismo criminal que emplea tanto ingeniería social como
subterfugios técnicos para robar los datos de identidad personales de los
consumidores y los de sus tarjetas de crédito o cuentas bancarias”35.
Cuando se emplean otros artificios técnicos como, por ejemplo,
redireccionar un nombre de dominio de una página web verdadera situada
en la memoria caché del sujeto, o de otro modo, a una página web falsa, o
monitorizar la intervención del sujeto en la verdadera, se utiliza el término
15
pharming. En este caso, el perfeccionamiento de los sistemas de seguridad
en la banca electrónica ha obligado a centrar los ataques en la obtención
de información secreta, bien por medio de spyware, malware, o gracias a
la intervención de la propia víctima, para la posterior utilización de la
información haciéndose pasar por el usuario, obteniendo de tal modo el
beneficio patrimonial36. Si bien en la actualidad no hay un único tipo de
phishing, sino una multiplicidad de modalidades37, un ataque típico
incluye tres elementos claves: el mensaje, la interacción y el robo.
Respecto del mensaje, en la mayoría de los supuestos se va a tratar de un
correo electrónico remitido por el delincuente, un SMS, VoIP, mensaje en
una red social o incluso a través de videojuegos con varios
participantes38. Por lo que se refiere a la interacción, una vez recibido el
mensaje por el usuario se requiere a la propia víctima que acuda a la web
que se ha construido de tal forma que simula de manera idéntica a la de
una organización de confianza para la víctima, como un banco, o una
popular web de subastas, que instale el malware o que remita información
sensible39. Para ello, los phishers registran nombres de dominio parecidos
a los de la entidad elegida; de este modo, podemos encontrar
“ebay.com.phishite.com” en lugar de “ebay-login.com”. Por supuesto,
utilizan logos e imágenes de las empresas u organismos a los que
suplantan, generando una falsa seguridad en la víctima. Para completar el
engaño, emplean todo tipo de subterfugios técnicos, como la ofuscación
de URL o la utilización de supuestas webs seguras de terceras partes o
autoridades de validación. Finalmente, el último elemento es la utilización
efectiva de la información para el robo. En algunos casos el delincuente
usa directamente los datos de la víctima suplantando su identidad; no
obstante, normalmente el phisher no explota por sí mismo la información
obtenida, sino que la vende a terceros40.
2.4. Identity theft y spoofing
El spoofing o cibersuplantación de la identidad, como expresión
tecnológicamente avanzada de las variedades de conductas que tratan de
configurar el identity theft o robo de identidad, sería el siguiente grupo de
ciberataques que, sin ser novedosos, adquieren una nueva dimensión de
lesividad en el cibersepacio. El robo de identidad podría definirse como la
adquisición en todo o en parte por un sujeto de los datos de otro sujeto
para su posterior uso como si le pertenecieran a él41. Aunque, como
recuerdan los autores pioneros del estudio del spoofing, la suplantación de
personalidades también se produce en el espacio físico42, no se puede
16
negar que en el ciberespacio el robo de identidad resulta más sencillo de
ejecutar y potencialmente mucho más peligroso, porque la eliminación de
la inmediatez física y las posibilidades técnicas para la obtención de
información personal y para la simulación hacen que sea posible obtener
datos privados necesarios para suplantar a la persona y actuar
directamente haciéndose pasar por ella43, y también porque son múltiples
las personas conectadas en el ciberespacio que realizan operaciones
financieras y de cualquier otro tipo. Dicho de otro modo, Internet no es
sólo el medio a través del cual se puede suplantar o robar la identidad de
una persona, sino que es precisamente la razón del gran riesgo44 que
conlleva, al haber aumentado significativamente en el ciberespacio la
necesidad de utilizar datos personales para realizar transacciones,
operaciones o acciones, no siempre comerciales, por los titulares de esa
entidad.
En realidad, el spoofing es para el phishing una conducta previa esencial,
y suele ser el primer paso en la dinámica comisiva junto con el spam. Es
decir, el caso paradigmático es aquel en que el cibercriminal envía a la
potencial víctima un correo electrónico en el que suele suplantar la
personalidad de una empresa, entidad bancaria o ente público por el que
se hace pasar el sujeto activo, con la intención de que el sujeto pasivo
entregue directamente las claves, o entre en una página web ficticia en la
que, o bien el sujeto es infectado de un malware, o bien es obligado por la
falsa entidad bancaria a revelar sus datos. El robo de identidad en Internet
se puede llevar a cabo de muchas formas, desde las más sencillas en las
que se acude a la ingeniería social para la suplantación de la personalidad,
hasta las más complejas en las que se utiliza la ingeniería informática para
lograr los distintos mecanismos existentes para la identificación de los
sistemas que actúan en el ciberespacio45.
3. La respuesta penal al ciberfraude: la estafa informática -
Hasta ahora hemos analizado el ciberfraude desde una perspectiva
criminológica, que nos ha llevado a la conclusión de que este tipo de
cibercrimen está integrado a su vez por distintos tipos, con dinámicas y
modalidades distintas, lo cual permite una clasificación fenomenológica y
particularizada de cada uno de ellos. Asimismo, también se ha dicho que
todas estas conductas defraudatorias, con Internet y las TIC como
denominador común, constituyen un fenómeno especialmente prevalente
17
y objeto de una gran preocupación, tanto internacional como nacional, por
la especial lesividad que adquieren en el ciberespacio. Por ello, los
distintos ordenamientos jurídicos han tratado continuamente de dar una
respuesta a este fenómeno desde el derecho penal a través de la
tipificación del fraude informático o estafa informática.
3.1. Respuesta internacional y europea
La referencia jurídica internacional contra el ciberfraude es por
antonomasia el Convenio sobre la ciberdelincuencia o Convenio de
Budapest, de 23 de noviembre de 2001. Este instrumento internacional
surgió como consecuencia del avance de la digitalización y según el
propio Preámbulo, por la necesidad de “aplicar, con carácter prioritario,
una política penal común con objeto de proteger a la sociedad frente a la
ciberdelincuencia, en particular mediante la adopción de una legislación
adecuada y la mejora de la cooperación internacional”46. Así, se convierte
en el primer marco jurídico internacional en materia de delitos cometidos
mediante las TIC con el objetivo fundamental de que todos los
ordenamientos jurídicos los incorporen de forma armonizada,
convirtiéndose a su vez en el único convenio internacional que abordó de
forma completa el fenómeno47, tanto desde una perspectiva penal
sustantiva como también desde el establecimiento de importantes medidas
para la investigación y prueba de estos delitos, y la cooperación policial y
judicial48. El texto establece la obligación para las partes de tipificar la
estafa informática de conformidad con el art. 8 que tiene por rúbrica
“fraude informático”, y que exige a los Estados suscritos al Convenio la
adopción de las medidas legislativas necesarias para tipificar como delito
los “actos deliberados e ilegítimos que causen perjuicio patrimonial a otra
persona mediante: a) la introducción, alteración, borrado o supresión de
datos informáticos; b) cualquier interferencia en el funcionamiento de un
sistema informático, con la intención, dolosa o delictiva, de obtener de
forma ilegítima un beneficio económico para uno mismo o para otra
persona”. Si bien este Convenio nació con vocación mundial, es
especialmente tardía la adaptación de la legislación de los países de
Latinoamérica a las previsiones de esta norma convencional. De hecho,
en el caso de Argentina se produce a partir de 2008 con la entrada en vigor
de la modificación del Código Penal argentino operada por la ley 26.388
y mediante la cual se incorporaban al ordenamiento jurídico-penal de este
país los llamados delitos informáticos49. Además del Convenio de
Budapest, en el ámbito latinoamericano no podemos obviar la célebre
18
Recomendación de la Conferencia de Ministros de Justicia de los países
Iberoamericanos (COMJIB) que declaró: “recordando los valiosos
intercambios técnicos y político-criminales llevados a cabo en el marco
del Seminario Iberoamericano sobre Cibercrimen desarrollado los días 6
y 7 de septiembre de 2011 en la Ciudad de Buenos Aires”, y
“considerando que buena parte de las legislaciones penales
iberoamericanas tienen importantes carencias en los tipos penales
referidos al ciberdelito, y que estas lagunas permiten tanto la delincuencia
individual como la organizada”, recomienda la tipificación de distintos
ciberdelitos entre los que se encuentra la estafa informática50. Por su
parte, a nivel europeo son fundamentales tanto la decisión marco del
Consejo de 28 de mayo de 2001 sobre la lucha contra el fraude y la
falsificación de medios de pago distintos del efectivo51, como la decisión
marco 2005/222/JAI del Consejo de 24 de febrero de 2005, relativa a los
ataques contra los sistemas de información, y la posterior directiva
2013/40/UE del Parlamento Europeo y del Consejo de 12 de agosto de
2013, relativa a los ataques contra los sistemas de información y que
sustituye a la decisión marco 2005/222/JAI. Respecto de la primera, con
ella se complementaron otras normas de la Unión Europea en materia de
fraude relativo a los medios de pago distintos del efectivo52 y vino a
definir los tipos de conductas que se deben considerar delitos. Así, de
conformidad con el art. 3 los Estados miembros debían adoptar las
medidas necesarias para garantizar que en las legislaciones nacionales
fueran delitos las conductas que consistan en la “realización o provocación
de una transferencia de dinero o de valor monetario que cause una pérdida
no autorizada de propiedad a otra persona con el ánimo de procurar un
beneficio económico no autorizado a la persona que comete el delito o a
terceros mediante: la introducción, alteración, borrado o supresión
indebidos de datos informáticos, especialmente datos de identidad, o la
interferencia indebida en el funcionamiento de un programa o sistema
informáticos”. Se tipifica de esta forma el ciberfraude con cierta
taxatividad, al menos, en lo que respecta a los elementos esenciales del
tipo, lo que ha facilitado la armonización de las legislaciones de los
Estados miembros en esta materia53. Sin embargo, desde que se incorporó
este instrumento al acervo de la Unión Europea ya han pasado 17 años, y
actualmente se está debatiendo una Propuesta de Directiva que sustituya
y actualice la decisión54, ya que como se reconoce en la misma “la
decisión marco no refleja ya la realidad actual y resulta insuficiente para
abordar los nuevos retos y adelantos tecnológicos, como las monedas
virtuales y los pagos móviles”. Por lo que se refiere a la directiva
2013/40/UE sobre ciberdelincuencia55, esta introduce normas que
19
contribuyen a la armonización en la criminalización de varios delitos
contra los sistemas de información, incluyendo la ilegalización de la
utilización de botnets, denegación de servicios, interceptación de datos,
entre otros, y supone, junto con la anterior decisión, el marco jurídico
común para todos los Estados miembros de la Unión Europea en este
ámbito.
De todo lo anterior, se desprende que la preocupación jurídica
internacional por el ciberfraude ha estado prácticamente desde sus inicios,
y el paso del tiempo y la evolución de este tipo de cibercriminalidad ha
forzado también a los ordenamientos jurídicos a adaptarse para tratar de
dar una respuesta jurídica armonizada y similar a un fenómeno que en
muchas ocasiones tiene un carácter transnacional.
3.2. Respuesta desde el Código Penal argentino y español
En el caso de Argentina, es la ley 26.388 de 2008 la que viene a modificar
e introducir todo un bloque de delitos ex novo relacionados con conductas
cometidas a través de las TIC56, y que, como pone de manifiesto Riquert,
“ha significado un sustancial avance sobre temas cuya consideración
venía siendo reclamada desde mucho tiempo atrás, poniendo fin a antiguas
discusiones jurisprudenciales y doctrinarias”, y que “a su vez, resulta un
aporte a la armonización legislativa en la materia con otros países del
bloque regional que se ocuparon antes de esta problemática en un modo
más integral”57. De acuerdo con ello, al Código Penal argentino se
incorporó el delito de estafa informática en el decimosexto apartado del
art. 173 que sanciona al “que defraudare a otro mediante cualquier técnica
de manipulación informática que altere el normal funcionamiento de un
sistema informático o la transmisión de datos”, en contraposición a la
estafa común regulada en el art. 172 castigando al que “defraudare a otro
con nombre supuesto, calidad simulada, falsos títulos, influencia mentida,
abuso de confianza o aparentando bienes, crédito, comisión, empresa o
negociación o valiéndose de cualquier otro ardid o engaño”. En un sentido
similar, el Código Penal español de 1995 introdujo el tipo de la estafa
informática en el segundo apartado del art. 24858 para dar cobertura
efectiva a aquellas defraudaciones que se realizaban mediante la
utilización de medios informáticos y no encajaban con los tradicionales
delitos de apoderamiento, porque estos exigen el elemento de “apoderar”
en un sentido físico o material59, ni tampoco con en el delito de estafa
20
común en aquellos supuestos en que no concurre un engaño personal y es
el propio sujeto activo el que realiza el acto de disposición patrimonial en
perjuicio de la víctima. No obstante, pese a tener ambos países la estafa
informática en sus respectivos códigos penales con prácticamente los
mismos elementos esenciales necesarios para la realización del tipo, no
siempre que en la conducta concurra la utilización de las TIC parar lograr
el beneficio económico ilícito se deberá aplicar directamente el delito de
estafa informática. Por el contrario, para apreciar si estamos ante una
conducta de estafa informática o estafa común habremos de estar a si
concurren o no los elementos típicos necesarios para una calificación
jurídica u otra.
En primer lugar, la estafa tradicional gira en torno al elemento del engaño
personal, mientras que, en el caso de la estafa informática, el elemento
exigido es la manipulación informática, ello tanto en la legislación
argentina como en la española. En este último caso, la manipulación
informática ha sido definida en varias ocasiones por nuestro Tribunal
Supremo entendiendo que está presente cuando la máquina informática o
mecánica “actúe a impulsos de una actuación ilegítima que bien puede
consistir en la alteración de los elementos físicos, de aquellos que permite
su programación, o por la introducción de datos falsos”60. En realidad,
cuando se configura el término de manipulación informática se hace de
una forma lo suficientemente amplia, para englobar prácticamente
cualquier modalidad de comportamiento que utilice las TIC para
conseguir el resultado de una transferencia patrimonial en perjuicio de un
sujeto pasivo61, protegiendo así el patrimonio frente al uso de sistemas
informáticos, que es lo que en realidad se tipifica como comportamiento
típico62. Como consecuencia, la manipulación informática se convierte,
pues, en una fórmula amplia que permite integrar en el ámbito típico de la
estafa informática cualquier transferencia patrimonial que se haya
obtenido mediante la utilización de técnicas o sistemas informáticos, y
que, por tanto, incluirían conductas como el denominado tampering o data
diddling, esto es, la modificación no autorizada de los datos o del software
que los trata (que no del procesamiento), incluyendo el borrado de
archivos o la modificación de estos, y consiguiendo, de ese modo, la
transferencia patrimonial. Estas son las que se han denominado por la
doctrina “alteraciones input”63, y sobre las que existe acuerdo doctrinal
acerca de su incriminación por la vía de la estafa informática64. También
entrarán aquellas otras transferencias logradas gracias a un uso de los
tratamientos informáticos o a una modificación en los resultados del
procesamiento automatizado de los datos, o alteraciones output.
21
En segundo lugar, a diferencia de la estafa común, en la estafa informática
no es necesario que el sujeto pasivo sea el que realice el acto de
disposición patrimonial, sino más bien, a la inversa, debe ser el propio
sujeto activo el que transfiera el dinero a su cuenta. En consecuencia, para
que haya estafa informática sólo será necesario que haya una transferencia
“no consentida”, siendo irrelevante si la transferencia la realiza el propio
sujeto activo o un tercero65. Así, si acudimos al ejemplo de los ataques
scam, los cuales comienzan con el envío de spam o correo electrónico no
deseado, mediante el que se trata de engañar al sujeto, generalmente
prometiéndole la obtención de un beneficio patrimonial de forma sencilla,
siempre que, previamente, el sujeto realice algún tipo de ingreso en la
cuenta corriente para poder comenzar las transacciones comerciales,
estaremos ante una transferencia consentida pero que trae como causa el
engaño del sujeto activo, tal y como exige el tipo de estafa común. Como
ya podemos advertir, es el elemento de la transferencia autorizada (estafa
común), o no autorizada (estafa informática), el que va a ser determinante
para la calificación jurídica de muchos ciberfraudes. También nos
podemos encontrar con conductas ilícitas consistentes en la obtención por
medio de engaño, spyware, hacking o cualquier otra forma de las claves o
datos informáticos y su posterior utilización para obtener un lucro
patrimonial en perjuicio de terceros. En este sentido, tenemos que
distinguir dentro de esta modalidad de fraude que es la que se va
generalizando en Internet, entre aquella que se utiliza las claves para
realizar una compra telefónica o electrónica, y el phishing, del que nos
ocuparemos más adelante.
El fraude en compras es, hoy en día, menos prevalente porque actualmente
existen mayores medidas de protección frente a este tipo de fraudes. Por
ejemplo, hay bancos que avisan por medio de SMS la venta, antes de que
se produzca el envío. En cualquier caso, su calificación jurídica es
discutida. Así, un sector entiende que se trata de una estafa común66,
mientras que otros entienden que se podría calificar como estafa
informática67. En realidad, es difícil pensar que pueda haber engaño en la
conducta de obtener el número de tarjeta de crédito y demás datos
necesarios para lograr el beneficio patrimonial68; pero lo que desde luego
no plantea ninguna duda es que no se trata de manipulación informática,
pues en este tipo de comportamientos no hay un acto de disposición
patrimonial por la persona que ha sido objeto del engaño. Más bien, es el
propio sujeto activo el que realiza el acto que le procura a él el beneficio
22
y a la víctima el perjuicio patrimonial69. Este último hecho nos podría
llevar al razonamiento de que la conducta encaja dentro del tipo de la
estafa informática, pero, tal y como sostuve en otro lugar70, resulta
necesario diferenciar entre dos supuestos distintos. Por un lado, aquellos
en que el pago se realiza a través de la propia red, utilizando alguno de los
sistemas existentes entre los que basta con saber los datos de la tarjeta de
crédito (número, fecha de caducidad y cualquier otro número de
identificación). En estos casos, sí se da una manipulación informática en
el sentido amplio que se está sosteniendo en este trabajo, y que consiste
en la introducción de dichos datos en el sistema informático por el sujeto
activo. Pero, a la hora de determinar el consentimiento en la transferencia,
este dependerá de si el objeto de la transferencia es el dinero de la compra
o el bien. Asimismo, también dependerá de si la compra ha sido efectiva
o no. En caso de que la compra se repute ilegal y la entidad vendedora
deba devolver el dinero que ha recibido electrónicamente, estaríamos ante
un hecho atípico. Por el contrario, si podemos determinar que ha habido
venta y es el comprador el que ha de cargar con la pérdida, entonces
podemos entender también que se ha producido una transferencia no
consentida y, por lo tanto, una estafa informática punible. Por otro lado,
también se puede dar el supuesto en que las claves de la tarjeta de crédito
se han obtenido mediante algún sistema informático, pero una vez
obtenidas el pago se realiza por vía telefónica. En este caso no se da el
elemento de la manipulación informática en la conducta fraudulenta y, a
priori, podría conllevar su impunidad. Sin embargo, en estos supuestos es
posible acudir a la figura de la autoría mediata al entender que la operadora
telefónica, cuando utiliza un sistema informático para realizar la venta, es
la que está llevando a cabo la manipulación informática bajo error
inducido por el sujeto, que se está haciendo pasar por el titular de la tarjeta
de crédito. Conforme a eso, el hecho podría ser considerado punible por
medio de la estafa informática, siguiendo la argumentación anterior71.
Por lo que refiere a la calificación jurídica del phishing, la doctrina ha
intentado encuadrar estas conductas o bien en la estafa común, o bien en
la estafa informática. Algunos autores han interpretado que el phishing
sería calificable como una estafa común72. Sin embargo, no cumpliría con
el elemento esencial de esta última, la transferencia por el propio sujeto
pasivo que es engañado por el sujeto activo. Como consecuencia, no es
posible entender que se trata de una estafa común, principalmente porque
es el defraudador el que transfiere el dinero a su cuenta o a otras. Por el
contrario, sí cabe el phishing en el tipo penal de la estafa informática73.
En esta modalidad de ciberfraude, el sujeto actúa sobre el valor
23
patrimonial, es decir, no es la víctima del engaño sino el propio
cibercriminal el que transfiere el dinero a su cuenta o a otra en beneficio
propio o de tercero74. Sin embargo, un sector doctrinal pone en duda que
en todos los casos de phishing exista una manipulación informática. Esto
es consecuencia, generalmente, de la idea de que la manipulación
informática debe entenderse en un sentido equiparable al de engaño en la
estafa. No obstante, hemos de interpretar este elemento como la
utilización de sistemas informáticos para la transferencia no consentida de
un activo patrimonial. Conforme a ello, manipular supone utilizar un
sistema informático. El riesgo típico consiste en la transferencia no
autorizada de un activo patrimonial, no en el mero uso de un sistema
informático. Esta es la conducta peligrosa e idónea para causar un
perjuicio económico, cuya prevención pretende el delito de estafa
informática tipificado en el art. 173.16 del Cód. Penal en el caso argentino
y en el art. 248.2 en el caso español. Siendo, pues, este el comportamiento
típico, sí puede afirmarse que el phishing, en todas sus modalidades, se
emplea una manipulación informática por la que se logra la transferencia
no consentida del activo patrimonial. Así, nos encontramos ante una
manipulación informática en el phishing tradicional cuando se ingresan
los datos bancarios por alguien que no es el titular ni el autorizado para
ello. También hay manipulación informática en los casos de phishing en
que se han obtenido las claves por medio de spyware o malware, por la
misma razón; y finalmente, también se da en los casos de pharming75.
3.3. Especial atención a la responsabilidad penal de los muleros del
phishing en el caso de España
En la ejecución del phishing pueden concurrir una multiplicidad de actos
previos, así como diferentes intervinientes, ya que este tipo de ciberfraude
incluye una diversidad de actos necesarios hasta llegar a su efectiva
consumación. Como se ha dicho anteriormente, este tipo de cibercrimen
es un fenómeno complejo, multicausal y polifacético, y no un evento
único y aislado. Las conductas de redactar el spam, enviar los correos,
diseñar webs falsas, etc., pueden ser realizadas por una sola persona o por
varias. Sin embargo, hay una figura que ha adquirido especial relevancia
en lo que al phishing se refiere, porque es determinante para el éxito del
ciberfraude: los muleros del phishing. A diferencia de las anteriores
conductas, que pueden ser realizadas por personas distintas, la conducta
del cibermulero76 sólo puede realizarla él mismo77. Además, a efectos
24
penales, son estos sujetos los que finalmente acaban respondiendo del
delito como colaboradores y partícipes78.
Ilustración 1.
Ilustración 2
Esquema de la dinámica comisiva
Esquema de los intervinientes en
el phishing. Elaboración propia
Sin embargo, una nota característica de la conducta del mulero del
phishing es que resulta especialmente compleja desde un punto de vista
jurídico. En primer lugar, es compleja desde la perspectiva del tipo penal
aplicable. Resulta difícil poder calificar la conducta como una estafa
común79, pues no concurre el elemento del engaño, o como una estafa
informática al no darse tampoco una manipulación informática. También
se plantean dudas respecto de la presencia de todos los elementos del tipo
en la conducta, en especial el conocimiento del hecho. En muchos casos
nos encontramos con que el mulero suele desconocer gran parte de la
dinámica comisiva del hecho conjunto del que forma parte, si bien conoce
el origen ilícito del dinero que recibe, e incluso se le puede atribuir, en
algunos casos, un mayor conocimiento. Esto último porque, aunque los
otros intervinientes integrados en el delito no le digan cuál es el origen
real del dinero que le están transfiriendo en la cuenta, la realización de las
transferencias de importantes cantidades de dinero sin siquiera
preguntarse si tal actividad es o no legal, y a cambio de importantes
comisiones, supera los márgenes del actuar imprudente, pero no llega al
25
dolo si se entiende como conocimiento y voluntad del hecho típico.
Finalmente, también se presenta como compleja la determinación de su
forma de intervención, puesto que en toda la dinámica del phishing, a
pesar de ser muchos los integrantes del delito, lo habitual es que el mulero
sea el único al que se le haya podido imputar efectivamente un delito, y
no sabiendo con exactitud la intervención de los demás, habrá que atribuir
una forma concreta de intervención en el injusto. Respecto de la
calificación jurídica, la doctrina ha esbozado soluciones que van más allá
de la consideración de la conducta como estafa común o informática. En
este sentido, hay autores que han argumentado que la conducta encaja con
el delito de receptación, ya que el mulero ayuda a los responsables a
aprovecharse de los efectos del mismo80. Sin embargo, el delito de
receptación del art. 298.1 Código Penal reza lo siguiente: “El que, con
ánimo de lucro y con conocimiento de la comisión de un delito contra el
patrimonio o el orden socioeconómico, en el que no haya intervenido ni
como autor ni como cómplice, ayude a los responsables a aprovecharse de
los efectos del mismo, o reciba, adquiera u oculte tales efectos, será
castigado con la pena de prisión de seis meses a dos años”. El tipo exige
expresamente, como elemento típico, el conocimiento de la comisión de
un delito, y si este elemento consigue probarse, el mulero, en realidad,
devendría en cómplice y el delito de receptación no sería aplicable. Otra
opción es la calificación jurídica de blanqueo de capitales, y es esta, en su
modalidad imprudente, la que se ha seguido por algunas Audiencias
Provinciales81 sobre la base de la tesis de la ignorancia deliberada, al
entender que no es verosímil para ningún sujeto que alguien reparta
beneficios lícitos de una forma tan poco convencional. Sin embargo, a
pesar de que algunas Audiencias Provinciales hayan empleado el tipo del
blanqueo de capitales para calificar jurídicamente la conducta del
mulero82, lo cierto es que esta tesis no es viable. El art. 301.1, como tipo
básico del blanqueo de capitales, establece lo siguiente: “El que adquiera,
posea, utilice, convierta, o transmita bienes, sabiendo que éstos tienen su
origen en una actividad delictiva, cometida por él o por cualquiera tercera
persona, o realice cualquier otro acto para ocultar o encubrir su origen
ilícito, o para ayudar a la persona que haya participado en la infracción o
infracciones o eludir las consecuencias legales de sus actos, será castigado
con la pena de prisión de seis meses a seis años y multa del tanto al triplo
del valor de los bienes”. No obstante, la conducta del mulero no puede
encuadrarse dentro del blanqueo de capitales, esencialmente porque aquel
no actúa “para ocultar o encubrir el origen ilícito del dinero ‘ni’ para
ayudar a la persona que haya participado en la infracción a eludir las
consecuencias legales de sus actos”, sino para favorecer la comisión del
26
delito que, sin su intervención, no puede llevarse a cabo83. Más aún
cuando entendemos que en el blanqueo de capitales el objeto material de
la acción de encubrir o enmascarar son los bienes que tienen su origen en
el delito antecedente, mientras que en el caso del mulero es el dinero el
propio objeto material del delito en el que está colaborando. Por estos
motivos, la calificación más usual de este comportamiento por los
tribunales españoles es la estafa informática, si bien el problema es,
entonces, la determinación de la intervención delictiva. El primer
precedente lo encontramos en la Sentencia de la Audiencia Provincial de
Vizcaya nº 255/2006 de 9 de mayo de 2006, que condenó como autor de
estafa informática a quien abrió en su nombre cuatro cuentas bancarias
diferentes desde las que tenía que transferir el dinero que recibía fruto del
phishing. La anterior premisa la tuvo en cuenta el Tribunal Supremo en la
sentencia que venía a resolver un recurso contra la Sentencia de la
Audiencia Provincial de Madrid nº 533/2007, que enjuició una conducta
prototípica de phishing84, y en la que los autores fueron acusados como
cooperadores necesarios del delito continuado de estafa informática,
viniendo el Tribunal Supremo a confirmar la sentencia recurrida en todos
sus extremos85. En este sentido, el alto Tribunal asienta y soluciona en
cierta medida los problemas dogmáticos de estos supuestos, al considerar
que los muleros del phishing pueden reputarse como cooperadores
necesarios dolosos de una estafa informática. De acuerdo con la teoría de
la integración86, el mulero se integra, se suma, a un proyecto delictivo, a
un injusto que era de otro y que, con sus actos, pasa a ser también propio.
Es decir, el mulero recibe importantes ingresos y los transfiere por los
medios que le han ordenado, realiza un comportamiento cuyo único
sentido social es, a todas luces, hacer posible a otros sujetos, determinados
o indeterminados judicialmente, la consumación final del delito. Por tanto,
estamos ante una participación delictiva que responde a la figura de la
cooperación necesaria, porque como apuntábamos al inicio de este
apartado, la intervención del mulero es prácticamente insustituible, es
decir, sólo la puede realizar él como forma de lograr con éxito el perjuicio
patrimonial por medio de la estafa informática, ya que, si bien con la
transferencia patrimonial ya se entiende producido el perjuicio, no ocurre
así con el éxito del ataque para el cibercriminal que lo protagoniza y que
lo obliga a contar con muleros sin los cuales no se obtienen las ganancias.
Sin embargo, tal y como se sostuvo en un trabajo anterior87, que sea esta
la calificación jurídica que establezcan muchos tribunales, no quiere decir
que resulte la más adecuada ni, en el caso de que lo sea en algún supuesto,
se generalice a cualquiera de los hechos que, conforme a su significado
social, incluiríamos en el concepto de “actividades de los muleros del
27
phishing”. Para que eso sea así será imprescindible que se pueda afirmar
que se cumplen las condiciones exigidas para que un sujeto pueda ser
hecho responsable por la cooperación necesaria del delito de estafa
informática. En este sentido, una de las condiciones exigidas el
conocimiento necesario como elemento esencial para la atribución de
responsabilidad al mulero, es decir, el conocimiento de su integración en
el injusto y la imputación de dicho conocimiento. Como ya se ha indicado
anteriormente, aun no sabiendo el mulero de forma expresa de dónde
procede el dinero ni para qué fin lo está transfiriendo a otras cuentas,
parece que esta conducta excede el actuar imprudente. Es por ello que el
Tribunal Supremo se apoya en la tesis de la ignorancia deliberada, al
afirmar que tanto si saben cómo si no quieren saber, o les sea indiferente
el origen del dinero que reciben, tienen un conocimiento suficiente para
prestar su colaboración, y la ignorancia sobre todo lo anterior no
disminuye su culpabilidad. En este sentido, las conductas de los muleros
de los phishing punibles son aquellas que se realizan sin conocimiento del
hecho concreto en el que se participa, pero con un conocimiento suficiente
para responder por la participación necesaria en el injusto de otro. De
hecho, en la mayoría de los casos de muleros del phishing enjuiciados y
analizados por el Tribunal Supremo, los hechos probados demostraban
que: 1) los cibermuleros no sabían a quién se estaba causando el perjuicio
patrimonial en concreto mediante el ciberfraude, pero sí preveían que las
sumas de dinero que recibían provenían de cuentas bancarias de clientes
estafados; 2) no conocían los nombres de los autores principales de los
hechos, pero sí sabían que transferían el dinero a unas direcciones
determinadas, y 3) aunque no sabían exactamente cómo se había logrado
ese dinero de los otros clientes, sí sabían que se les había quitado el dinero
a través de la banca electrónica. Pese a todo lo anterior, decidían intervenir
en el hecho, concurriendo un conocimiento suficiente de un hecho que
puede valorarse como la integración en el delito de estafa informática en
su modalidad de phishing. Por tanto, y como corolario, si dicho
conocimiento no se le puede atribuir al mulero, es decir, el conocimiento
de que recibe cantidades provenientes de defraudaciones indeterminadas
realizadas por Internet, no se lo debería hacer responsable penalmente.
28
Notas -
* El presente artículo ha sido realizado en el marco del proyecto de in
vestigación DER2017-86204-R, titulado “Criminología, evidencias
empíricas y Política criminal. Sobre la incorporación de datos científicos
para la toma de decisiones en relación con la criminalización de
conductas”, del Ministerio de economía, industria y Competitividad.
1 Miró Llinares, F., “La oportunidad criminal en el ciberespacio:
Aplicación y desarrollo de la teoría de las actividades cotidianas para la
prevención del ciber crimen”, en Revista Electrónica de Ciencia Penal y
Criminología,
nº
13,
2011.
2 Así, desde diferentes organismos e instituciones nacionales e
internacionales se muestra una clara preocupación sobre cómo en el
ciberespacio el fraude económico genera en el SePA (Single European
Payment Area) unas pérdidas anuales de más de 1300 millones de euros,
según el informe iOCTA de europol en 2015; y que tal y como se
especifica en la nueva Agenda Europea de Seguridad, “a medida que el
comercio y las operaciones bancarias se realizan cada vez más en línea, la
ciber delincuencia puede representar un gran beneficio potencial para los
delincuentes y una enorme pérdida potencial para los ciudadanos” (pp. 1415). Por ejemplo, los resultados del eurobarómetro de la Comisión
europea de 2013 mostraron que el 35% de los ciudadanos de la Ue
entrevistados están preocupados por la seguridad de los pagos online, lo
que se traduce en una renuncia a utilizar este tipo de tran sacciones. Otros
documentos como el eurobarómetro sobre ciberseguridad, publi cado en
febrero de 2015, nos indica que “los usuarios de Internet en la UE siguen
estando muy preocupados por la ciberdelincuencia. el 85% está de
acuerdo en que el riesgo de ser víctimas de la ciberdelincuencia va en
aumento”.
3 Véanse Brenner, s. W., Cybercrime: Criminal threats from cyberspace,
AbC-CLiO, London, 2010; Cyberthreats and the decline of the nationstate, London, routledge, 2014; centro crÍMina, CiberApp: Aprender,
prevenir, pro teger. Estudio sobre el alcance de la cibercriminalidad contra
menores de la provincial de Alicante, Diputación de Alicante, Alicante,
2014; clifforD, r. D., Cybercrime: The investigation, prosecution and
defense of a computer-related crime, Carolina Academic Press,
massachusetts, 2001; McquaDe, s. c., Under standing and managing
cybercrime, Pearson education, Upper Saddle river, 2006; Miró Llinares,
“La oportunidad…”, cit.; El cibercrimen. Fenomenología y criminología
29
de la delincuencia en el cibersepacio, marcial Pons, madrid, 2012; Wall,
D. s., Cybercrime. The transformation of crime in the information age,
Polity Press, Cambridge, 2007; yar, M., “The novelty of ‘cybercrime’. An
assessment in light of routine activity theory”, en European Journal of
Crim inology, vol. 2, nº 4, 2005; Cybercrime and society. 2nd ed., Sage,
Los Ángeles, London, new Delhi, Singapore y Washington DC, 2013.
4 Fafinski, s., y Minassian, n., UK Cybercrime report 2009, invenio
research
September
2009,
p.
23.
5 Felson, M., Crime and Everyday Life, 2ª ed., Sage and Pine Forge Press,
Thousand
Oaks,
1998.
6 Felson, M., Crime and Everyday Life, Thousand Oaks: Sage and Pine
For ge Press, 2002; Felson, M., y Boba, R., Crime and Everyday Life, 4ª
ed.,
Sage
Publications,
Thousand
Oaks,
2010.
7 Miró Llinares, F., “Cibercrimen y vida diaria en el mundo 2.0”, en Miró
Llinares, F.; Agustina Sanllehí, J. r.; medina Sarmiento, J. e., y Summers,
l., Crimen, oportunidad y vida diaria. Libro homenaje al Profesor Dr.
Marcus
Felson,
Dykinson,
Madrid,
2015.
8 La cual sostiene que el delito sucede en cualquier momento, lugar y a
cualquiera, siendo casi una cuestión de suerte el no acabar siendo víctima
de alguno. esta idea es falaz, cuanto menos, en dos sentidos: en el de la
aleatorie dad del cibercrimen y en el de que sólo se puede cometer un
ciberdelito contra quien usa internet. La cuestión es que los ciberdelitos
no son siempre alea torios. Lo serán, en la mayoría de las veces, en
conductas como la infección de malware, o el envío de spam. Sin
embargo, para cibercrímenes más graves esto no sucede así. en el caso de
la estafa, por ejemplo, las cifras indican que siendo muchas las personas
que son objeto de una tentativa de estafa, son muchas menos las que
finalmente se ven defraudadas; y siendo muchas las que se infectan por
un virus, sólo algunas pocas de estas pierden los archivos. Los estudios
demuestran que esto no es aleatorio, sino que se debe, en gran parte, a las
propias actividades cotidianas de las víctimas, que inciden en su mayor o
menor probabilidad de victimización (cHoi, K., “Computer Crime Vic
timization and Integrated Theory: An Empirical Assessment”, en
International Journal of Cyber Criminology, vol. 2, 2008). De hecho,
múltiples estudios rea lizados tanto a nivel internacional como nacional
han detectado que existen vínculos destacables entre el comportamiento
que los usuarios adoptan en el ciberespacio y su riesgo de sufrir un
ciberataque o, en otras palabras, entre los mecanismos de interacción que
los usuarios establecen con el entorno de red y su eventual
cibervictimización (agustina, J. r., “Understanding cyber victi mization:
Digital architectures and the desinhibition effect”, en International Journal
30
of Cyber Criminology, vol. 9, nº 1, 2015; álVarez-garcÍa, D.; núñez, J. c.;
DoBarro, a., y roDrÍguez, c., “Risk factors associated with cybervictimiza
tion in adolescence”, en International Journal of Clinical and Health
Psycho logy, vol. 15, nº 2, 2015; centro crÍMina, CIBERAPP…, cit.;
gonzález, a., El ciberbullying o acoso juvenil mediante Internet: un
análisis empírico a partir del modelo del Triple Riesgo Delictivo (TRD),
Universitat de barcelona, barcelona, 2015; HalDer, D., y JaisHanKar, K.,
Cyber victimization in India. A Baseline Sur vey Report, Centre for Cyber
Victim
Counselling,
Tirunelveli,
2010.
9 en esta falacia se parte de una imagen distorsionada del mismo. Véase
pinguelo, F. y Muller, B. W., “Virtual Crimes, Real Damages: A Primer
On Cybercrimes In The United States and Efforts to Combat
Cybercriminals”, en Virginia Journal of Law & Technology, vol. 16, nº 1,
2011,
pp.
116-188.
10 este argumento, en cierta medida, es una de las grandes ventajas de la
que han sacado partido los ciber delincuentes al explotar la consecuente
re ducción de las medidas de autoprotección de las víctimas, y que en el
caso de algunos ciberdelitos, como las infecciones de malware, cuya
finalidad última es lograr con éxito un ciberfraude, hace que sean las
propias víctimas las que se conviertan en instrumentos de difusión del
ciberataque (Miró Llinares, El cibercrimen… cit.) Lo mismo sucede, para
otros delitos, con la generalización de conductas en el ciberespacio que
incrementan el riesgo de ser victimizado. en este sentido, véase Miró
Llinares, F., “La victimización por cibercriminali dad social. Un estudio a
partir de la teoría de las actividades cotidianas en el ciberespacio”, en
Revista Española de Investigación Criminológica, nº 11, 2013; reyns, B.
W., Being Pursued Online: Extent and Nature of Cyberstalking Victi
mization from a Lifestyle/Routine Activities Perspective. Tesis Doctoral,
Univer
sity
of
Cincinnati,
2010.
11
Fafinski
y
Minassian,
UK
Cybercrime…,
cit.
12 De la cuesta, J. L. y Pérez, A., “Ciberdelincuentes y cibervíctimas”, en
J. L. De la Cuesta y n. J. De la mata (eds.), Derecho penal informático,
Cizur menor, Civitas, 2010, pp. 99-120; roMeo casaBona, c. M., El poder
informático y seguridad jurídica, Fundesco, madrid, 1998.
13 Adler, F., Mueller, g. o., y Laufer, W. s., Criminology and the Criminal
Justice System (4th ed.), Nueva York, McGraw Hill.
14 Guinchard, A., “Between Hype and Understatement: Reassessing
Cyber Risks as a Security Strategy”, en Journal of Strategic Security, vol.
4,
nº
2,
2011.
15 KsHetri, n., “The simple economics”, en IEEE Security & Privacy, vol.
4,
nº
1,
2006.
31
16 En el caso de España, por ejemplo, tal y como refleja la Memoria de la
Fiscalía General del Estado de 2016, “Se trata de acciones ilícitas de
naturaleza muy diversa, cada una de las cuales presenta dinámicas
delictivas específicas y también problemas diferentes en su investigación
y en la determinación de sus autores (…). Se trata de las defraudaciones
que más dificultades presentan en su investigación y en las que se obtienen
peores resultados por lo que muchos de estos procedimientos se ven
abocados al archivo. Ello es debido a que muchas de estas actividades
ilícitas se desarrollan por grupos organizados desde o a través de terceros
países con los que los cauces de cooperación internacional no son es
pecialmente fluidos” (Fiscalía General del Estado, Memoria de la Fiscalía
General del Estado, Centro de estudios Jurídicos, madrid, 2015, pp. 602603).
17 Sobre esto véase en profundidad Miró Llinares, El cibercrimen…, cit.
18 Miró Llinares, F., “La respuesta penal al ciberfraude. Especial atención
a la responsabilidad de los muleros del phishing”, en Revista Electrónica
de Ciencia Penal y Criminología, 15-12, 2013. Disponible en internet en:
http://
criminet.ugr.es.
19 Para una clasificación tipológico y relacional de la cibercriminalidad
económica,
véase
Miró
llinares,
El
cibercrimen…
cit.
20 Allen, M., “Social engineering: A means to violate a computer
system”, en InfoSec reading room, 2007; atKins, B. y Huang, W., “A
study of social en gineering in online frauds”, en Open journal of social
sciences, vol. 1, nº 3, 2013; Chantler, a. y Broadhurst, R., Social
Engineering and Crime Prevention in Cyberspace, Technical report,
Justice, Queensland University of Technol ogy, 2006; Hall, g. a., Credit
card fraud and social engineering: mitigation of identity theft related
losses requires more than technology, Faculty of Utica College, burrstone,
2012; JaKoBson, M., “Social engineering 2.0: What’s next”, en Mcafee
Security Computer Science, nº 1, 2008; ruscH, J. J., “The ‘Social
Engineering’ of Internet Fraud”, en INET 99, nº 12, 2003.
21 Especialmente el fraude denominado en inglés “the counteerfeit
cashier’s check scheme”, o esquema de falsificación de cheques de caja,
destinado a defraudar a personas que venden mercancías por medio de los
anuncios cla sificados en Internet. Véase la explicación del procedimiento
por
el
IC3
en
internet
en
www.ic3.gov.
22 O “invest fraud”, por medio de la cual se ofrecen productos financieros,
préstamos
o
similares,
que
resultan
ser
falsos.
23 También denominadas ponzi frauds y que son en última instancia frau
des de inversión en los que a los inversores se les prometen beneficios
anorma les que, en realidad, no son (cuando se cobran) más que las
32
inversiones, falsas en realidad, de otros sujetos idénticamente engañados.
24 Aunque las hay de muchos tipos, el esquema del fraude de loterías
suele caracterizarse por el envío de spam con emails en los que se informa
a quien lo recibe de que ha ganado una lotería internacional por una
cantidad altísima de dinero y que, para retirarla, se solicita sin embargo el
ingreso de un dinero, que es el objeto de la defraudación.
25 Entre otros muchos citados por staDler, W. a., “Internet Fraud”, en
Fisher, B. s., y Lab, s. p., Encyclopedia of Victimology and Crime
Prevention, vol. 1, Sage Publications, California/London, 2010, pp. 492 y
493. También Howard, R.; Thomas, R.; Burstein, J. y BraDescu, R.,
“Cyber fraud trends and mitigation”, en International Journal of forensic
computer science, vol. 1, 2008; Mcguire, M., Cyber crime: a review of the
evidence, Home Office, Research Report 75, 2013; ruscH, J. J., “The flood
tide of cyberfraud”, en The United States Attorneys’ Bulletin, vol. 62, nº
2, 2014; sMytH, s. M., y carleton, r., “Measuring the extent of cyber-fraud:
a dis cussion paper on potential methods and data sources”, en Public
Safety Canada, report no. 020, 2011; Warner, J., “Understanding cybercrime in Ghana: a view from below”, en International Journal of Cyber
Criminology,
vol.
5,
nº
1,
2011.
26 Así, y tomando como referencia la página web del iC3, que hace una
importante labor de recogida de denuncias para la sistematización de los
diferentes ciberfraudes existentes, deberían tomarse en cuenta, además de
los citados, otros como el debt elimination fraud, o fraude en los planes de
elimi nación de deudas, llevado a cabo por falsas empresas que solicitan
el ingreso de un dinero al cliente para refinanciar sus deudas hipotecarias
y de tarjetas de crédito pero que nunca devuelven; el scrow services fraud,
o estafa por ser vicios de custodia, en la que se persuade a quien participa
en subastas por internet para que contrate un servicio de custodia que
asegure el éxito de la llegada de la mercancía de modo tal que el
comprador acaba pagando el dinero y perdiendo el envío. Otro
cibercrimen económico que resulta necesario traer a colación, sobre todo
por su actualidad y capacidad lesiva es el denominado ransomware. este
cibercrimen no es propiamente un ciberfraude sino más bien una
ciberextorsión donde el ciberespacio es el nuevo medio intimidatorio utili
zado. De acuerdo con Choi, Scott, y LeClair (cHoi, K. s.; scott, t. M., y
leclair, D. p., “Ransomware against Police: Diagnosis of Risk Factors via
Application of Cyber-Routine Activities Theory”, en Criminal Justice
Faculty Publications, Paper 29, 2016, p. 253), el ransomware es “una
forma de malware que encripta todos los datos del sistema informático del
usuario, para luego denegarle el acceso a dicho sistema hasta que el rescate
es pagado”. En realidad, se trata de la extorsión realizada por los
33
cibercriminales consistente en la solicitud de importantes sumas
dinerarias a cambio de cesar en algún tipo de ciberataque o incluso
empezar a ejecutarlo. estas conductas parecen proliferar en relación con
las páginas web dedicadas a las apuestas y a los juegos de azar online, a
las que les interesa pagar cantidades no demasiado grandes a las mafias a
cambio de no sufrir un ataque de denegación de servicios o similares en
fechas concre tas (KsHetri, n., “The Simple Economics of Cybercrimes”,
en IEEE Security and Privacy. The IEEE Computer Society, quien cita
por ejemplo el pago de 30.000 dólares que desembolsó BetWWWTS.com
ante la posibilidad de no poder gestio nar más de cinco millones de dólares
durante el tiempo que la web iba a estar parada por el ciberataque). Este
tipo de ciberataque, que puede iniciarse bien a través de una falsa
actualización de antivirus, bien a través de la descarga de pornografía,
entre otras actividades, ha ido creciendo desde el año 2009 hasta la
actualidad de tal forma que ya no nos resulta extraño el nombre de “Wanna
Cry”, y cuyo alcance, como muchos otros ransomware, es prácticamente
global (véase o’gorMan, g.; McDonalD, g., “Ransomware: A Growing
Menace”, Syste matec Security Response. Disponible en internet en:
http://www.01net.it.
27 Gregg, D. G., y Scott, J. e., “The role of reputation systems in reducing
on-line auction fraud”, en International Journal of Electronic Commerce,
vol.
10,
nº
2,
2006.
28 Chiu, c.; Ku, y.; Lie, T., y Chen, y., “Internet Auction Fraud Detection
Using Social Network Analysis and Classification Tree Approaches”, en
IJEC,
vol.
15,
nº
3,
2011.
29 Chua, c. e. H., y WareHaM, J., Fighting Internet Auction Fraud: An
Assess
ment
and
Proposal
Computer,
2004.
30 Véase al respecto yar, M., Cybercrime and Society, Sage, London,
2006.
31 Las “cartas nigerianas” son un tipo de fraude en el que, mediante un
correo electrónico enviado por el estafador con la intención de engañar al
usuario, trata de interesar a la víctima con un potencial beneficio
patrimonial o se gana su confianza para que sea él mismo quien finalmente
realice el acto de disposición patrimonial. Aunque este tipo de fraude es
un fraude burdo, y además tampoco es nada nuevo, mantiene su vigencia.
Tal y como consta en la memoria de la Fiscalía General del estado del año
2016, en 2014 se llevó a cabo una investigación sobre “numerosos
locutorios de España a través de los cuales se canalizaba el envío de dinero
estafado en países de todo el mundo (…). A través de los denominados
‘locutorios’, se producía la recepción y remi sión de dinero desde y hacia
el extranjero, procedente de miles de ciudadanos extranjeros que habían
34
sido objeto de la estafa de las “cartas nigerianas” en sus diversas
variantes” (Fiscalía General Del Estado, Memoria de la Fiscalía General
del Estado, Centro de estudios Jurídicos, madrid, 2016, pp. 315-316).
32 Shadel, D., Outsmarting the Scam Artist: How to Protect Yourserl
From
the
most
Clever
Cons,
Wiley,
2012.
33 Stajano, F., y Wilson, p., “Understanding scam victims: Seven
principles for systems security”, en ACM, 2011, pp. 9 y ss.
34 El origen de esta denominación puede verse más extensamente en
JaKoBsson, M., Phishing and Countermeasures: Understanding the
Increasing Problem of Electronic Identity Theft, John Willey & Sons,
2005. Por su parte, Flor define el phishing como “una metodología de
ingeniería social dirigida a obtener informaciones personales, costumbres
o estilos de vida de otras personas, con el fin de acceder a servicios
financieros o bancarios on line, asumiendo virtualmente la identidad del
titular de los datos de identificación”, y añade posteriormente que a través
del mismo “Puede realizarse un hurto de datos, un abuso de información
personal o un fraude de identidad” (Flor, R., “Phishing y delitos
relacionados con el fraude de identidad: un World Wide Problem en el
World Wide”, en AA.VV., Robo de identidad y protección de datos,
Aranzadi, Pamplona, 2010, pp. 83 y 84). Las primeras manifestaciones de
ciberfraude tipo phishing fueron descritas en 1996 por el grupo de noticias
“alt.2600”, en un mensaje en el que se hacía referencia al phishing en el
ámbi to de la creación fraudulenta de cuentas de usuario de American
Online (AOL), tal y como describe Ollman (ollMan, g., The Phishing
Guide: Understanding and Preventing Phishing Attacks, informe Técnico,
nGSS, 2009, p. 6). estas cuentas robadas fueron denominadas phish y se
convirtieron a partir de 1997 en habitual moneda de cambio entre los
hackers, de modo tal que ciertas aplicaciones o juegos podían ser
intercambiados por un determinado número de cuentas AOL. en este
sentido, Gordon y Chess (Gordon, s., y Chess, D. M., Where There’s
Smoke, There’s Mirrors: The Truth about Trojan Horses on the Internet,
Virus bulletin Conference, 1998) llevaron a cabo una de las primeras
investigaciones sobre ataques masivos a consumidores de servicios en
inter net, tal fue el caso de los intentos de acceso a cuentas de AOL.
35 Véase Jaishankar, K., “Identity related Crime in the Cyberspace:
Exami ning Phishing and its impact”, en IJCC, vol. 2, enero-junio, 2008,
p. 12. Por otro lado, la ingeniería social nos refiere al empleo de la
identidad personal de otro (spoofing) mediante la falsificación de sitios
web, para conducir a los consumidores a que confíen en la veracidad del
mensaje y divulguen los da tos objetivos, mientras que cuando hablamos
de otros artificios técnicos nos referimos a, por ejemplo, redireccionar un
35
nombre de dominio de una página web verdadera situada en la memoria
caché del sujeto o de otro modo, a una página web falsas, o se monitoriza
la intervención del sujeto en la verdadera (véase Miró Llinares, El
cibercrimen,
cit.).
36 En sus inicios, esta técnica se centraba en el engaño a través de co rreos
electrónicos, con los que se pretendía obtener la respuesta del usuario
atacado, es decir, provocar la remisión de contraseñas o detalles de las tar
jetas de crédito. el nivel técnico de estos primeros ataques era
relativamente bajo; sin embargo, más tarde el aumento de la seguridad de
las entidades y organismos que hacían uso de las TIC, así como los
grandes beneficios ob tenidos con escaso esfuerzo y la escasa probabilidad
de detección del origen del fraude, devino en el incremento y refinamiento
del engaño y de la calidad técnica de los ataques (véase, a este respecto,
Dong, X.; clarK, J. a., y JacoB, J. l., Defending the weakest link: phishing
websites detection by analysing users behaviours, Telecommun Syst,
2010). Así, por ejemplo, en el año 2000 se comenzaron a utilizar los
keyloggers, un tipo de software que registra y memoriza en un fichero las
pulsaciones que se realizan en un teclado; en 2001 los phishers inciaron el
uso de UrL ofuscadas; en 2003 llevaron a cabo las primeras grabaciones
de contenidos en pantalla o screenloggers; en 2004 utilizaron por primera
vez una web falsa, y desde 2006 es habitual el phishing por VoiP (véase
ollMan, The Phishing Guide…, cit.). esta evolución no sólo ha modificado
las técnicas de engaño, propagación de mensajes o construcción de webs
falsas, sino que hoy día es incluso posible obtener kits de phishing en los
que se incluyen plantillas para mensajes de correo y webs, bases de datos
de destinatarios y técnicas para el blanqueo de dinero (véase Verisign,
Fraud Alert: Phishing. The Latest Tactics and Potential Business Impact,
White Paper, 2009. También ollMan, g., The evolution of commercial
malware development kits and colour-by-numbers custom malare,
Computer Fraud and Security, 2008; coVa, M.; Kruegel, c., y Vigna, g.,
There is no free phish: An analysis of free and live phishing kits,
Proceedings of the Second USENIX Workshop on Offensive
Technologies,
2008).
37 A modo de ejemplo, podemos encontrar el phishing tradicional, en el
que se utiliza una imagen corporativa de una entidad bancaria o de una
institu ción para solicitarle a la víctima por vía electrónica que envíe a una
dirección los datos bancarios requeridos (véase Fernández Teruelo, J. g.,
“Respuesta penal frente a fraudes cometidos en internet: estafa, estafa
informática y los nudos de red”, en RDPC, nº 19, 2007, pp. 217 y ss.);
también el spear phishing, como modalidad de phishing dirigido a
entidades bancarias u otro tipo de or ganizaciones concretas, y no a
36
objetivos indiscriminados; el business services phishing en el que esta vez
el objetivo son empleados de una organización, o el whaling, en el que el
phishing está dirigido a directivos o individuos perte nencientes a los
niveles altos de las organizaciones; el vishing, que consiste en la
utilización de mensajes de telefonía basada en voz sobre iP para conseguir
de la víctima información personal, financiera o cualquier otro tipo de
datos confidenciales, entre muchos otros (véase con profundidad Miró
Llinares,
El
cibercrimen…,
cit.,
pp.
76
y
ss.).
38 Hong, J., “The State of Phishing Attacks”, en Communications of the
ACM, vol. 55, nº 1, 2012, p. 74; HilVen, a., y WooDWarD, a., “How safe
is Azeroth, or, are MMORPGs a security risk”, Proceedings of the 5th
Australian
Information
Security
Conference,
2007.
39 Un ejemplo serían los mensajes en los que se requieren actualizaciones
de seguridad, se insta a completar información de cuentas para su manteni
miento, o se ofrecen incentivos financieros o falsas actualizaciones.
40 Tal es el caso de la venta de cuentas de usuario para juegos masivos
online o la venta de números de tarjetas de crédito, que han generado un
mercado negro de compraventa de información robada (KsHetri, The
Global
Cybercrime…,
cit.,
p.
13).
41 Cillin, c., “Identity Theft: A New Frontier for Hackers and
Cybercrime”, en Information Control Journal, vol. 6, 2005.
42 Felten, E. W.; Balfanz, D.; Dean, D., y WallacH, D. s., “Web Spoofing:
An Internet Con Game”, en Technical Report, Department of Computer
Science, new Jersey, Princeton University, 1996, pp. 540-596.
43 Chawki, M., y Abdel Wahab, M., “Identity Theft in Cyberspace: Issues
and Solutions”, en LE, vol. 11, nº 1, printemps/spring, 2006.
44
Miró
Llinares,
“La
oportunidad
criminal…”,
cit.
45 En la actualidad, se diferencian por lo menos cinco formas de spoofing:
IP Spoofing, en el que mediante la utilización de programas
específicamente destinados a ello se sustituye la dirección iP original por
otra; el ARP spoofing, en el que se falsean las denominadas tablas ArP de
una víctima para llevar a su sistema mAC a que envíe los paquetes al host
atacante en vez de a su destino; el DNS spoofing, en el que se modifica el
nombre de dominio-IP de un servidor DnS, aprovechando alguna
vulnerabilidad, lo cual se suele utilizar para el pharming, donde el sujeto
pone la dirección web de una entidad banca ria oficial y se remite a una
web falsa; el web spoofing, quizás el más común de todos estos ataques,
en el que a través de un enlace u otras formas de engaño, se hace pasar a
una página web, imitada y albergada en otro servidor, por la real, por
medio de un código que solicita la información requerida por el sistema
víctima a cada servidor original y remite a la web falsa, y, por último, es
37
el mail spoofing, consistente en la suplantación de la dirección de correo
electrónico de otras personas o entidades, utilizada generalmente para
enviar spam o como comienzo de la dinámica de ataque del phishing
(véase en profundidad isla cortes, J. i. M., “Seguridad en redes
informáticas” (2005), en Internet en http://cybertesis.uach.cl, pp. 88 y ss.).
46 Consejo De Europa, Convenio sobre la ciberdelincuencia, Serie de
Trata dos europeos nº 185. Disponible en internet en www.oas.org.
47 Clough, J., Principles of Cybercrime, Cambridge University Press,
Cam
bridge,
2010.
48 Vatis, M. A., “The Council of Europe Convention on Cybercrime”, en
Pro ceedings of a Workshop on Deterring CyberAttacks: Informing
Strategies and Developing Options for U. S. Policy, p. 207.
49 Arocena, G. A., “La regulación de los delitos informáticos en el Código
Penal argentino. Introducción a la Ley Nacional 26.288”, en Bol. Mex.
Der.
Comp.,
vol.
45,
nº
135,
2012.
50 La recomendación respecto de la estafa informática es del siguiente te
nor: “tipificar como infracción penal la conducta consistente en manipular
el ingreso, procesamiento o resultado de los datos de un sistema de
información, por medio de las Tecnologías de la información y la
Comunicación, y valiéndose de alguna operación informática, en perjuicio
de
tercero
y
con
ánimo
de
lucro”.
51 Disponible en internet en: https://eur-lex-europa-eu.ebook.21.edu.ar
52 Tales como la acción común 98/428/JAi, por la que se crea una red
judicial europea (DO L 191 de 7/7/98); la acción común 98/733/JAi,
relativa a la tipificación penal de la participación en una organización
delictiva en los estados miembros de la Unión europea (DO L 351 de
29/12/98); la acción común 98/699/JAI, relativa al blanqueo de capitales,
identificación, seguimiento, embargo, incautación y decomiso de los
instrumentos productos del delito (DO L 333 de 9/12/98); así como la
decisión de 29 de abril de 1999 por la que se amplía el mandato de Europol
en la lucha contra la falsificación de moneda y medios de pago (DO C 149
de
28/5/99).
53 Su implantación fue todo un éxito tal y como concluye el segundo
informe de la Comisión, que evalúa la efectiva implementación en las
legislaciones y que para el año 2006 consideró que “la mayoría de los
Estados miembros que han respondido a la comisión, en este segundo
ejercicio, cumplen explícitamente y, en algunos casos, implícitamente, la
decisión marco” (Disponible en internet en: https://eur-lex-europaeu.ebook.21.edu.ar).
54 Disponible en internet en: https://eur-lex-europa-eu.ebook.21.edu.ar
55
Disponible
en
internet
en
www.boe.es.
38
56 Poder Judicial De la provincia de Salta, Ciberdelitos. Guía. Disponible
en
internet
en
www.justiciasalta.gov.ar.
57 Riquert, M. A., “Algo más sobre la legislación contra la delincuencia
informática en Mercosur a propósito de la modificación al Código Penal
Argentino por ley 26.388”, en Centro de Investigación Interdisciplinaria
en Derecho Penal Económico, p. 58. Disponible en internet en
www.ciidpe.com.ar.
58 De acuerdo con ello, a partir de entonces el delito de estafa informática
del art. 248.2 sanciona a los que “con ánimo de lucro y valiéndose de
alguna manipulación informática o artificio semejante, consigan una
trasferencia no consentida de cualquier activo patrimonial en perjuicio de
otro”, a diferencia del delito de estafa común del art. 248.1, según el cual
“cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante
para producir error en otro, induciéndolo a realizar un acto de disposición
en
perjuicio
propio
o
ajeno”.
59 Miró Llinares, F., “Cibercrímenes económicos y patrimoniales”, en
Ayala Gómez, i., y Ortiz de Urbina Gimeno, Í. (coords.), Memento
Práctico Penal Eco nómico de la Empresa 2016-2017, Lefebre, Madrid,
2016.
60 STS nº 2175/2001, de 20 de noviembre; STS 692/2006, de 26 de junio.
61 Faraldo Cabana, p., “Los conceptos de manipulación informática y
artificio semejante en el delito de estafa informática”, en Eguzkilore, nº
21,
2007.
62 Y así creemos que también lo ha entendido el Poder Judicial de la na
ción, que condena por estafa informática o phishing cuando el sujeto
activo se vale del uso de sistemas informáticos para lograr el beneficio
económico en perjuicio de una víctima, tal y como se desprende de la
sentencia del Juzgado de instrucción nº 2, interlocutoria, Sala 6ª (4), causa
nº 39.779; o la sentencia de la Cámara Federal de Casación Penal, Sala iii,
causa
nº
CCC
51772/2011/
T01/CFC1.
63 Galán Muñoz, a., El fraude y la estafa mediante sistemas informáticos.
Análisis del artículo 248.2 CP, Tirant lo Blanch, Valencia, 2005.
64 Rovira Del Canto, E., Delincuencia informático y fraudes informáticos,
Comares,
Granada,
2002.
65 Miró Llinares, “Cibercrímenes económicos…”, cit.; “La respuesta
penal”, cit.; Faraldo Cabana, “Los conceptos…”, cit.; Arocena, G. a., “La
regulación de los delitos informáticos…”, cit.; “Acerca del principio de
legalidad penal y de hackers, crackers, defraudadores informáticos y otras
rarezas”,
en
Ley,
Razón
y
Justicia,
nº
6,
2002.
66 Mata Martín, r. M., Delincuencia informática y Derecho Penal,
edisofer,
Madrid,
2001.
39
67 Faraldo Cabana, P., Las nuevas tecnologías en los delitos contra el
patrimonio y el orden socioeconómico, Tirant lo Blanch, Valencia, 2009.
68 Así lo advierte Faraldo Cabana (ídem, pp. 90 y 91), quien dice que “ni
se engaña a una persona física ni la transferencia del activo patrimonial es
realizada por la víctima o un tercero a consecuencia del error ocasionado
por
el
engaño,
sino
por
el
propio
autor”.
69 Al fin y al cabo, el acto de disposición patrimonial no es la venta de la
cosa, sino el dinero que es utilizado por el sujeto activo para comprarla en
perjuicio del titular de la tarjeta de crédito; por lo que no puede decirse
que hay un acto de disposición patrimonial, ni del perjudicado (que no
interviene),
ni
del
que
realiza
la
venta.
70 Véase Miró Llinares, “La respuesta penal…”, cit.; “Cibercrímenes
económicos…”,
cit.
71
Ibídem.
72 Así, FERNÁNDEZ Teruelo, “La respuesta penal…”, cit., p. 238, quien
reconduce esta conducta a la estafa común porque considera que en el
phishing no se produce una manipulación informática en el sentido de que
“no se trata de alteración de elementos físicos ni de programación ni
introducción de datos falsos. Quien ha obtenido las claves (auténticas) y
las utiliza desde su propio ordenador, para realizar una transferencia a su
favor o de un tercero (cambio de titularidad de los activos) a través de la
red, no ha alterado elemento físico o de programación alguno”, lo cual lo
lleva a decir que sostener, entonces, que existe en tales supuestos una
manipulación informática parece más bien forzar “el sentido de las
palabras más allá de lo lícitamente admisible”; también Fernández
Teruelo, J. G., Derecho penal e Internet. Especial consideración de los
delitos que afectan a jóvenes y adolescentes, Lex nova, Valladolid, 2011.
73 Gallego Soler, J. I., “Delitos contra el patrimonio y contra el orden
socioeconómico”, en Corcoy Bidasolo, M., y Mir Puig, S. (dirs.),
Comentarios al Código Penal. Reforma LO 1/2015 y LO 2/2015, Tirant
lo
blanch,
Valencia,
2015.
74 De hecho, esto es lo que diferencia el phishing de los ya mencionados
ataques scam, como el de las cartas nigerianas, en los que se envía un
correo prometiendo generalmente el envío de importantes cantidades de
dinero a cambio de que el sujeto pasivo ingrese en una cuenta corriente,
una cantidad económica: aquí sí hay una estafa común cuando es el propio
engañado el que realiza el acto de disposición patrimonial que lo
perjudica.
75
Véanse
las
SSTS
nº
21175/2001
y
1476/2004.
76 Tanto los grupos organizados tradicionales que actúan en el ciberes
pacio como los cibergrupos organizados se sirven, para la realización de
40
sus actividades, de las denominadas cibermulas (véase cHoo, K. K. r.,
“Organised crime groups in cyberspace: a typology”, en TOC, nº 11,
2008). Las cibermulas son reclutadas por internet bajo la promesa de la
recepción de importantes cantidades de dinero que tienen que transmitir
quedándose un tanto por cien to como ganancia. Generalmente estas
cibermulas son las únicas detenidas por estos delitos y pueden ser hechas
responsables de los mismos como cooperadores necesarios o cómplices
(Miró
Llinares,
El
cibercrimen…,
cit.).
77 es importante destacar que no actúa propiamente como un mulero el
sujeto que realiza las transferencias por medio de internet, puesto que la
forma de lograr el éxito del delito exige realizar la transferencia
personalmente, sacando el dinero de la cuenta bancaria y enviándolo por
alguno de los sis temas de transmisión económica no electrónicos. De
hecho, es significativa en este sentido la Sentencia de la Audiencia
Provincial de Madrid (Sección 15ª), nº 400/2008 de 10 de septiembre de
2008, que absuelve a los acusados por los delitos de estafa informática,
por considerar que no se da la conducta de phishing en la realización de
transferencias bancarias hechas a través de internet desde el ordenador de
los acusados, quienes carecen de los conocimientos informáticos y medios
para ello, siendo muy posible que su ordenador haya sido infectado por un
“troyano”, a través del cual se hubiera puenteado la transferencia.
78 en este sentido, la memoria de la Fiscalía General del estado del año
2016 reconoce respecto de la investigación de los delitos de estafa
informática que “España se limita, en múltiples ocasiones, a la
investigación y enjuicia miento de las personas que actúan como mulas y
que son las encargadas de recepcionar las transferencias y remitirlas a los
artífices y coordinadores de la actividad defraudatora y respecto de las
cuales, en no pocas ocasiones, se encuentran dificultades para acreditar su
conocimiento o la intencionalidad dolosa o imprudente de la participación
criminal (Fiscalía General del estado, Memoria…, cit., p. 603).
79 Aunque en España podemos encontrar algún pronunciamiento judicial
que condena por el delito de estafa común como la SAP Zaragoza nº
208/2012,
de
7
de
junio
de
2012.
80 Velasco Núñez, E., “Fraudes informáticos en red: del phishing al
pharming”,
en
La
Ley,
nº
37,
año
iV,
2007.
81 Es el caso de la sentencia de la Audiencia Provincial de Valladolid
(Sección 4ª) nº 263/2010 de 21 de junio, que absuelve de la estafa a los
dos sujetos que ponen a disposición de un tercero las cuentas corrientes
propias para la realización de ingresos de dinero, que luego son
transferidos a otras cuentas, percibiendo un porcentaje por cada
transferencia. Sin embargo, sanciona los hechos como un delito de
41
blanqueo de capitales en su modalidad imprudente, porque considera que
no es aceptable que considerasen verosímil que una empresa repartiese
beneficios lícitos de un modo tan poco convencional y necesitando
intermediarios, por lo que la actitud de los imputados de no “querer
plantearse (con deliberada ignorancia) qué trascendencia puede tener el
trabajo realizado ni el origen de las sumas de dinero que van a transferir,
y de hecho transfieren, a Kiev”, debe considerarse una negligencia que
propicia “que un dinero procedente de una estafa informática encuentre la
vía para no ser recuperado, cuando, los acusados, con un mínimo de
diligencias o cuidado, podrían haber evitado el daño patrimonial que se
produjo”.
82 entre otras como la SAP Sevilla nº 174/2012, de 22 de marzo; la SAP
Asturias nº 148/2012, de 11 de noviembre; SAP de León nº 186/2011 de
29 de julio; SAP Málaga de 13 de octubre de 2013.
83 Miró Llinares, “Cibercrímenes económicos…”, cit. Al fin y al cabo, y
frente a lo que señala la sentencia de la Audiencia Provincial de Valladolid
de 21 de junio de 2010, nº 263/2010, el delito de estafa se está consumando
cuando se ingresa el dinero de una cuenta corriente a otra, que por tanto
ya existe, y que es titularidad del mulero del phishing que debe, entonces,
sacar
el
dinero
y
enviarlo
al
destinatario.
84 esto es, una serie de sujetos son convencidos por otros, no procesados
en la causa, para participar en una determinada actividad, consistente en
quedarse unas determinadas cantidades de dinero, enviando otras a sujetos
indeterminados.
85 esto dio lugar al inicio de una cuasi doctrina jurisprudencial que parece
haberse impuesto definitivamente en las Audiencias Provinciales. Véanse
por ejemplo la Sentencia de la Audiencia Provincial de Madrid de 8 de
febrero de 2016; la Sentencia de la Audiencia Provincial de Castellón de
la Plana de 30 de septiembre de 2015; la Sentencia de la Audiencia
Provincial de Logroño de 3 de diciembre de 2013 o la Sentencia de la
Audiencia Provincial de Madrid de 22 de enero de 2009, confirmada esta
última resolución por la Sentencia del Tribunal Supremo de 16 de marzo
de
2009.
86 Véase al respecto, Miró Llinares, F., Conocimiento e imputación en la
participación delictiva. Aproximación a una teoría de la intervención
como partícipe en el delito, Atelier, Barcelona, 2009.
87 Miró Llinares, “Respuesta penal….”, cit.
El delito de acceso ilegítimo a un sistema informático
42
Pablo A. Palazzi
1. La reforma de la ley 26.388 -
La reforma de la ley 26.388 incorporó como art. 153 bis del Código Penal
el siguiente: “Será reprimido con prisión de quince días a seis meses, si
no resultare un delito más severamente penado, el que a sabiendas
accediere por cualquier medio, sin la debida autorización o excediendo la
que posea, a un sistema o dato informático de acceso restringido. La pena
será de un mes a un año de prisión cuando el acceso fuese en perjuicio de
un sistema o dato informático de un organismo público estatal o de un
proveedor de servicios públicos o de servicios financieros”.
2. Antecedentes y nociones generales -
En otra ocasión hemos resaltado la importancia de la figura de acceso
ilegítimo a sistemas informáticos1. Señalamos, además, la falta de
adecuación típica en nuestro sistema legal, conforme lo acreditaron
numerosos fallos. Estos casos ocurren cada vez con mayor frecuencia,
tanto en nuestro país2 como en el mundo3, y plantean la necesidad de
legislar el acceso ilegítimo a sistemas informáticos, pues en algunos casos
el acceso no autorizado a un ordenador a título de simple juego puede
ocasionar grandes catástrofes4.
El acceso ilegítimo es el delito de los hackers. Los hackers han hecho del
acceso a los sistemas informáticos en forma no autorizada un culto y un
deporte competitivo. El hacking comenzó en la década del sesenta con la
manipulación de los teléfonos. Siguió con los BBS, los sistemas
telefónicos digitales, y llegó a internet.
No todos condenan unánimemente al hacking como delito. Existe una
gran defensa del movimiento, argumentando que hay un hacking ético o
legal y otro ilegal5, siendo la línea a veces de difícil diferenciación. Esta
idealización del hacker fue llevada a libros y películas6 impulsando aún
43
más este ideal. Tanto es así que hoy en día el mercado informático está
repleto de personas que abiertamente se autodenominan hackers y se
dedican a detectar “agujeros” tecnológicos de seguridad en empresas,
sitios de internet, y organizaciones públicas. A veces las supuestas
víctimas están agradecidas porque logran solucionar el problema, otras no
tanto cuando ello lleva a otros delitos.
El hacking también se ha utilizado como herramienta política.
Se ha debatido la legalidad de la publicación de informes y libros sobre
hacking, y el hecho de dictar clases sobre estos temas7. En la práctica esto
sucede porque las herramientas para “entrar” a un ordenador como las
formas de explicar cómo hacerlo tienen usos duales. Se pueden usar para
bien o para mal.
Pero esta visión melancólica del hacking contrasta con las organizaciones
mafiosas existentes detrás del hacking organizado. Se calcula que todas
las mafias importantes del mundo ya se valen del hacking como forma
adicional de recaudación, dejando de lado otras actividades más
tradicionales8. Se ha llegado a afirmar que el cibercrimen es tanto o más
rentable que el tráfico de drogas9.
Los problemas del hacking se han internacionalizado, y esta es una de las
cuestiones más complejas porque requiere que los países se pongan de
acuerdo sobre puntos muy sensibles –soberanía, garantías
constitucionales, extradición– que llevan mucho tiempo resolver. Se va a
necesitar mucho soft law para sellar acuerdos en forma más rápida, ya que
los años que llevó negociar el Cybercrime, más los años de entrada en
vigencia y de implementación, son una eternidad en tiempos de internet.
Cabe destacar que son numerosas las jurisdicciones que penalizan el
denominado intrusismo informático.
Entre las jurisdicciones que han legislado la figura de acceso ilegítimo se
encuentran Estados Unidos, Alemania, España10, Francia, Italia, Canadá,
México y Colombia, por citar los casos más importantes.
44
En los Estados Unidos, además de existir una legislación federal, también
se ha previsto en las leyes estaduales de delitos informáticos.
En nuestro país se habían presentado numerosos proyectos para legislar
esta figura antes de la reforma de la ley 26.38811.
Como es dable apreciar, esta figura está ampliamente difundida en el
derecho comparado, y sus rasgos esenciales son que se penaliza el mero
acceso, con independencia de que luego se cometan otros delitos.
No obstante ello, este tipo puede ser controvertido en algunos casos y por
eso no se encuentra exento de cuestionamientos doctrinarios debido a la
criminalización del mero acceso sin crear otra clase de daño12.
Como nota adicional señalamos que en el derecho comparado también se
ha cuestionado este tipo de delitos.
Concretamente, en los Estados Unidos el profesor Orrin Ker13 ha
criticado la aplicación de la Computer Fraud and Abuse Act a supuestos
no previstos inicialmente por esta ley. Esta norma fue modificada cinco
veces desde su sanción inicial en el año 1984. La incesante
informatización de la sociedad hizo que se recurriera a ella en más de una
ocasión. Por ejemplo, en el caso “United States c. Drew”14, se intentó
aplicar este tipo penal a la mera violación de los términos y condiciones
de uso de una red social (en el caso www.myspace.com) para interpretar
la existencia de un acceso no autorizado. Kerr sostiene que estas
interpretaciones tan amplias hacen que la norma caiga en una posible
inconstitucionalidad por vaguedad y propone que los tribunales realicen
una aplicación limitada y estricta del tipo penal.
3. Bien jurídico protegido -
45
Mediante el art. 153 bis del Código Penal se ampara la reserva, la
confidencialidad y el derecho a la privacidad del titular del sistema y del
dato informático. Este puede ser tanto una persona natural como una
jurídica. Ello puede resultar difícil de comprender cuando se trate de la
segunda, como sucederá en la mayoría de los casos, o una sociedad
comercial.
Pero cabe recordar que estas también tienen un derecho a la reserva y al
secreto de sus papeles privados15, y a la protección de sus datos
personales, y hoy en día esos papeles están almacenados en su gran
mayoría en ordenadores, por lo que las prohibiciones de acceso tienden a
amparar estos registros informáticos.
4. Acción típica La acción punible consiste en “acceder por cualquier medio” a un sistema
o dato informático de ingreso restringido.
La razón de esta prohibición es que la entrada no autorizada suele ser la
antesala para la comisión de otros delitos como la estafa, el daño, la
sustracción de datos personales, de claves o de secretos comerciales. En
esa inteligencia, el legislador estableció que sólo resultará de aplicación
esta figura “si no resultare un delito más severamente penado”. Si están
presentes algunos de los delitos mencionados, estos desplazarán a la figura
que analizamos.
El texto legal hace referencia a “sistema o dato informático de acceso
restringido”, puesto que no se prohíbe acceder a sistemas o redes abiertas,
o al contenido publicado en un sitio de internet de acceso público (como
lo son la gran mayoría). Será de acceso restringido porque tiene alguna
medida de seguridad que impida el libre ingreso. Para ello, deberá tener
que sortearse esta protección; de lo contrario, si es un dato o sistema de
libre acceso16, no habrá delito. Si no se interpreta de esta forma el tipo
penal, entendemos que se caería en el absurdo de sancionar a quienes
navegan por internet entrando a sitios públicos.
46
El sistema o dato informático de acceso restringido es un ordenador o un
conjunto de informaciones que no se encuentran fácilmente accesibles
porque no están conectados a una red, o porque se hallan protegidos con
una clave de acceso u otro tipo de barrera de seguridad. El término
“restringido” se opone a libre acceso. Hubiera sido mejor que el legislador
diera más detalles sobre la situación en que debían encontrarse el sistema
o el dato informático (por ejemplo, que tenga medidas de seguridad que
lo protejan). La existencia de estos recaudos tiende a evitar algún planteo
de inconstitucionalidad de la norma17.
El término “restringido” no debe entenderse como un elemento fáctico,
sino como uno normativo del tipo penal. Nos explicamos. Cualquier
persona con conocimientos avanzados de informática puede acceder a un
ordenador ajeno conectado a internet, esto sucede todos los días, es una
posibilidad. Pero no debe hacerlo, pues es propiedad ajena. Por eso el
término “restringido” está orientado a resaltar la obligación de no ingresar
en un ordenador extraño. No se tiene derecho a acceder a dicho sistema
informático, y por eso se lo define como de acceso restringido.
Se penaliza la entrada por cualquier medio, por ende, este acceso no
necesariamente debe ser remoto. Este puede consistir en sentarse frente al
ordenador amparado por esta figura e ingresar al mismo tomando
conocimiento de su contenido, leyendo el “dato”18 que está en la
pantalla19, o copiando archivos o software para acceder después a su
contenido. Pero no requiere ninguna acción adicional (p. ej., copia o
borrado o reenvío de datos), es decir, se consuma por el mero acto de
acceder a los mismos, con independencia de que luego se cometan otros
delitos. Se trata, entonces, de una figura de peligro.
La informática nos plantea todo el tiempo nuevas situaciones en las cuales
las normas vigentes suelen no encajar adecuadamente. Por ejemplo, un
programador ha desarrollado un software denominado Firesheep,
destinado a demostrar las vulnerabilidades de las redes wi-fi. El software
capta el tráfico de una red wi-fi y graba la cookie usada para “loguearse”
en sitios como Facebook, Twitter, Amazon, etc., aprovechando que la
cookie identifica esa sesión del usuario. Como lo único que viaja
encriptado en la red es la clave y el usuario pero no la cookie que identifica
la sesión, el programa hace que el usuario ingrese a estos sitios como si
fuera otro usuario20.
47
¿Es esto un acceso ilegítimo a un sistema informático? En mi opinión, si
se llegara a considerar que la página personal de un usuario de Facebook
o Twitter es un sistema informático, se podría categorizar este accionar
como un acceso no autorizado.
5. Supuestos especiales -
Si el acceso es remoto, es factible realizarlo de diversas maneras. El sujeto
activo podrá conectarse remotamente a través de una red interna o externa
de una empresa, e ingresar con una clave de acceso no permitida o
sustraída. Podrá también ingresar indirectamente, esto es, sin recorrer
personalmente los archivos del ordenador, sino enviando un software que
se instale y logre introducirse al ordenador o sistema informático o a
ciertos archivos.
5.1. Spyware
En esta categoría entran los programas espías para espionaje industrial y
el spyware, que se instala sin permiso del titular en un ordenador, o se
instala con cierto consentimiento (por ejemplo, porque viene con un
programa de “regalo”) y luego, excediendo dicha autorización, accede
adonde no debía (o copia datos personales, lo cual podrá constituir otro
delito, p. ej., art. 157 bis, Cód. Penal, o violación de secretos comerciales,
según ley 24.766).
Podemos diferenciar dos clases de spyware a los fines de analizar su
aplicabilidad a esta norma: los utilizados para recoger datos personales y
enviar publicidad al consumidor y los destinados a evitar que el usuario
haga algo ilícito y proteger así la propiedad intelectual, por ejemplo, que
copie un disco de música mediante algún programa especial.
En el primer caso, si no existe consentimiento del titular, podría resultar
aplicable el art. 153 bis del Cód. Penal. Para ello debe entenderse cómo
funcionan estos programas espías. Los programas espías o spyware son
48
aplicaciones que recopilan información sobre una persona u organización
sin su conocimiento. La función más común que tienen estos programas
es la de recopilar referencias sobre el usuario y distribuirlas a empresas
publicitarias u otras organizaciones interesadas y, por ende, constituyen
una amenaza a la privacidad de aquel21.
Un programa spyware puede acceder a numerosos datos personales y
privados22. Los programas espías pueden instalarse en un ordenador
mediante un virus informático, un troyano que se distribuye por correo
electrónico o bien puede estar oculto en la instalación de un programa
aparentemente inocuo (como suele suceder con la mayor parte del
spyware comercial con fines de publicidad). Los software de recolección
de datos instalados con el conocimiento del usuario no son realmente
espías si el usuario comprende plenamente qué datos se recopilan y a
quiénes se distribuyen.
En el segundo caso, esto es, el spyware destinado a proteger propiedad
intelectual, quien distribuye el programa sin advertir del acceso indebido
puede entrar en una “zona gris” en materia legal. Los tribunales
norteamericanos, en decisiones civiles, han considerado que el spyware
puede constituir acceso ilegal al ordenador23.
Asimismo, aunque no constituyó un caso penal, recordamos en tal sentido
el caso “Sony BMG”, en el cual se descubrió que la referida empresa había
incluido un rootkit en sus discos de música, que se instalaba sin el
adecuado aviso al usuario para evitar que este “ripeara”24 el disco25. En
todo caso, si los jueces consideran, a los fines del art. 153 bis del Código
Penal, que instalar un software sin permiso equivale a “acceder por
cualquier medio, sin la debida autorización (...) a un sistema (...)
informático”, será crucial analizar el efecto del consentimiento y la
información que el distribuidor da al consumidor.
5.2. Cookies
Distinto es el caso de los cookies. Estos archivos se generan “por defecto”,
en la mayoría de los casos, y sirven para identificar a usuarios y mejorar
49
la experiencia de navegación. Por ende, al estar así seteados los
navegadores, existe una presunción de consentimiento26.
Los cookies son archivos en los que se almacena información sobre un
usuario de internet en su propio ordenador, y se suelen emplear para
asignar un número de identificación individual a los visitantes de un sitio
de internet para su reconocimiento subsiguiente27. La existencia de
cookies y su uso generalmente no están ocultos al usuario, quien puede
desactivar el acceso a la información de los cookies. Sin embargo, un sitio
web puede emplear un identificador cookie para construir un perfil de un
usuario sin que este conozca la información que se añade a este perfil. Así,
las empresas de internet realizan un verdadero data mining de lo que se
hace en la web.
Por ejemplo, un motor de búsqueda puede asignar un número de
identificación individual al usuario la primera vez que visita la página, y
puede almacenar todos sus términos de búsqueda en una base de datos con
su número de identificación como clave en todas sus próximas visitas,
hasta que el cookie expira automáticamente o es eliminado por el
usuario28.
Estos datos pueden emplearse para seleccionar los anuncios publicitarios
que se mostrarán al usuario, o ser transmitidos (legal o ilegalmente) a otros
sitios u organizaciones. Estas técnicas de marketing masivo son cada vez
más utilizadas en internet29, pero en modo alguno constituyen el delito
previsto en el art. 153 del Código Penal. A lo sumo, si son realizadas sin
el adecuado consentimiento y notificación de la finalidad, podrán
constituir una infracción administrativa a la Ley de Protección de Datos
Personales.
Si el usuario consiente, de alguna forma, y acepta que accedan a su
sistema, o por ejemplo si instala software para una red peer to peer que
permite que ingresen a su ordenador, tampoco estaremos frente a una
acción típica.
Finalmente, tenemos el supuesto del uso de bots o spiders para acceder a
un servidor. Estos supuestos no caben dentro de la figura del art. 153 bis,
50
pues lo único que suelen hacer es acceder a un servidor abierto. Por ende,
no se entra a un sitio de acceso restringido, como manda la norma. Estos
bots pueden usarse para realizar ataques por denegación de servicios y así
lograr obstruir un sitio de internet, o para copiar datos e informaciones. El
tipo penal que resulta aplicable a estas situaciones es el del art. 197 del
Código Penal, como comentamos al analizar dicha norma. También
pueden usarse para sustraer información de competidores y usarla
económicamente. En estos casos, la protección podrá venir de la mano del
derecho de autor (ley 11.723) (si se lo considera una compilación) o de la
competencia desleal (art. 159, Cód. Penal)30.
5.3. Acceso ilegítimo y ethical hacking
La propuesta del art. 153 bis del Cód. Penal causó alarma, inicialmente,
en más de un experto en seguridad informática que consideró que la norma
en cuestión podría aplicarse al ethical hacking31 o al testeo que expertos
de seguridad realizan de las falencias de redes informáticas mediante
herramientas de software dedicadas a tal fin, que permiten acceder sin
permiso, “pescar” claves, puertos abiertos en una red u ordenador, etc. En
la jerga informática se los conoce como “penetration testers”32 y estas
empresas suelen estar en muchos casos formadas por ex hackers.
Esto último puede tener lugar en el ámbito de la investigación académica,
casera y empresaria sobre virus informáticos, empresas de seguridad que
testean sistemas de bloqueo, firewalls, y un largo etcétera de usos lícitos
que pueden tener estas tecnologías de “hacking ético”. Sucede que la
configuración de sistemas no es una ciencia tan exacta como parece y la
única forma de detectar vulnerabilidades en los sistemas informáticos es
buscándolas, testeando las fallas y reparándolas. Por eso es muy
importante compartir información y experiencias en la materia y a ella
apuntan, entre otras razones, las propuestas de blanquear en todo momento
las fallas de seguridad de un sistema operativo.
Si el acceso ocurre con consentimiento del dueño o titular de la red que
está siendo testeada, existe una autorización por parte de este, con lo cual
no se da el elemento del tipo que requiere que ello ocurra “sin la debida
autorización o excediendo la que posea”. Esta autorización no necesita
ninguna formalidad (v.gr., puede ser dada en forma verbal, por medio de
51
un correo electrónico o en forma telefónica, lo cual será luego una cuestión
de prueba), pero generalmente se verá reflejada en un contrato de servicios
de seguridad informática. De hecho, a partir de la reforma es
recomendable que exista tal documento de autorización de acceso firmado
previamente al acceso por un representante legal de la empresa33.
El delito que estudiamos se configura con el acceso no autorizado, pero
no con la divulgación de información sobre seguridad informática que
ayude a él. No hay delito si una persona divulga por cualquier medio las
fallas de un programa o red, de modo tal que permitan a terceros entrar en
ese sistema. Con frecuencia, investigadores de todas partes del mundo
suelen publicar estas falencias en blogs o en sitios especializados, lo que
da comienzo a una carrera entre la empresa afectada, que debe liberar un
“parche” para subsanar ese error, y los hackers que intentan ingresar
ilícitamente al sistema a través de este nuevo punto débil. A veces la
vulnerabilidad se revela en una conferencia34, donde los investigadores
comparten sus hallazgos. Estas publicaciones están amparadas por la
libertad de expresión y en modo alguno constituyen el hecho ilícito del
art. 153 bis del Cód. Penal. Pese a no ser delito, en algunos casos se han
intentado medidas cautelares para evitar que se libere esta información
sensible por el riesgo a la seguridad que pueden producir35.
5.4. Supuesto del empleador que accede a su sistema informático propio
Por las mismas razones que expresamos al analizar la figura de la apertura
de correos electrónicos, consideramos que el empleador que en ciertas
situaciones accede a los sistemas informáticos propiedad de la empresa
asignados al trabajador, no comete el delito de acceso a un sistema
informático debido a que no hay ilicitud en tal accionar. Ello incluye
ingresar al disco rígido de un ordenador destinado a un determinado
trabajador, o a los programas allí instalados (agenda, procesadores de
texto, bases de datos, planillas de cálculo, correo electrónico, etc.), así
como a los datos e información allí almacenado.
El fundamento de este acceso es el derecho de propiedad. Las
herramientas de trabajo le pertenecen al empleador, quien tiene un
derecho de inspección sobre estas. Los accesos se pueden dar en diversas
situaciones y motivos. Pueden ser rutinarios, por ejemplo, cuando el
52
departamento de sistemas necesita monitorear los ordenadores para evitar
la inserción de programas no autorizados o ilegales, o para realizar una
copia de respaldo de los datos (back up), o bien para cambiar la
configuración de un ordenador, o arreglar un desperfecto. En caso de un
conflicto laboral, este acceso puede ser necesario, por ejemplo, para
descartar o verificar un fraude, o un desvío de secretos empresariales o de
información confidencial.
En estos últimos supuestos, el acceso será esencial para el empleador para
recolectar, notarizar y preservar pruebas para un eventual litigio laboral o
penal. En este caso, a diferencia del relativo al correo electrónico (que no
deja de ser un medio de comunicación personal), consideramos que ni
siquiera es necesario incluir tal previsión en el reglamento de empresa, ni
requerir el consentimiento o notificación al empleado36, puesto que,
como se señaló, se trata de propiedad de la empresa.
Sin embargo, distinto es el caso si el trabajador aporta su propio ordenador
a la empresa (ej. una laptop) que conecta a la red de aquella. En este
supuesto, el ordenador es propiedad del empleado, y más allá de que los
contenidos de los correos o archivos puedan ser propiedad de la empresa,
se requerirá el consentimiento del mismo para ingresar a ese ordenador,
ya sea en forma directa, o por la conexión que este tiene a la red.
5.5. Ingeniería reversa y medidas de protección tecnológicas
La figura del acceso ilegítimo prevista en el art. 153 bis del Código Penal
no está destinada a prohibir la ingeniería inversa o reversa de sistemas
informáticos, hardware o programas de ordenador37.
La ingeniería inversa consiste en la obtención del conocimiento y del
diseño de cualquier cosa que el hombre haya diseñado38. Se ha escrito
que su objetivo es obtener información técnica a partir de un producto
accesible al público, con el fin de determinar de qué está hecho, qué lo
hace funcionar y cómo fue fabricado. Los productos más comunes que son
sometidos a ella son los programas de ordenador y los componentes
electrónicos, pero también puede aplicarse a teléfonos móviles, sistemas
informáticos, bases de datos, websites y redes sociales39.
53
Por ejemplo, un usuario legítimo puede realizar numerosas operaciones
tales como:
– “abrir” un programa informático adquirido legalmente con el fin de
corregirle un error o permitir que “corra” en otro sistema operativo;
– “abrir” un contenido legalmente adquirido (p. ej., un DVD) para poder
leerlo en otra plataforma diferente si está encriptado originariamente, o
para “correrlo” en la consola de juegos de la competencia40;
– “abrir” un teléfono móvil para poder hacerlo funcionar en otro
proveedor distinto al original41;
– “abrir” una rutina de filtrado de contenidos en internet para averiguar
qué sitios filtra y “si filtra de más o de menos” sitios inocentes42;
– adaptar una consola de videojuegos43;
– usar un programa para obtener la clave olvidada de una cuenta de correo
electrónico propia44.
Estas acciones no necesariamente pueden ser realizadas por un usuario,
sino también por un competidor45. El listado es inagotable y se extiende
a todas las situaciones en las cuales una persona haya adquirido
legítimamente una cosa.
Como es dable observar, muchas de ellas están relacionadas con la
protección de la propiedad intelectual de programas de ordenador, a través
de normas tales como el derecho de autor o de patentes, que la reforma de
la ley 26.388 no abordó. El bien jurídico protegido por la figura que
estudiamos (art. 153 bis, Cód. Penal) es la privacidad y la confidencialidad
de un espacio informático. Por ende, partiendo del bien jurídico
54
penalmente protegido, está claro que cualquier intento de utilizar esta
figura para frenar un acto de ingeniería inversa legítimo46 no debería
tener recepción judicial.
Una vez que cierta tecnología (no patentable) es puesta al alcance de un
competidor, por medio de comercialización de bienes y servicios, será
imposible determinar en qué medida se ha llegado a tal tecnología por vía
de ingeniería inversa o de esfuerzos propios de personas ajenas al creador
original de la tecnología. Si se diera un derecho exclusivo al primer
creador de la tecnología, se originaría en definitiva un régimen paralelo al
derecho de patentes, el cual requiere, para tener bases razonables y no
crear obstáculos insalvables a la circulación de tecnología, límites bien
definidos para el otorgamiento de derechos exclusivos a favor del creador
de conocimientos técnicos47.
Si el delito de acceso ilegítimo se utiliza como freno para este tipo de
acciones, se estaría indirectamente creando un derecho de propiedad
intelectual basado en el derecho de prohibir el acceso a ese know how o a
controlar el acceso al mismo48.
La Ley de Patentes contiene excepciones para experimentaciones no
comerciales antes del vencimiento del plazo de protección49 y en derecho
de autor comparado, algunos casos de ingeniería reversa con fines de
competencia suelen ser lícitos, con fundamento en la doctrina
estadounidense del fair use50. Numerosos fallos judiciales han amparado
la ingeniería reversa en los Estados Unidos51.
Las medidas de protección tecnológica, que limitan en cierto modo la
ingeniería inversa, fueron introducidas en el Tratado de Derecho de Autor
de la OMPI del año 1996 (TODA/WCT), que la Argentina aprobó por ley
25.140, pero que todavía no reglamentó ni en el ámbito civil ni en el penal.
Entendemos que será en esta legislación donde se deberá legislar el acceso
no autorizado a obras intelectuales, como acto de elusión de medidas de
protección tecnológica que el Tratado obliga a sancionar. Ahora bien, la
falta de reglamentación legislativa impide que exista delito, pues, como
bien señaló la Corte Suprema en el caso “Autodesk”52, la obligación
internacional prevista en un tratado internacional no alcanza para crear un
55
delito (en el caso se trataba de la reproducción de programas de ordenador
sin autorización de su autor).
Al no haber ley del Congreso que sancione penalmente en forma
específica el acceso no autorizado a obras intelectuales sujetas a una
medida de protección tecnológica, mal podría aplicarse el tipo penal del
art. 153 bis del Código Penal a estos casos (sin perjuicio de que resulte
aplicable a un caso de reproducción no autorizada de obras intelectuales).
En los Estados Unidos, en cambio, las medidas de protección tecnológica
fueron sancionadas por la ley conocida como Digital Millennium
Copyright Act (DMCA), cuya aplicación en algunos casos puntuales fue
muy controvertida53. En la Unión Europea se introdujeron a través de la
Directiva 2001/29/EC, del 21/5/01.
La principal crítica que reciben los sistemas DRM consiste en que pueden
ser utilizados como una ley que penaliza el ingreso al propio ordenador, y
que limita el derecho de los ciudadanos a “jugar” y experimentar con
tecnología lícitamente adquirida54. Adicionalmente, se critica que la
aplicación del DRM permite proteger de hecho datos e informaciones que
no constituyen obras intelectuales, creando una suerte de “privatización”
de la normativa de derecho de autor.
5.6. Cloud computing y acceso ilegítimo a la “nube”
La computación en la nube o informática en la nube55, del inglés cloud
computing, es una nueva modalidad que permite ofrecer servicios de
computación a través de internet. Cloud computing es un nuevo modelo
de prestación de servicios de negocio y tecnología que permite al usuario
acceder a un catálogo de servicios estandarizados y responder a las
necesidades de su negocio de forma flexible en caso de demandas no
previsibles o de picos de trabajo, pagando únicamente por el consumo
efectuado.
El cambio paradigmático que ofrece la computación en la nube es que
permite usar el software directamente del servidor. Asimismo, no se
56
necesita actualizar los programas cada dos años; esto ocurre
automáticamente online. La computación en la nube es un concepto que
incorpora el software como servicio, como en la Web 2.0 y otros
conceptos recientes, también conocidos como tendencias tecnológicas,
que tienen en común el que confían en internet para satisfacer las
necesidades de cómputo de los usuarios.
El concepto de la computación en la nube empezó en proveedores de
servicio de internet a gran escala, como Google, Amazon y otros que
construyeron su propia infraestructura. De esto emergió una arquitectura:
un sistema de recursos distribuidos horizontalmente, introducidos como
servicios virtuales de tecnología escalados masivamente y manejados
como recursos configurados y mancomunados de manera continua56.
Más allá de que el concepto de la nube parezca algo borroso y vago, en
realidad lo que plantea esta novedad es que la persona accede a un servidor
u ordenador conectado a la red y no al ordenador local de su oficina. Los
consumidores ya tienen cientos de documentos, fotografías y correos
privados almacenados en la nube. Las empresas van a guardar miles de
datos confidenciales en la nube. El problema es entonces uno de
jurisdicción y derecho aplicable ya que el servidor podría estar localizado
en cualquier parte del mundo.
El acceso no autorizado a un servidor localizado en otro país conteniendo
datos personales de usuarios, podría implicar un acceso no autorizado a la
parte privada del servidor que el usuario tiene asignado por el proveedor.
Dicho accionar seguramente será captado por las leyes que criminalizan
el acceso no autorizado a ordenadores, o la violación de secretos o de
correspondencia si se accede a comunicaciones electrónicas.
6. Agravantes previstos en el Código Penal El art. 153 bis del Cód. Penal dispone en su segundo párrafo que “la pena
será de un mes a un año de prisión cuando el acceso fuese en perjuicio de
un sistema o dato informático de un organismo público estatal o de un
proveedor de servicios públicos o de servicios financieros”.
57
Se duplica la pena de la figura básica (un mes a un año de prisión) porque
se considera que estos supuestos merecen una protección especial (bienes
o servicios públicos). La misma solución se adoptó con el daño
informático (ver art. 184, incs. 5º y 6º, Cód. Penal).
La ley agrava la pena “cuando el acceso fuese en perjuicio de un sistema
o dato informático de un organismo público estatal”. La norma en
comentario no dice exactamente que deba ser acceso a un sistema o dato
informático de un organismo público estatal, sino “en perjuicio” de este.
La ley hace referencia a un organismo público estatal, porque la idea fue
dejar de lado a los organismos no estales, aunque fueren públicos (p. ej.,
el Colegio Público de Abogados de la Capital Federal).
La otra agravante consiste en el acceso a un proveedor de servicios
públicos o financieros. Aunque la ley es muy general, el término
“proveedor de (...) de servicios financieros” es más amplio que el de
entidad financiera (art. 2, ley 21.526), pudiendo incluir un agente de bolsa,
una casa de cambios o un medio de pago online o de recaudación de pagos.
Seguramente, en estos casos el acceso será la antesala de una estafa o un
hurto informático.
Con este agravante, el legislador quiso amparar los sistemas informáticos
que están relacionados con las finanzas y el dinero, dado que serán
probablemente los más atacados por los intereses económicos que existen
trás ellos.
Notas -
58
1 Palazzi, Pablo A., “El acceso ilegítimo a sistemas informáticos: la
urgente necesidad de actualizar el Código Penal”, JA, 1999-III-321.
2 Ver el fallo publicado en JA, 1999-III-321 y ED, 184-371. También el
caso del acceso ilegítimo al servidor donde se alojaba la página web de la
Corte Suprema de Justicia de la Nación: Juzg. Fed. Crim. y Corr. nº 12,
2/3/02, “G., M. H. y otros”, Lexis nº 30002430 y Zeus 89-J-558,
comentado por Riquert, Marcelo A., “Delitos informáticos”, en Carrera,
Daniel - Vázquez, Humberto (dirs.), Derecho penal de los negocios,
Astrea, Buenos Aires, 2004, p. 303. Este caso fue erróneamente enfocado
por el tribunal como un delito de daño, cuando en realidad la acción más
importante fue la de acceder sin permiso y borrar el archivo raíz del
servidor de la Corte Suprema argentina (index.html) al reemplazarlo por
una proclama política. El daño, en cierta medida mínimo, perdía
relevancia con respecto al acceso no autorizado al servidor del Poder
Judicial de la Nación. Además, la página borrada seguramente era
fácilmente restaurable desde el back up. También recordamos el caso de
acceso ilegal a la web de la agencia recaudadora de la provincia de Buenos
Aires, que consistió en borrar el listado completo de setenta y dos mil
morosos que el ente recaudador había publicado en su sitio de internet,
que no pudo ser consultado por el plazo de dos horas (cfr. nota sin autor,
“Ataque virtual a Montoya”, La Nación del 3/5/08, supl. Economía y
Negocios, p. 3). En el año 2010 un hacker argentino cuyo nom de guerre
es “ch russo” accedió en forma no autorizada al conocido sitio de piratería
p2p Piratebay.org. Ver diario Clarín, nota del 23/7/10.
3 En España, véase: “Arrestan a cinco de los hackers más peligrosos”, La
Nación del 18/5/08, p. 6; en Chile, Muñoz, D. - Orellana, P. - Saavedra,
O., “Cibercrimen investiga filtración de bases de datos personales de seis
millones de chilenos”, diario El Mercurio del 11/5/08; en Estados Unidos,
McCullagh, Declan, “Feds Probe Hack of Palin’s e-mail Account”,
CNET, 17/9/08 (en relación con el hacking a la cuenta de mail de la
candidata republicana Sara Palin); en Francia ver “Thieves hack
Sarkozy’s bank account”, International Herald Tribune del 19/10/08, y
Lizzi Davies, “Bank hackers steal from Sarkozy”, The Guardian, 20 de
octure de 2008 (hackers obtienen datos de la cuenta bancaria del
presidente francés Sarkozy); Markoff, John, “Un ataque a Google dañó su
sistema de contraseñas”, La Nación, 23 de abril de 2010 (la nota cuenta el
acceso al sistema interno de Google de administración de mails
denominado Gaia, presuntamente por parte de hackers chinos); “Hackean
75 millones de cuentas de usuarios de sitios de Sony”, La Nación, 27/4/11.
4 Por ejemplo, es conocido el caso de un joven hacker que, “jugando” con
su ordenador, logró apagar las luces de un aeropuerto de los Estados
59
Unidos. Ver raconto del caso en Ohm, Paul, “The Myth of the Superuser:
Fear, Risk, and Harm Online”, UC Davis Law Review, vol. 41, nº 4, 1327
(2008).
5 Ver Erickson, Jon, Hacking: The Art of Exploitation, 2ª ed., No Starch
Press,
2008,
p.
3.
6 El caso más reciente es el de Lisbeth Salander, la hacker punk –y
heroína– de las novelas de Stieg Larsson que usa sus conocimientos
informáticos
para
ayudar
a
encontrar
delincuentes.
7 Herper, Allen y otros, Gray Hat Hacking The Ethical Hackers
Handbook, McGraw-Hill Osborne Media, 3ª ed., 2011, p. 16.
8 Kshetri, Nir, The Global Cybercrime Industry: Economic, Institutional
and
Strategic
Perspectives,
Springer,
2010,
pp.
1-2.
9 Cfr. la nota en el diario El País del 22/4/10, en una entrevista a
Guillaume
Lovet.
10 Según la última reforma del año 2010 (BOE la Ley Orgánica 5/2010,
de 22/6/10) se dispone en el art. 197.3 el siguiente texto: “El que por
cualquier medio o procedimiento y vulnerando las medidas de seguridad
establecidas para impedirlo, acceda sin autorización a datos o programas
informáticos contenidos en un sistema informático o en parte del mismo
o se mantenga dentro del mismo en contra de la voluntad de quien tenga
el legítimo derecho a excluirlo, será castigado con pena de prisión de seis
meses a dos años. Cuando de acuerdo con lo establecido en el art. 31 bis
una persona jurídica sea responsable de los delitos comprendidos en este
artículo, se le impondrá la pena de multa de seis meses a dos años.
Atendidas las reglas establecidas en el art. 66 bis, los jueces y tribunales
podrán asimismo imponer las penas recogidas en las letras b) a g) del
apart.
7º,
art.
33
(…)
”8. Si los hechos descritos en los apartados anteriores se cometiesen en el
seno de una organización o grupo criminales, se aplicarán respectivamente
las
penas
superiores
en
grado”.
11 Ver un listado completo en www.delitosinforamticos.com.ar. Ver
asimismo Rosende, Eduardo, “El intrusismo informático. Reflexiones
sobre su inclusión en el Código Penal”, LL, 2008-C-1126.
12 Rosende, E., “El intrusismo...”, cit.; Carbone, Diego, “Comentario a la
ley de delitos informáticos. 26.388. Nuevos delitos-viejos delitos”,
Microjuris
del
10/7/08.
13 Kerr, Orin S., “Vagueness Challenges to the Computer Fraud and
Abuse
Act”,
94
Minn.
L.
Rev.
1561
(2010).
14 259 F.R.D. 449 (C.D. Cal. 2009). El caso fue ampliamente difundido
en la prensa, porque mediante la asunción de una identidad y perfil falso
en una red social los imputados sedujeron y se burlaron de una adolescente
60
que
luego
se
suicidó
por
este
acoso.
15 La Corte Suprema argentina lo ha reconocido desde el caso “Charles
Hnos.”
(Fallos,
46:36).
16 Ello aunque los datos sean recogidos por un bot o un programa que
realice scraping sobre el sitio de internet. Estos datos son de libre acceso.
Screen scraping es el nombre en inglés de una técnica de programación
que consiste en tomar una presentación de una información (normalmente
texto, aunque puede incluir información gráfica) para extraer los datos que
dieron
lugar
a
esa
presentación.
17
Rosende,
“El
intrusismo...”,
cit.
18 No debe tratarse necesariamente de un “dato personal” (según
definición del art. 2º, ley 25.326), como sí lo requiere el art. 157 bis, Cód.
Penal.
19 En España, a partir de la nueva regulación de los delitos contra la
intimidad en el Código Penal de 1995, la jurisprudencia, y un sector de la
doctrina penal proponen una interpretación de los preceptos según un
concepto formal de la intimidad, que tiende más a proteger la capacidad
de disposición de los objetos que contienen algo relativo a este bien que
al bien en sí mismo. De esta forma, leer sin consentimiento un mensaje en
la pantalla abierta del ordenador o acceder a datos automatizados se
considera en sí mismo delictivo, con independencia de que la pantalla ya
se encontrara abierta, o de que los datos no se refieran a aspectos relativos
a la intimidad de las personas. Para el desarrollo doctrinario de esta tesis,
ver Jereño Leal, Ángeles, Intimidad e imagen. Los límites de la protección
penal,
Iustel,
Madrid,
2008,
p.
56.
20 Murphy, Kate, “New Hacking Tools Pose Bigger Threats to Wi-Fi
Users”,
New
York
Times,
16/2/11.
21 Asimismo, dado que el spyware usa normalmente la conexión de una
computadora a internet para transmitir información, consume ancho de
banda, con lo cual puede verse afectada la velocidad de transferencia de
datos entre dicho ordenador y otro conectado a internet. En estos
supuestos, podría resultar aplicable la figura del art. 197, Cód. Penal.
22 Entre otros, a los siguientes datos personales: el correo electrónico y el
password; dirección IP y DNS; teléfono, país; páginas que se visitan, qué
tiempos se está en ellas y con qué frecuencia se regresa; qué software está
instalado en el equipo y cuál se descarga; qué compras se hacen por
internet;
tarjeta
de
crédito
y
cuentas
de
banco.
23 Corte de Distrito Noreste de Illinois, “Sotelo c. DirectRevenue LLC”,
nº 5 C 2562 (N.D. Ill. 29/08/2005) aplicando la doctrina del tresspas to
chatels a cuestiones de internet. Ver también Sinrod, Eric, “Spyware Can
Constitute Illegal Trespass on Home Computers”, USAtoday.com del
61
11/10/08.
24 “Ripear” es el proceso de copiar los datos de audio y video de un
dispositivo multimedia (como un CD, DVD, o HD DVD) a un disco duro.
Mientras el dispositivo original es típicamente digital, también puede
denominarse “ripear” a la extracción de medios analógicos, como un
video VHS o un vinilo. Para ahorrar espacio de almacenamiento, la
información copiada suele codificarse en un formato comprimido. El
término ha sido adoptado para referirse a extracción/duplicación de audio,
aunque ese uso del término es menos común. Ver
http://es.wikipedia.org/wiki/Ripear.
25 Para más detalles del caso: Mulligan, Deirdre K. - Perzanowski, Aaron
K., “The Magnificence of the Disaster: Reconstructing the Sony BMG
Rootkit Incident”, 22 Berkeley Tech. L. J. 1157 (2007); Aldrich, Nika,
“An Exploration of Rights Management Technologies Used in the Music
Industry”, B.C. Intell. Prop. & Tech. (2007), y Labelle, Megan, “The
‘Rootkit Debacle’: The Latest Chapter in the Story of the Recording
Industry and the War on Music Piracy”, 84 Denv. U. L. Rev. 79 (2006);
Bohn, P., “Intrusive DRM: The cases of Sony BMG, StarForce and
Microsoft”, Indicare Monitor, vol. 2, nº 9, noviembre de 2005. En los
Estados Unidos, el caso generó un escándalo mediático que derivó en una
acción de clase, porque el rootkit dejaba abierta una vulnerabilidad que
podía infectar la máquina. La empresa terminó pagando 4,25 millones de
dólares en ese juicio. Ver “The State of Texas c. Sony BMG Music
Entertainment,
LLC”.
26 Oppenheimer, Max Stul, “Internet Cookies: When is Permission
Consent?”,
85
Neb.
L.
Rev.
383
(2006).
27
Seguimos
la
definición
dada
por
wikipedia.org.
28 Palazzi, Pablo A., “Google y el derecho a la privacidad de las
búsquedas
realizadas
en
internet”,
JA,
2007-II-430.
29 Story, Louise, “Las compañías espían los hábitos en la Red”, diario
Clarín
del
22/3/08.
30 Palazzi, Pablo A., “Alternativas legales para la protección de bancos
de
datos”,
JA,
2004-I-1204.
31 También conocido como white-hat hacking, el ethical hacking es la
ciencia de testear ordenadores y redes para encontrar vulnerabilidades de
seguridad y modificar esas fallas antes de que sean explotadas ilegalmente
(Beaver, Kevin, Hacking for Dummies, Wiley, Indianápolis, 2004, p. 9).
32 Mitnick, Kevin, The Art of Intrusion, Wiley, Indianápolis, 2005, p.
115, quien dedica el capítulo sexto de su obra a analizar estos casos.
33 En el anexo de esta obra se encuentra un modelo de contrato de testeo
de fallas de seguridad y de autorización de acceso.
62
34 Las más conocidas son Defcon o la Black Hat, ver www.blackhat.com.
35 Ver Zetter, Kim, “Federal Judge in DefCon Case Equates Speech with
Hacking”,
http://blog.wired.com.ebook.21.edu.ar
36 Tamagno, Lucas, Los reglamentos internos de empresa y el control
sobre el correo electrónico laboral, Libro de Ponencias de las XIX
Jornadas Uruguayas de Derecho del Trabajo y de la Seguridad Social,
AUDTSS-FCU,
Montevideo,
2008,
pp.
91
y
ss.
37 Así se entendió cuando se discutía esta figura en la Comisión de
Asuntos Penales del Senado Nacional. Algunos asesores plantearon la
necesidad de incluir normas sobre las medidas de protección tecnológicas,
pero en la Comisión se señaló que dicha cuestión implicaría reglamentar
el Tratado de Derecho de Autor de la OMPI aprobado por ley 25.140, lo
que requeriría un estudio y debate pormenorizado de sus normas. La
reforma implementada por la ley 26.388, obviamente, no se refiere a
ninguna cuestión de propiedad intelectual, pese a que numerosos delitos
informáticos implican cuestiones relacionadas con internet y el derecho
de
autor.
38 Eilam, Eldad, Reversing: Secrets of Reverse Engineering, Wiley,
Indianapolis,
2005,
p.
3.
39
Explicación
citada
de
Wikipedia.org.
40 Ver el caso Corte de Apelaciones del Noveno Circuito, “Sony
Computer Entertainment Inc. c. Connectix Corp.”, sentencia del 10/2/00,
203
F.3d
596
(2000).
41 Conducta en la que entra en juego el derecho a la libre competencia y
que genera un gran beneficio para usuarios y consumidores. De hecho, en
los Estados Unidos, este interés público generó que la reglamentación de
la DMCA eximiera a los usuarios de telefonía móvil de esta norma cuando
desean cambiarse de proveedor. Sobre este tema, Cleary, Patrick, “The
Apple Cat and the Fanboy Mouse: Unlocking the Apple iPhone”, North
Carolina Journal of Law & Technology, vol. 9, p. 295 (2008).
42 Lessig, Lawrence, “Libertad de expresión en ambientes digitales,
combatiendo la censura en internet”, trad. de Pablo A. Palazzi, Revista
Derecho y Nuevas Tecnologías, año 3, nº 4-5, p. 57, en relación con el
caso
de
la
rutina
“CPACK”.
43 Puede verse en detalle la obra de Rahimzadeh, Auri, Hacking the PSP.
Cool Hacks, Mods, and Customization for the Sony Playstation Portable,
Wiley,
Indiánapolis,
2006.
44 Naturalmente, no sería delito intentar acceder a la propia cuenta de
correo electrónico por un medio no convencional, aunque ésta esté alojada
en un servidor ajeno. Se presupone que la apertura de una cuenta de
webmail incluye el derecho de acceso a esa parte del servidor donde están
63
almacenados los mensajes del usuario. Si la cuenta es ajena, en cambio,
podrán resultar de aplicación las nuevas figuras de los arts. 153 y 153 bis,
Cód.
Penal.
45 Ver Cabanellas, Guillermo, Régimen jurídico de los conocimientos
técnicos, Heliasta, Buenos Aires, 1984, en especial capítulo II; Spolansky,
Norberto, El delito de competencia desleal y el mercado competitivo, AdHoc, Buenos Aires, 1997, p. 13 (destacando el fundamento constitucional
de la libertad de trabajar, ejercer actividades económicas y competir de no
existir una norma jurídica que limite su ejercicio); García Menéndez,
Sebastián, Competencia desleal. Actos de desorganización del
competidor, LexisNexis, Buenos Aires, 2004, p. 109, quien sostiene: “No
constituirá un acto de competencia desleal la obtención de la información
o de los conocimientos secretos (...) mediante el análisis de los productos,
procesos o técnicas, adquiridos o conocidos honestamente, que contienen
dicha información o conocimiento (lo cual se ha denominado (...)
‘ingeniería
reversa’
o
reverse
engineering)”.
46 Existe también ingeniería inversa ilegítima, por ejemplo, cuando se
“abre” un programa con el simple fin de eliminar la protección anticopia
y así poder reproducirlo y ponerlo en el mercado o hacerlo accesible para
abrirlo o desprotegerlo (programa conocido con el nombre de cracker).
47 Cabanellas, Guillermo, Contratos de licencia y transferencia de
tecnología en el Derecho Económico, Heliasta, 2010, p. 12.
48 Con el desarrollo de los DRM en cierta medida el derecho de autor se
está transformando en un derecho de control del acceso a las obras. Sobre
este tema, Strowel, M. Alain, “La Loi Creation et Internet: de la
confirmation d´un droit d´accés en droit d´auteur á l´analyse de la
proportionnalité de la response graduée”, en la obra colectiva Contrefacon
sur Internet, IRPI, Colloque de l´IRPI nº 33, Lexis Nexis Litec, p. 99.
49 El art. 36 de la ley 24.481 dispone: “El derecho que confiere una
patente no producirá efecto alguno contra: (...) a) Un tercero que, en el
ámbito privado o académico y con fines no comerciales, realice
actividades de investigación científica o tecnológica puramente
experimentales, de ensayo o de enseñanza, y para ello fabrique o utilice
un producto o use un proceso igual al patentado”.
50 Ver el caso Corte de Apelaciones del Noveno Circuito, “Sony
Computer Entertainment Inc. c. Connectix Corp.”, sentencia del 10/2/00,
203 F.3d 596 (2000). Ver también Palazzi, Pablo A., “Estudio sobre la
responsabilidad civil del proveedor de bienes y servicios informáticos
frente a la crisis del año 2000”, JA, 1999-IV-973, donde sostuvimos la
posibilidad de desensamblar el código ejecutable de un programa
informático y acceder al código fuente de un software en el supuesto de
64
que el proveedor no llegara a resolver el defecto Y2K antes del plazo de
la
falla
anunciada.
51 Corte Suprema Estados Unidos, caso “Bonito Boats Inc. c. Thunder
Craft Boats Inc.”, 489 U.S. 141 (1989) y fallo de cámara federal en el caso
“Sega Enterprises c. Accolade Inc.”, 977 F.2d 1510, 1518 (9th Cir. 1992).
52 CSJN, sentencia del 3/12/98, y nuestro comentario “La protección
jurídica de los programas de ordenador (a propósito de un reciente fallo
de la Corte Suprema de Justicia de la Nación)”, JA, 1998-III-319.
53 Ver un resumen en castellano en Electronic Frontier Foundation, “Las
consecuencias no deseadas: cinco años bajo la Digital Millennium
Copyright Act”, Revista Chilena de Derecho Informático, nº 4, mayo de
2004, pp. 17-35, disponible en www.derechoinformatico.uchile.cl. En la
doctrina extranjera, los siguientes autores han resaltado que las normas
antielusión de la DMCA no contienen un equitativo balance frente a los
derechos de fair use, y otros usos no infractores a las normas de derecho
de autor. Ver, entre otros: Armstrong, Timothy K., “Digital Rights
Management and the Process of Fair Use”, 20 Harv. J. L. & Tech. 49
(2006); Benkler, Yochai, “Free as the Air to Common Use: First
Amendment Constraints on Enclosure of the Public Domain”, 74 N.Y.U.
L. Rev. 354 (1999); Burk, Dan L. - Cohen, Julie E., “Fair Use
Infrastructure for Rights Management Systems”, 15 Harv. J. L. & Tech.
41 (2001); Cohen, Julie E., “Lochner in Cyberspace: The New Economic
Orthodoxy of ‘Rights Management’”, 97 Mich L. Rev. 462 (1997);
Lipton, Jacqueline D., “Solving the Digital Piracy Puzzle: Disaggregating
Fair Use from the DMCA’s Anti-Device Provisions”, 19 Harv. J. L. &
Tech. 111 (2005); Sadd, Tricia J., “Fair Use as a Defense Under the Digital
Millennium Copyright Act’s Anti-Circumvention Provisions”, 10 Geo.
Mason L. Rev. 321 (2001); Samuelson, Pamela, “Intellectual Property and
the Digital Economy: Why the Anti-Circumvention Rules Need to Be
Revised”, 14 Berkeley Tech. L. J. 519 (1999); Ginsburg, Jane C., “The
Pros and Cons of Strengthening Intellectual Property Protection:
Technological Protection Measures and Section 1201 of the U.S.
Copyright Act”, Columbia Law Sch. Pub. Law & Legal Theory Working
Paper Group, Paper nº 07-137, 1/2/07, disponible en
http://ssrn.com.ebook.21.edu.ar/.
54 Herman, Bill, “Breaking and Entering my Own Computer: The Contest
of Copyright Metaphors”, 13 Comm. L. & Pol’y 231 (2008).
55 Bibliografía: Robison, William Jeremy, Note, “Free at What Cost?:
Cloud Computing Privacy Under the Stored Communications Act”, 98
GEO. L.J. 1195, 1199-1203 (2010); Barnhill, David, “Cloud Computing
and Stored Communications”, 25 Berkeley Tech. L.J. 621, (2010);
65
Mather, Tim - Latif, “Shahed Cloud Security and Privacy: An Enterprise
Perspective on Risks and Compliance (Theory in Practice); PRC, he
Privacy Implications of Cloud Computing”, www.privacyrights.org y “Do
You Know Where Your Data is in the Cloud?”, Forrester Research
(www.forrester.com).
56 Idea de George Gilder en su artículo de octubre 2006 en la revista
Wired titulado “Las fábricas de información”.
Reflexiones sobre el proyecto legislativo tendiente a castigar la
difusión no consentida de imágenes de desnudez o videos de
contenido sexual
Jorge Eduardo Buompadre
1. Introducción -
El caso de Amanda Todd se convirtió en un caso paradigmático de
sexting. Cuando sólo tenía 12 años esta adolescente canadiense hizo
topless frente a una webcam para un extraño. El hombre comenzó a
acosarla y a pedirle que siguiera desnudándose. Amanda se negó y las
fotos terminaron en el correo de sus compañeros de colegio. Todos sus
amigos le dieron la espalda y la insultaron en Internet. Unos meses antes
de ahorcarse, Amanda subió un video a YouTube contando su calvario. El
video tuvo millones de visitas pero no evitó su trágico final. “Espero que
la muerte de Amanda sirva para salvar mil vidas”, dijo su madre1.
Si bien en Argentina no existen estadísticas oficiales respecto de la
incidencia de la informática en la vida de los individuos, se puede saber
por medio de la opinión de expertos y de ONG especializadas en estos
temas que un gran porcentaje de la población usuaria de las TIC desconfía
de la seguridad de sus datos en el mundo digital, cuya violación
importaría, en muchos casos, una intromisión en la privacidad de los
individuos2. Las situaciones de acoso por vía digital implican, sin duda,
la violación de bienes jurídicos de distinto signo, no sólo la privacidad, el
secreto de las comunicaciones, la propiedad, etc., sino también, y en forma
muy particular, la libertad sexual de las personas.
66
Ya no se trata –como se ha puesto de relieve– únicamente de la posibilidad
de realizar un acoso sexual por medio de palabras, sino que ya es posible
la difusión directa de contenido sexual a un menor o, incluso, la
visualización de una actitud sexual de la víctima coaccionada por una
amenaza3. El grooming y otras formas de acoso sexual cibernético son
buen ejemplo de ello.
Recientemente, el Senado de la Nación dio media sanción a un proyecto
de ley4 por medio del cual se penaliza la “publicación y/o difusión de
imágenes no consentidas de desnudez total o parcial y/o videos de
contenido sexual o erótico de personas”, incorporando un nuevo artículo
al Código penal (el art. 155 bis) cuyo texto es el siguiente:
Será reprimido con la pena de prisión de seis (6) meses a cuatro (4) años,
el que hallándose en posesión de imágenes de desnudez total o parcial y/o
videos de contenido sexual o erótico de una o más personas, las hiciere
públicas o difundiere por medio de comunicaciones electrónicas,
telecomunicaciones, o cualquier otro medio o tecnología de transmisión
de datos, sin el expreso consentimiento de la o de las mismas para tal fin,
aun habiendo existido acuerdo entre las partes involucradas para la
obtención o suministro de esas imágenes o video.
La persona condenada será obligada a arbitrar los mecanismos necesarios
para retirar de circulación, bloquear, eliminar o suprimir, el material de
que se tratare, a su costa y en un plazo a determinar por el juez.
Empezaré esta comunicación diciendo algo obvio: el mundo no sería el
mismo si no existiera Internet, ni el mundo fue el mismo desde la aparición
de Internet. Pero, como no podemos ver al mundo en un espejo retrovisor,
debemos buscar las mejores opciones posibles para enfrentar el mundo de
la moderna tecnología digital. Seguramente, el Derecho penal es una de
esas opciones posibles para luchar contra la cibercriminalidad.
Actualmente ya nadie puede poner en duda que el envío de imágenes de
cuerpos desnudos o semidesnudos o de videos de contenido sexual a
67
través de las tecnologías de la información entre los jóvenes ha dejado de
ser una moda (por si algún día lo fue) para convertirse en una práctica
frecuente que se encuentra en permanente crecimiento. Pero, en muchos
casos, lo que comienza como un juego o una travesura erótica o
apasionada puede transformarse en una tragedia o en una desventura con
destino y consecuencias impredecibles. Un solo clic puede cambiar la vida
de una persona. De aquí los peligros que implica la práctica del sexting5
entre adolescentes (e, inclusive, entre adultos) y las consecuencias
negativas que de ella pueden derivar.
La infinidad de conductas ilícitas que pueden realizarse a través de las TIC
–en especial aquellas que tienen relación con la sexualidad de los
individuos y que en no pocas ocasiones configuran un claro supuesto de
violencia de género, cuando de mujeres se trata, desde luego–, tienen en
común diversos factores, que son, precisamente, los que dan a esta nueva
(y no tan nueva) modalidad de la delincuencia vinculada a la informática,
una especial fisonomía.
Hemos dicho en otro lugar6 que el mundo de hoy es el mundo de las
tecnologías. Todo se puede lograr a través del uso de los mecanismos que
provee la tecnología de la información y las comunicaciones. El uso de la
computadora, de teléfonos móviles con cámaras digitales incorporadas y
otros aparatos que se enlazan a la red Internet ha puesto en evidencia, en
gran medida, las dificultades y tropiezos con que se encuentra el Derecho
para ponerse al día ante los adelantos de la ciencia y la moderna
tecnología.
Estas tecnologías relacionadas a la información y la comunicación pueden
ser buenas o malas, positivas o negativas para los usuarios que se sirven
de ellas: todo depende de cómo se las mire y cómo se las utilice. Los
adelantos tecnológicos de los últimos años han conducido a que,
prioritariamente, se deban mensurar los costos y los beneficios que
conlleva su uso indiscriminado, particularmente en la franja de los jóvenes
adolescentes.
En una nota publicada en el diario Clarín del 10 de mayo de 2009, ya se
alertaba sobre los peligros del sexting entre jóvenes, quienes comienzan a
tomarse fotografías o videos en actitudes seductoras, desnudos o
68
semidesnudos, como una diversión, sin precaverse de los riesgos que ello
entraña cuando esas imágenes son enviadas a la red con destino a un amigo
o un novio, y este, por lo general sin el consentimiento del emisor, las
reenvía a otras personas que, a su vez, las difunden por las redes sociales
a un mundo desconocido de personas anónimas, que pueden utilizar esas
imágenes con fines delictivos, ya sea para objetivos sexuales (que es el
caso de los pedófilos o pervertidos sexuales) o de venganza por una
relación amorosa desavenida, o bien para ser captadas por organizaciones
criminales de trata de personas o para que las fotografías aparezcan en
sitios dedicados a la pornografía.
Según se informa en la señalada nota periodística, en Facebook ya existen
grupos que se oponen a esta moda y comentan experiencias. Desde la
División de Delitos en Tecnología y Análisis Criminal de la Policía
Federal se pudo saber que en los primeros meses del año 2009 se
registraron 80 casos de denuncias sobre delitos informáticos, mientras que
en todo el año 2008 fueron 250, con lo cual se evidencia el crecimiento
exponencial que va tomando, año a año, esta práctica. La ONG Bullying
sin Fronteras ha estimado que en la provincia de Buenos Aires se dan, al
menos, 120 casos mensuales, y que muchos de ellos terminan en sede
judicial7.
Una compulsa del derecho comparado para la regulación de la
ciberdelincuencia permite observar –como se ha puesto de relieve– tres
técnicas diferentes: 1) El recurso a leyes penales especiales (Francia, Gran
Bretaña, Holanda, Estados Unidos, Chile, etc.), aunque no todas estas
normativas hacen referencia a una situación de sexting en forma expresa,
sino más especialmente a los delitos informáticos. 2) La tipificación de las
figuras delictivas directamente en el Código penal (Alemania, Austria
Italia, España, Portugal, México y Argentina). En Italia se puede citar, en
forma especial, los delitos de pedofilia telemática (art. 600 ter, 3er
párrafo), pornografía virtual (art. 600 quáter), cyberstalking (Atti
persecutori, art. 612 bis)8, y una especial forma de asociación para
delinquir en el art. 416 del Código penal, que reprime algunas clases de
delitos informáticos relacionados con las modalidades antes referidas,
cuando se cometan en perjuicio de menores de dieciocho años. 3) La
elaboración de normas internacionales. En el ámbito del Consejo de
Europa se puede citar el Convenio sobre Cibercrimen, aprobado en
Budapest en 2001, el Tratado de Lisboa de 2007, etc.9.
69
Algunos países ya están respondiendo a través de medidas penales a la
difusión no consentida de imágenes sexuales a través de las TIC. En una
reciente publicación del diario Clarín, aparecida en la edición del 20 de
noviembre de 2014, se informa de que en Japón el Parlamento aprobó una
ley llamada de “pornovenganza”, por medio de la cual se aplican penas de
prisión y multa a la difusión no consentida por Internet de imágenes o
videos de contenido sexual de las ex parejas. La ley también obliga a los
proveedores de Internet a eliminar los contenidos cuando se haya
confirmado que se trata de imágenes de tales características.
Pero, frente a estas realidades que se concretan legislativamente en otros
países, hay que poner de relieve –previo a todo– que el sexting, en sentido
estricto, no es delito, ni debiera serlo, claro está, pues no implica otra cosa
que un intercambio de imágenes o filmaciones eróticas, de contenido
sexual, por lo general enviadas a través de un dispositivo móvil, obtenidas
de forma voluntaria entre dos o más personas, en el marco de un espacio
de reserva en el que se prioriza el ejercicio de la autonomía individual.
Con otras palabras, el problema no es el sexting en sí mismo, pues se trata,
como vimos, de una práctica voluntaria llevada a cabo en un marco de
libertad. El problema son las consecuencias que puede acarrear la difusión
no consentida de esas imágenes en el mundo digital. Es en este preciso
momento en que el sexting se convierte en una forma de acoso virtual.
El acoso es una manifestación de la criminalidad que otrora se realizaba
muchas veces cara a cara o solo a través de otros medios convencionales.
En la actualidad, con la irrupción de Internet en la vida de los individuos,
aquellas formas convencionales de acoso se transformaron en acoso por
vía digital (ciberacoso), esto es, el uso de diversas tecnologías para atentar
contra bienes jurídicos fundamentales de las personas.
El ciberacoso es una modalidad criminal que presenta varias caras (o
ninguna, por el anonimato en el escenario de su realización) y se
manifiesta a través de diversas formas, como hostigamientos y
persecuciones, amenazas, humillaciones, etc., muchas veces con fines
determinados: una broma, una venganza, un delito sexual o una extorsión.
70
En España, a raíz de un caso que tomó estado público en 2012, en el que
se puede ver a una concejal de la localidad toledana de Los Yébenes,
Olvido Hormigos Carpio, en un video íntimo difundido sin su
consentimiento, difundido primero por Whatsapp y luego por Internet, se
impulsó una iniciativa gubernamental tendiente a sancionar una normativa
relacionada con este tipo de situaciones, en un nuevo proyecto de ley de
reformas al Código penal de 2010, concretándose en la LO 1/2015 de 30
de marzo, cuya entrada en vigor se produjo el 1 de julio de 2015, y por la
que se introdujo un nuevo artículo, el 197.7, con el siguiente texto: “Será
castigado con una pena de prisión de tres meses a un año o multa de seis
a doce meses el que, sin autorización de la persona afectada, difunda,
revele o ceda a terceros imágenes o grabaciones audiovisuales de aquella
que hubiera obtenido con su anuencia en un domicilio o en cualquier otro
lugar fuera del alcance de la mirada de terceros, cuando la divulgación
menoscabe gravemente la intimidad personal de esa persona. La pena se
impondrá en su mitad superior cuando los hechos hubieran sido cometidos
por el cónyuge o por persona que esté o haya estado unida a él por análoga
relación de afectividad, aun sin convivencia, la víctima fuera menor de
edad o una persona con discapacidad necesitada de especial protección, o
los hechos se hubieran cometido con una finalidad lucrativa”.
Una investigación que publicó meses atrás la Universidad de Michigan,
en EE.UU., señala que en el 90% de los casos de “pornovenganza” el
agresor es un hombre. Así, estos casos pueden llegar a configurar una
nueva forma de violencia de género. El trabajo agrega que 5 de cada 10
víctimas admiten haber recibido fuertes insultos en las redes,
generalmente vinculados con la prostitución, como consecuencia de la
divulgación del material privado (fuente: Clarín, 20/11/14).
En Argentina –según algunas estadísticas que suministran los medios de
comunicación–, el fenómeno no ha dejado de crecer. Son numerosos los
casos de famosos que han tomado estado público a través de la prensa, por
la difusión de sus intimidades en videos caseros con sus ex parejas;
recuérdense los casos de la mediática Wanda Nara, la bailarina tropical
Florencia Bruncker, la actriz Florencia Peña, la vedette Ayelén Paleo, la
modelo Belén Rodríguez, la actriz Silvina Luna, etc.
El problema que en la actualidad se presenta para enfrentar este tipo de
prácticas desde una perspectiva jurídica reside, fundamentalmente, en que
71
en Argentina no existe una legislación específica sobre la materia. El
Código penal tiene respuestas muy acotadas, pues sólo dedica algunos
artículos que podrían tener relación con situaciones de sexting, por
ejemplo la publicación y divulgación de material en el que se exhibe o
representa a menores de dieciocho años dedicado a actividades sexuales
explícitas o de sus partes genitales con fines predominantemente sexuales
(art. 128, ley 26.388); la publicación indebida de una comunicación
electrónica, no destinada a la publicidad (art. 155, ley 26.388); la reciente
reforma de la ley 27.436 que tipifica en forma autónoma el delito de
posesión de pornografía infantil en el art. 128; o bien por si en diversas
situaciones colaterales pudiera presentarse algún caso de chantaje que
diera lugar a un tipo de extorsión (art. 169 CP), o a una modalidad de
coacción (art. 149 bis CP), etc., pero se carece de una figura en el digesto
punitivo que regule, autónomamente, hechos de esta naturaleza.
Precisamente, el proyecto de ley que habremos de comentar páginas más
adelante pretende cubrir este vacío punitivo.
2. Definición de sexting. Particularidades del fenómeno -
Desde un punto de vista general, poco técnico, se puede decir que el
sexting es una práctica –de no muy lejana aparición– actualmente muy
extendida entre jóvenes adolescentes, cuyo origen puede situarse en los
Estados Unidos, consistente en enviarse fotografías o videos de contenido
sexual a través del teléfono móvil u otros dispositivos electrónicos.
Desde una perspectiva más técnica, y siguiendo a MacLauglin, se puede
decir que el sexting es un fenómeno que engloba a aquellas conductas o
prácticas entre adolescentes, consistentes en la producción, por cualquier
medio, de imágenes digitales en las que aparecen menores desnudos o
semidesnudos, y en su transmisión a otros menores, ya sea a través de
telefonía móvil o correo electrónico, o mediante la puesta a disposición de
terceros a través de Internet, por ej. subiendo fotografías o videos en
páginas como Facebook o Myspace10.
Estas prácticas tienen elementos o factores que le dan una fisonomía
particular al fenómeno: imágenes de contenido sexual (eróticas,
72
sexualidad explícita, etc.), el uso de un dispositivo electrónico (por lo
general teléfonos móviles) y el consentimiento de sus protagonistas en la
toma de las imágenes y en la transferencia o remisión de ellas a un tercero
a través de la red.
Sin perjuicio de ello, algunos autores han puesto de relieve distintos
comportamientos de sexting. Así, Leary formula las siguientes
modalidades: 1) el menor que manda una imagen a alguien importante
para él; 2) el menor que hace y/o distribuye imágenes de sí mismo y otros
participando en conductas sexuales explícitas; 3) el menor que transmite
o difunde una imagen desnuda de otro joven sin su consentimiento; 4) la
persona que se hace pasar por un compañero de clase para engañar y
chantajear a otros para que le envíen imágenes; 5) los adultos que envían
fotos o videos a menores de edad o poseen imágenes sexualmente
explícitas de menores de edad, y 6) adultos que envían mensajes de texto
con imágenes sexualmente sugerentes a otros adultos11.
Con arreglo a lo dicho, se puede afirmar que el sexting tiene dos etapas.
Una comprende el circuito señalado anteriormente (fotografías de
contenido sexual, dispositivo electrónico y consentimiento del emisor), y
otra (que implica una etapa extendida de la primera, pues el sexting, en
sentido estricto, finaliza con el acto de remisión/recepción de la imagen),
que abarca el momento de la recepción de las imágenes por el destinatario
y su difusión no consentida por la red, exponiéndolas a un número
indeterminado de personas. Es en esta segunda etapa, en la que se
perfecciona el delito, se pueden perseguir distintos objetivos: humillar a
la víctima públicamente, denigrarla, mancillar su honor, molestarla,
extorsionarla para obtener algún provecho económico, amenazarla con
una finalidad sexual, etc.
En suma, el circuito de esta práctica sería del siguiente modo: una primera
etapa que abarca la captación de imágenes de contenido sexual entre dos
o más personas (también puede tratarse de un autorretrato o selfie) que
luego se envían por algún medio electrónico a otra persona (novio, pareja,
amigo, etc.). Sin el uso de Internet no puede darse un supuesto de sexting.
Esta es la modalidad de la práctica en sentido estricto, impune en nuestro
derecho. Después pueden derivarse otras etapas o formas de conducta
cuya realización puede o no ser punible, según cuál sea la modalidad
empleada y las finalidades –como tenemos dicho– que persiga el autor:
73
por ej., la difusión de las escenas íntimas sin autorización de la persona
afectada, sin más intención que la de subir la imagen a la red, o bien con
la finalidad de humillar, con ánimo de venganza (revenge porn) o para
extorsionar a la víctima (sextorsión).
La pornovenganza –se tiene dicho– es el último eslabón en la cadena que
combina tecnología con sexualidad12. Y, al igual que la sextorsión, por lo
general tienen su origen en una práctica de sexting, aunque no
necesariamente, pues en los casos de sextorsión, fundamentalmente, la
finalidad no sólo es siempre lucrativa (pues también se puede perseguir
otras finalidades, por ej., envío de nuevas imágenes, chantaje sexual, retiro
o no interposición de denuncias, etc.), sino que en muchos casos el
material de contenido sexual es obtenido en forma fraudulenta o furtiva y
no por envío de la propia víctima.
La web Pantallas Amigas ha hecho la siguiente observación respecto del
rol de Internet y la telefonía móvil en estas prácticas, refiriendo que “por
un lado, facilita el anonimato del delincuente, quien además puede buscar
víctimas en cualquier lugar del mundo. Por otro, magnifica los efectos de
su amenaza, ya que, con independencia de que el extorsionador pueda ser
detenido antes o después de conseguir su objetivo, la víctima se enfrenta
a un duro reto: asumir que con un clic el chantajista podría hacer un daño
irreparable a su vida, porque las imágenes, por su naturaleza digital, son
sencillas de guardar, replicar y distribuir. Asimismo, el móvil puede ser la
herramienta principal del delito cuando es sustraído o extraviado, o
cuando sufre un ataque o un acceso no autorizado, siempre que guardemos
imágenes sensibles en el mismo, almacenadas en el terminal sin las
debidas cautelas o lo usemos para acceder a la red, con la preconfiguración
establecida de los accesos y sus claves a las redes sociales y otros lugares
donde se guardan imágenes delicadas”13.
El mayor problema que se presenta en este tipo de prácticas –sin perjuicio
de los daños colaterales consecuentes– es que, una vez que el mensaje fue
subido a la red, no tiene vuelta atrás, y si fue objeto de reenvío a otros
destinatarios (distribución en cadena) aparece el riesgo de conversión de
la persona afectada en potencial víctima de maniobras o comportamientos
delictivos, como por ejemplo distintas formas de acoso, ciberbullying,
chantajes, grooming, etc.
74
3. Conveniencia de intervenir penalmente en casos de sexting -
En Argentina, como antes se dijo, no se encuentran regulados penalmente
(ni deberían estar), en forma autónoma, los casos de sexting. La
adecuación típica de algunas formas que se dan en la práctica, entre
menores de edad, con el uso de dispositivos electrónicos, sólo podrían
tener cabida en alguno de los tipos penales previstos de antemano en el
digesto punitivo, por ej. ciertos delitos contra el honor, la integridad
sexual, la libertad, la propiedad, etc. Pero tampoco debemos olvidar que
lo que da una fisonomía particular al sexting es, precisamente, que las
imágenes son obtenidas a través de dispositivos electrónicos por el
receptor y con el consentimiento del emisor, es decir, de la persona que se
ha autorretratado o lo ha hecho en acuerdo con su pareja, cuestión que –
de estar regulada la conducta, por ej., con la redacción del texto español–
debería conducir a situaciones de atipicidad. No se trata de una remisión
de imágenes vía postal o de entrega personal, “cara a cara”, sino que un
elemento indispensable que recrea este tipo de hechos es, precisamente, la
utilización de elementos electrónicos o telemáticos. De otro modo, sería
suficiente, para abarcar estos comportamientos, con las conductas
tipificadas entre los delitos contra la privacidad o intimidad (arts. 153 y
ss. CP).
El aumento de los casos que han saltado al dominio público, y que se han
dado a conocer por revelaciones periodísticas, en los que se encuentran
involucrados menores, especialmente en edad escolar, en la difusión de
imágenes de contenido erótico a través de Internet, contra la voluntad de
sus protagonistas, ha puesto al descubierto los daños –físicos y
psicológicos– que la divulgación no autorizada de tales imágenes produce
en sus víctimas, circunstancia que debe movilizarnos a preguntarnos si no
es hora de promover una intervención estatal más rigurosa a través de la
tipificación penal de estas conductas.
Es cierto que el Derecho penal no soluciona todos los problemas, ni es la
mejor herramienta para lograr tales objetivos. Pero cuando el interés que
se pretende tutelar es lo suficientemente relevante, y su protección real y
efectiva (cuya fuente inspirativa se encuentra en la realidad social) no
75
puede lograrse por otras vías menos estigmatizantes, la única opción
disponible es la vía punitiva.
Es más que evidente que este tipo de comportamientos van más allá del
mero conflicto (amoroso, familiar, etc.) autor-víctima, pues trascienden la
pura individualidad para poner en peligro un generalizado sector de la
sociedad, de la que forma parte, ciertamente, un grupo de riesgo que
requiere una protección adicional, como son los menores de edad, aun
cuando la práctica también es de frecuente uso por personas adultas. De
aquí que resulte conveniente, a la hora en que deba sancionarse una
normativa que castigue estas conductas, formular una distinción entre
mayores y menores de edad, incrementándose la penalidad cuando la
víctima sea una persona menor de edad, o se encuentre afectada de alguna
discapacidad, o los hechos sean cometidos con una finalidad lucrativa o
por venganza u odio derivados de una relación de afectividad.
La práctica del sexting conlleva una grave exposición de la propia
intimidad y sitúa al emisor en una situación de riesgo, en la medida en que
el receptor puede a su vez difundir masivamente dicho contenido,
rebasando el consentimiento del protagonista del material y exponiendo
su imagen e intimidad a un número indeterminado de receptores14. Por
ello, una eventual criminalización del sexting (en su segunda etapa
extendida, desde luego, como difusión no consentida) debería contemplar
las situaciones de los menores que han alcanzado la edad del
consentimiento sexual, de manera que una intervención estatal excesiva
no vulnere el derecho de ellos a preservar su autonomía sexual, esto es,
que no se vean limitados sus derechos a tomar sus propias decisiones de
índole sexual, o, lo que es lo mismo, el derecho a la autodeterminación en
materia sexual, con lo cual se dejaría fuera de la línea de fuego al obstáculo
que implica, desde un punto de vista político-criminal, el principio de
mínima intervención penal.
En esta dirección, se pregunta la doctrina si la difusión no consentida de
imágenes íntimas debe ser incluida como delito en el Código penal o,
dicho de otro modo, si un delito de estas características respetaría el
principio de mínima intervención penal.
76
La duda estaría fundada en que una buena parte de la responsabilidad por
estos hechos recae en la propia víctima, pues ella es la que consiente una
intromisión a su intimidad personal a través de la obtención de imágenes
en situaciones de sexualidad explícita o comprometedora, sea en forma
individual o bien con otra persona. Por lo que estas prácticas y la
consecuente cesión de las imágenes de contenido sexual a un tercero no
sólo implicaría una exposición voluntaria de la intimidad, sino también
una actitud imprudente, al depositar la confianza en una persona (el
receptor) de que las mantendrá en privado y no las hará públicas por medio
de su divulgación, supuestos en que se daría una hipótesis de puesta en
una situación de un riesgo libremente asumido15.
Seguramente, se habrá de coincidir en que la intimidad, en cuanto valor
que entra en juego en este tipo de conductas, importa un derecho que se
define y limita por nuestros propios comportamientos, lo cual significaría
que la exposición pública de la misma llevaría como consecuencia la
pérdida voluntaria de control sobre nuestras propias áreas de reserva, pero
el tema adquiere un matiz diferente cuando se trata del secreto de las
comunicaciones, el cual se mantiene con independencia de lo que
dispongan sus titulares, por cuanto el secreto está implícito en el propio
proceso comunicativo16. Quien entabla una comunicación a distancia está
asumiendo las garantías de secreto que este tipo de comunicación implica,
y ello de forma automática y objetiva, con independencia de que sea o no
consciente de ello. Ese carácter objetivamente secreto debe prevalecer en
cualquier caso, incluso en el de menores que, sin capacidad para querer y
controlar sus zonas de secreto, entablan una comunicación a distancia17.
Nosotros creemos que la intervención penal, en estos casos de difusión no
consentida de imágenes (fotografías y videos) de contenido sexual a través
de las TIC, está plenamente justificada. La cuestión no reside en transferir
la responsabilidad a la persona emisora de las imágenes, que es la víctima
de la infidelidad y de los derechos lesionados, sino en determinar el grado
de reproche de la conducta del receptor, quien, sin el permiso de aquella,
reenvía las imágenes a terceras personas provocando una divulgación no
autorizada y, al mismo tiempo, colocando en grave peligro de lesión al
bien jurídico protegido. El problema no reside en la conducta de la víctima
–que puede haber sido imprudente al permitir la invasión de su intimidad
personal–, sino en la conducta del autor, que realiza una acción no
autorizada.
77
El riesgo jurídico-penalmente relevante no fue creado por la víctima al
tomarse las fotografías con su pareja, sino por la propia conducta de este
–o en su caso, de un tercero–, al difundirlas por la red. Si bien es verdad
que la víctima ha dispuesto libremente de su intimidad al consentir obtener
imágenes sexuales explícitas con su pareja, no quiere ello significar que
esa libre disponibilidad del bien jurídico se mantenga indefinidamente en
el tiempo, de modo tal que permita presumir que su ulterior difusión o
divulgación por la red no sea antijurídica, esto es, que es una acción
permitida.
La persona titular del bien jurídico intimidad no desea, ciertamente, una
intromisión no consentida a su ámbito de privacidad; antes bien, lo que
desea es conservar y proteger ese bien jurídico de eventuales daños, pues
ha confiado en que el receptor de las imágenes las mantendrá bajo su
esfera de poder, en el ámbito de su propio espacio de reserva, de manera
que si este –sin autorización del titular de bien jurídico– produjo con su
acción de divulgación de las imágenes por la red una vulneración de bien
jurídico protegido, entonces debería ser responsabilizado como autor del
delito que estamos analizando. Al fin y al cabo, el riesgo no permitido fue
creado por el propio autor de la divulgación, no por la víctima, por lo que
su responsabilidad a título de autor doloso no puede quedar fuera del radio
de imputación del hecho delictivo. Y, precisamente, como ha puesto de
relieve Roxin, la categoría central del injusto no es la causación del
resultado o la finalidad de la acción humana, sino la realización de un
riesgo no permitido18 que, como dijimos, no fue creado por la víctima
sino por el receptor de las imágenes que difundió voluntariamente por la
red, pero sin el consentimiento de quien tenía el señorío sobre el bien
jurídico tutelado.
4. La figura regulada en el proyecto de ley del Senado de la Nación -
El nuevo art. 155 bis que se propone el proyecto de ley introducir al
Código penal se ubica –como se puede deducir– en el Título V entre los
delitos contra la libertad individual, Capítulo III –“Violación de secretos
y de la privacidad”–, sistemática que nos permite inferir que el bien
jurídico protegido por esta infracción es el derecho fundamental a la
intimidad personal, cuya área de reserva abarca, ciertamente, la vida
78
sexual de la persona, tanto en su aspecto físico como también en su
dimensión psicológica o espiritual.
Del literal del precepto, se puede colegir que el tipo penal propuesto no
responde exactamente a la figura del sexting, en el concepto estricto del
vocablo antes señalado, ni tampoco a la conducta ilegal conocida como
pornovenganza (o revenge porn)19, consistente en difundir imágenes o
videos de contenido sexual, a través de las redes sociales, sin el
consentimiento de la persona afectada, con la finalidad de humillarla, de
provocarle algún daño, por revanchismo o desquite por situaciones
pasadas conflictivas, venganza o, simplemente, para extorsionarla con la
finalidad de obtener alguna ventaja económica o de otra índole (chantaje,
sextorsión).
El nuevo art. 155 bis del Proyecto en modo alguno guarda equivalencia
con los fundamentos dados por la legisladora impulsora del mismo, en los
que se apunta, casi exclusivamente, a los casos de “pornovenganza”, como
se puede deducir claramente de las siguientes expresiones: “El desarrollo
de las nuevas Tecnologías de la Información y la Comunicación (TIC),
sumadas a los dispositivos electrónicos para la producción de material
audiovisual inmediato, ha favorecido el uso de nuevas prácticas y
conductas en los espacios de la intimidad sexual, de las que resultan
imágenes o videos que son el resultado de un acuerdo entre las partes
involucradas pero reducidas al espacio de confianza/privacidad en que
fueron obtenidas. Muchas de estas conductas devienen en situaciones
impensadas para quienes la produjeron o consintieron. Tal es el caso de
algunas personas que motivas por represalia, resentimiento, extorsión,
venganza o sentimientos de animosidad respecto de ex parejas o
relaciones ocasionales de intimidad (destacado nuestro), suben al
ciberespacio imágenes y/o videos que atentan directamente contra la
libertad, la privacidad y dignidad de las personas. A esta práctica se la
conoce con el nombre de ‘pornografía de venganza’”.
Como se puede apreciar, estas consideraciones con las que se fundamenta
el proyecto de ley sólo parcial y forzadamente se corresponden con el
texto del artículo que se pretende introducir al Código penal.
79
En efecto, el tenor del precepto que se propone comprende dos
modalidades de conducta (en ambas hipótesis como un delito de peligro
concreto), que lo convierte en un tipo mixto de carácter alternativo: hacer
públicas imágenes de desnudez total o parcial y/o videos de contenido
sexual o erótico, o difundir dichas imágenes o videos mediante el uso de
las TIC o “cualquier otro medio o tecnología de transmisión de datos”. En
ambos casos, se requiere como presupuesto que una persona se halle en
posesión de tales imágenes y/o videos, sin importar la forma o el medio
que pudo haber utilizado para obtener y mantener en su poder dichas
cosas, inclusive en aquellos casos en que se haya empleado para la captura
de las imágenes un medio ilícito20.
No se trata –como se podrá suponer– de un delito de posesión (en el caso,
de imágenes pornográficas o de conductas sexuales explícitas), en cuyo
caso se criminalizaría la peligrosidad en sí misma de la conducta sin que
afecte elementos esenciales de la sociedad, sino que se castiga un
resultado de peligro respecto de un concreto bien jurídico (aunque se trate
de un delito de pura actividad), la intimidad personal, que se ve afectada
por la difusión de imágenes de terceros no consentidas. La mera posesión
de la imagen de contenido sexual no es delictiva, salvo que se trate de un
supuesto como el previsto en el art. 128 después de la reforma de la ley
27.436 y la imagen sea considerada pornográfica, algo difícil de
considerar en retratos y/o videos privados llevados a cabo en un lugar
privado (art. 19 CN).
Vale decir que, en una de sus modalidades típicas, es suficiente para tener
por perfeccionado el delito que una persona haya difundido la imagen o el
video de contenido sexual, por cualquier medio, inclusive a través de
medios electrónicos o telemáticos. Pues, lo que esta conducta exige es que
el poseedor de las cosas las haya hecho llegar (“las hiciere públicas”, dice
la norma en proyecto), por cualquier medio (prensa escrita, oral, vía postal
o electrónica, etc.), a un número determinado o indeterminado de
personas, situación que se podría confundir con algunas de las figuras
descriptas en los arts. 153, 154, 155, del Código penal. Pero, de lo que no
puede haber dudas es de que no se trata de un supuesto de sexting (ni en
su primera ni en su segunda etapa extendida), pues, además de la no
exigencia del empleo de Internet o de cualquier otro medio tecnológico de
transmisión de datos, tampoco se requiere que la captación de las
imágenes o videos se haya llevado a cabo con el consentimiento de las
partes implicadas en la relación íntima (“aun habiendo existido acuerdo
80
entre las partes involucradas para la obtención o suministro de esas
imágenes o video”, dice la norma), circunstancia que podría plantear
alguna cuestión relativa a la disponibilidad del bien jurídico protegido –la
intimidad personal–, especialmente en aquellos casos en que el
consentimiento para la grabación haya sido prestado por una persona
mayor de edad, con lo cual podría discutirse su posterior difusión como
delito contra la intimidad.
El tipo penal propuesto no presupone una previa captación de imágenes
consentida por las partes y su posterior difusión por cualquier medio de
comunicación sin la autorización de la persona afectada, sino que
comprende también la obtención ilícita o sin consentimiento de tales
imágenes y videos de contenido sexual.
La imprecisión o ambigüedad de la fórmula del proyecto se evidencia aún
más cuando hace referencia a la posesión de imágenes de “desnudez total
o parcial”. ¿Cómo deben entenderse estos términos? ¿Cuándo estamos
ante un caso de desnudez parcial? ¿Un traje de baño de dos piezas es
desnudez parcial? ¿Se justifica la intervención penal estos casos? ¿No es
suficiente con la reparación del daño, con arreglo a lo que establece el art.
1770 del CCCN?21.
Tampoco la segunda modalidad típica implica un caso de sexting, pues
permite que la imagen sea captada por cualquier medio, y no únicamente
mediante dispositivos móviles y/o electrónicos. Por lo tanto, la figura
propuesta en el proyecto, además de tratarse de una figura autónoma, con
características particulares, no tiene ninguna equivalencia o
correspondencia con los casos de revenge porn.
La figura regulada en el proyecto comprende únicamente las “imágenes”
y/o “videos” (de contenido sexual), de manera que quedan fuera de la
tipicidad la difusión de grabaciones de audio, pero no la de aquellas
imágenes obtenidas por un envío erróneo de la propia víctima, pues la
norma sólo requiere como presupuesto la “posesión” de ellas, cualquiera
haya sido la vía de envío o de captura del material.
81
Otro aspecto preocupante de la norma proyectada reside en que no
formula ninguna distinción de edad entre los sujetos envueltos en la
relación sexual, especialmente en aquellos casos en que el consentimiento
para la grabación fue prestado por un menor de edad, circunstancia en la
que podría plantearse la validez de dicho consentimiento, lo cual obligaría
a analizar cada caso en concreto a fin de verificar no sólo el aspecto
cronológico relacionado con la edad de la persona, sino su grado de
madurez para otorgar un consentimiento válido.
En cuanto al elemento subjetivo que caracteriza al revenge porn (ánimo
de dañar, humillar, de venganza, etc.), seguramente se presentarán
discusiones en torno a si se trata de un delito común doloso, para el que
es suficiente el dolo directo, o de un delito portador de un elemento
subjetivo específico que requiere algo más, esto es, un elemento subjetivo
del tipo distinto del dolo, que convierta al tipo penal en un delito
subjetivamente configurado, de tendencia interna intensificada. Si lo que
particulariza a esta clase de criminalidad es el fin que persigue el autor,
entonces hay que convenir en que se trata de un delito portador de un
elemento subjetivo distinto del dolo, sin el cual la conducta es atípica (por
ej., el autor difunde la imagen de contenido sexual con la finalidad de
gastar una broma a la otra persona). En estos casos, en que el agente activo
sólo persigue molestar a la víctima, el hecho podría encajar en la figura
propuesta por el Senado, pero no sería un supuesto de reverge porn.
Sin perjuicio de ello, lo cierto es que el tipo de injusto regulado en el
proyecto no exige ningún elemento subjetivo distinto del dolo, de modo
que se trataría de un delito de peligro, doloso de dolo directo y que se
consumaría con la difusión no consentida de las imágenes y/o videos de
contenido sexual. Tratándose de un delito de peligro, de pura actividad,
para su perfección tampoco es preciso que la intimidad de la víctima se
vea afectada por la conducta del autor22. Sólo es requisito un resultado de
peligro de daño del bien jurídico, pero no un perjuicio efectivo del mismo.
La difusión no autorizada puede llevarse a cabo en cualquier tiempo de la
relación de pareja, antes o después de finalizada, aun cuando esta situación
relacional entre víctima y ofensor no constituya un requisito esencial del
tipo de injusto.
82
Por último, nos parece que el segundo párrafo del artículo, cuando
establece: “La persona condenada será obligada a arbitrar los mecanismos
necesarios para retirar de circulación, bloquear, eliminar o suprimir, el
material de que se tratare, a su costa y en un plazo a determinar por el
juez”, carece de todo sentido lógico, pues, si la víctima debe esperar a que
el autor de la revelación o difusión no consentida de las imágenes o videos
de contenido sexual sea condenado mediante sentencia firme para que las
retire o elimine de la red, entonces en todo ese “largo” tiempo de duración
del proceso penal su derecho fundamental a la intimidad personal habrá
quedado pisoteado por una suerte de perpetuo linchamiento digital y, ¡qué
duda cabe!, por el propio sistema judicial. Claro que se podrá responder:
para esto están las medidas cautelares, pero frente a esto se podría alegar:
el precepto se refiere a “persona condenada”, de manera que la sentencia
firme es necesaria para la implementación de la medida. A esta dificultad
hay que añadir otra: la difusión del material por vía digital seguramente
implicará una real imposibilidad no sólo de cumplir con la sentencia (lo
que ingresa al mundo digital no tiene vuelta atrás), sino de evitar un daño
que ya fue consumado.
Notas -
1
Ver
https://tn.com.ar.
2 Ver informe de Infobae del 4/5/18. Hemos puesto el foco en los menores
de edad –dice un representante de la ONG Argentina Cibersegura–. No
son exclusivamente para quienes trabajamos, pero sí a quienes dedicamos
la mayor parte del tiempo, contó Sebastián Bortnik, presidente de la ONG,
referente nacional en la materia. El líder de la organización manifestó
cuáles son los tres factores de riesgos que hoy se distinguen en la red: la
privacidad –el sexting–, el ciberbullying y el grooming. “Estas
problemáticas están pasando cada vez más, a edades mucho más
tempranas. Nuestra intención es llegar a charlar estos temas antes de que
los chicos sean víctimas, y no después”, asumió el máximo dirigente de
Argentina
Cibersegura.
3 Conf. Miró Llinares, Fernando, El cibercrimen. Fenomenología y
83
criminología de la delincuencia en el ciberespacio, Marcial Pons, Madrid,
2012,
p.
92.
4 S-21119/16, presentado por las senadoras Marina R. Riofrio, Beatriz G.
Mirkin
y
Norma
H.
Durango.
5 La palabra sexting es el producto de una fusión de dos términos ingleses:
sex (sexo) y texting (envío de mensajes de texto). Según la Guía sobre
Adolescencia y Sexting: qué es y cómo prevenirlo, Madrid, 2011, cit. por
Martínez Otero, Juan María, en “La difusión de sexting sin consentimiento
del protagonista un análisis jurídico”, Derecom, nº 12, Nueva Época,
Valencia, 2013, son cuatro las peculiaridades que le dan a esta práctica
sus perfiles específicos: la voluntariedad en la producción y envío del
material, la utilización de dispositivos tecnológicos que facilitan la
captación de las imágenes y su posterior envío, el carácter sexual o erótico
de los contenidos y la naturaleza privada y casera de las imágenes
(fotografías
o
videos).
6 Buompadre, Jorge Eduardo, La violencia de género en la era digital, pp.
1
y
ss.,
Astrea,
Buenos
Aires,
2016.
7 Disponible en http://bullyings infrontera s.blogsp ot.com.ar.
8 Un análisis detallado de esta figura en Tovani, Stefano y Trinci,
Alessandro, Lo Stalking. Il reato di atti persecutori: aspetti sostnziali e
processuali,
Dike
Giuridica
Editrice,
Roma,
2013.
9 Barrios, Andrés Moisés, Ciberdelitos, amenazas criminales del
ciberespacio,
Reus,
Madrid,
2017,
p.
51
y
ss.
10 Citado por Agustina, José R., en “¿Menores infractores o víctimas de
pornografía infantil? Respuestas legales e hipótesis criminológicas ante el
sexting”,
RECPC,
nº
12-11,
2010.
11 Leary, M. G., cit. por Miró Llinares, El cibercrimen… cit., p. 96.
Destaca este autor que en algunos estudios se han ampliado los límites de
la definición de sexting, abarcando el intercambio de mensajes de
contenido sexual explícitamente provocativos que no incorporen
imágenes, siempre que se pueda deducir de ellos una clara intencionalidad
provocativa
de
acuerdo
con
los
usos
sociales.
12 Fernández Escobedo, Guadalupe, Pornovenganza, cuando la violencia
se
viraliza,
disponible
en
http://grafem
a.com
.mx.
13 http://www.pan tallasa migas.net, cit. por Casado Caballero, Vanessa,
Violencia de género y nuevas tecnologías, disponible en nanopdf.com.
14 Martínez Otero, Juan María, “El nuevo tipo delictivo del artículo 197.4
bis: la difusión no autorizada de imágenes íntimas obtenidas con
consentimiento”, La Ley, nº 8234, 22/1/14, año XXXV, Madrid, 2014.
15 Con esta idea, Martínez Otero, “El nuevo tipo delictivo…”, cit., quien
dice que el que revela facetas de la propia intimidad a un tercero realiza
84
un acto libre, y como tal, un acto responsable. Se sitúa voluntariamente en
una situación de riesgo, y debe asumir las consecuencias de sus actos,
máxime cuando estas consecuencias son tan indeseadas como previsibles.
Y la posibilidad de que el sujeto que recibe los contenidos íntimos pueda
posteriormente reenviarlos es una posibilidad cierta y real, que debió tener
en cuenta antes de hacerle entrega de dichas imágenes. Por ello –
concluye– no parece lo más adecuado acudir al Derecho penal cuando
dicha posibilidad se materializa y se produce el atentado contra la
intimidad.
16 Rodríguez Ruiz, Blanca, El secreto de las comunicaciones: tecnología
e intimidad, McGraw-Hill, Madrid, 1997, pp. 163 y ss.
17
Ídem,
p.
164.
18 Roxin, Claus, “El injusto penal en el campo de tensiones entre la
protección de bienes jurídicos y la libertad individual”, La Teoría del
Delito en la discusión actual, Grijley, Lima, 2007, p. 93.
19 Para mayores detalles sobre esta conducta, véase Palazzi, Pablo A.,
“Difusión no autorizada de imágenes íntimas (revenge porn)”, El
Derecho, nº 13.906, año LIV, 2/3/2016. Del mismo, “Consideraciones
sobre la aprobación por el Senado de un proyecto de ley para penalizar la
publicación de imágenes íntimas (revenge porn)”, disponible en
www.researchgate.net.
20 Un sector de la doctrina entiende que la conducta del tipo penal
propuesto en el proyecto del Senado describe dos acciones que deben
darse conjuntamente: 1) estar en posesión de las imágenes íntimas y 2)
difundirlas por cualquier medio (Palazzi, “Consideraciones sobre la
aprobación…”, cit. La opinión de este autor puede ser discutible, pues
introduce un problema aún no definitivamente resuelto sobre los llamados
delitos de posesión, esto es, si configuran o no un comportamiento
humano que pudiere criminalizarse (para algunos no es ni una acción ni
una omisión) y, además, si se tratare de un obrar humano habría que
justificar –o fundamentar– la legitimidad del castigo de estos
comportamientos. En nuestra opinión, la “posesión” de la imagen íntima
no es la acción típica, sino un presupuesto de las dos acciones previstas:
hacerla pública o difundirla por cualquier medio. Cfr. sobre esta temática,
Pastor Muñoz, Nuria, Los delitos de posesión y los delitos de estatus: una
proximación político-criminal y dogmática, Atelier Libros Juridicos,
Barcelona,
2005.
21 Art. 1770 CCCN. Protección de la vida privada. El que arbitrariamente
se entromete en la vida ajena y publica retratos, difunde correspondencia,
mortifica a otros en sus costumbres o sentimientos, o perturba de cualquier
modo su intimidad, debe ser obligado a cesar en tales actividades, si antes
85
no cesaron, y a pagar una indemnización que debe fijar el juez, de acuerdo
con las circunstancias. Además, a pedido del agraviado, puede ordenarse
la publicación de la sentencia en un diario o periódicos del lugar, si esta
medida
es
procedente
para
una
adecuada
reparación.
22 Una información proveniente del sitio DiarioJudicial.com, de 5 de abril
de 2018, da cuenta de que la Comisión encargada de elaborar el
anteproyeto de Reforma del Código penal decidió incluir el delito de
“pornovenganza”, cuyo texto prevé una agravante cuando los hechos
hubieren sido cometidos por personas que estén o hayan estado casadas,
o en una relación afectiva estable, aun sin convivencia, o cuando la
persona fuera menor de edad o hubiera fin de lucro. El texto propuesto en
el anteproyecto, como se puede apreciar, es similar al del art. 197.7 del
Código penal español, pero es muy diferente con el proyecto que se
encuentra en trámite parlamentario en el Congreso y que analizamos en
esta nota.
La “pornovenganza” en el Derecho Penal Argentino
Romina S. Iannello
J. Darío Veltani
1. Introducción -
Con la proliferación y generalización a bajo costo de tecnología que
permite capturar imágenes, sonido y video, muchas personas comenzaron
a guardar registros audiovisuales de diversos aspectos de su vida.
En algunos casos, estos registros son almacenados en los propios
dispositivos (v.gr. celulares, cámaras, tabletas, etc.) o en medios de
almacenamiento en poder del usuario (v.gr. CD, DVD, pendrives, discos
externos, etc.). Pero en el último tiempo se está generalizando la práctica
de almacenarlos en la “nube” mediante la utilización de servicios que, a
cambio del pago de un precio relativamente bajo, permiten guardar una
gran cantidad de contenido y acceder a él desde múltiples dispositivos.
86
Las posibilidades que brinda la tecnología en este campo son asombrosas,
ya que no sólo sirven para resguardar recuerdos, sino que se ha propuesto
su utilidad para ayudar a quienes sufren enfermedades como el
Alzheimer1.
Pero existe una contracara de esta realidad, que puede afectar severamente
la vida de las personas, y que se da cuando terceros acceden
ilegítimamente a esos registros y los hacen públicos, o bien cuando ciertos
momentos de la vida privada son captados sin autorización. La casuística
es muy rica, por lo que en el presente trabajo nos limitaremos a analizar
una conducta específica, denominada genéricamente “pornovenganza”.
Respecto de esta conducta, no existe una definición unívoca, dado que
muchas veces se utiliza el término “pornovenganza” para hacer referencia
a cualquier difusión no consentida de imágenes, videos o incluso audios
íntimos con contenido sexual2.
Sin embargo, a los fines de su adecuado encuadramiento penal, es
importante definir los contornos de esta figura, que tiene características
propias y que incluso puede considerarse un acto de violencia de género
(aspecto que no necesariamente podrá predicarse de todas las conductas
que impliquen difusión no consentida de imágenes o videos íntimos).
Es que no pueden tratarse de igual modo todos los supuestos de difusión
no consentida de imágenes, videos o audios íntimos, porque la
pornovenganza tiene características que la agravan respecto de la simple
difusión. En la pornovenganza existe una traición a la confianza,
aprovechamiento de la relación con la víctima, conocimiento específico
de la voluntad de la víctima en el sentido de que el material no tenía como
finalidad la publicidad, y la intención –también específica– de humillar a
la víctima, de generar un menoscabo en su vida social y en su entorno,
elementos que no necesariamente estarán presentes en toda difusión no
consentida.
A continuación describiremos en detalle los elementos que caracterizan a
la pornovenganza y que la distinguen de otras conductas.
87
Luego, distinguiremos la pornovenganza de otras conductas similares que
se encuentran expresamente tipificadas en el Código Penal argentino, a fin
de determinar si alguno de los tipos penales existentes resulta adecuado
para su persecución o si, por el contrario, es necesario una reforma
legislativa que introduzca un tipo penal específico.
2. Elementos característicos de la pornovenganza -
En principio, la pornovenganza requiere de: (a) la existencia de una
relación previa entre el autor y la víctima en virtud de la cual el primero
accede al material íntimo con contenido sexual, y (b) la difusión
intencional de ese material por el autor, con elementos que permiten
identificar a la víctima a fin de causar un menoscabo en su vida personal
y familiar.
A continuación, nos referiremos en forma pormenorizada a estos
elementos y, además, haremos referencia al contenido del material íntimo,
la caracterización de la víctima y las características de la figura desde el
punto de vista de la culpabilidad.
2.1. Existencia de una relación previa entre autor y víctima
La pornovenganza exige que el autor conozca a la víctima, sea porque ha
tenido una relación sentimental con ella o porque ha querido tenerla, pero
tiene que existir algún grado de relación o conocimiento.
No sería estrictamente pornovenganza el que alguien simplemente difunda
material íntimo de terceros, porque tal difusión podría darse en el
entendimiento de que ese material ha sido difundido con el consentimiento
de esos terceros3.
2.2. Acceso al material íntimo en virtud de esa relación previa
88
Habitualmente, el acceso al material íntimo con contenido sexual se da en
el marco de una relación previa existente entre el autor y la víctima,
aunque puede ocurrir una vez terminada la relación.
Puede ser que el material haya sido grabado por el propio autor, con el
consentimiento de la víctima o sin él, o bien que se trate de material al que
el autor accedió como consecuencia de la confianza de la víctima (sea que
la víctima le hubiera facilitado el material, o que el autor lo hubiera
obtenido sin su consentimiento).
Lo determinante es que en la pornovenganza el autor no accede por
casualidad al material, como podría ocurrir si alguien encuentra un
teléfono extraviado con material íntimo almacenado, sino que lo hace
debido a su relación con la víctima4.
2.3. Difusión del material con elementos que permiten identificar a la
víctima
Otro elemento característico de la pornovenganza es la difusión del
material íntimo con contenido sexual al que accedió el autor, de modo que
la víctima puede ser claramente identificada.
El concepto de difusión es diferente al de una única comunicación “punto
a punto”, en la que una persona remite a otra un determinado contenido.
Se trata de la publicación del contenido de modo abierto, en redes
sociales5 o plataformas de distribución de pornografía, de modo que
pueda llegar a una cantidad indeterminada de personas.
El efecto es mayor cuando el contenido se sube a plataformas que, luego,
lo reproducen o permiten que sus usuarios lo reproduzcan. Es entonces
que puede generarse lo que se conoce como “viralización” del contenido6.
89
En la pornovenganza, el autor quiere identificar a la víctima para generar
el efecto humillante y el daño propio de esta conducta. Dado que no en
todos los casos el material permitirá identificar inequívocamente a la
víctima (por ejemplo, puede ocurrir que en un video no resulte clara la
imagen), el autor procurará incorporar elementos al difundirlo que
permitan hacerlo. Esto puede implicar incorporar el nombre y/o
información de contacto de la víctima, o bien otros datos que,
interpretados en su ámbito social y familiar, permitan identificarla
fácilmente.
Es importante aclarar que el autor procurará que la difusión sea masiva,
pero, en particular, que llegue a conocimiento del entorno de la víctima,
porque es entonces cuando se genera el resultado específico que tiene en
miras.
2.4. Contenido del material íntimo
Una característica esencial de la pornovenganza es que el material
audiovisual que se viraliza se refiere a un acto sexual consentido por la
víctima7, pero no destinado a la publicidad8.
Resulta indistinto, a los fines de la pornovenganza, que la víctima haya
consentido que se registre el acto sexual, o incluso que haya sido ella quien
lo registrase. Lo relevante es que su intención no haya sido darlo a
publicidad.
2.5. Caracterización de la víctima
Generalmente, las víctimas son mujeres, pero ello no constituye un
requisito esencial. No obstante, cuando la víctima es una mujer podríamos
estar en presencia de una situación de violencia de género9.
Lo que resulta esencial para distinguir esta conducta de otras similares es
que la víctima sea mayor de edad, porque en caso contrario la conducta
sería encuadrable como difusión de pornografía infantil (art. 128 CP).
90
2.6. Tipo subjetivo
La pornovenganza es una conducta dolosa que, además, suele ser
cometida por personas con conocimientos técnicos específicos que les
permiten generar el efecto viralizador que buscan al difundir el contenido.
Pero además requiere un dolo especial, que es el de procurar la deshonra
y humillación de la víctima mediante la divulgación del material íntimo
con contenido sexual en su entorno familiar y profesional.
Entendemos que no podría hablarse de pornovenganza si el material es
difundido en virtud de un error o de un actuar negligente de quien lo tenía
bajo su custodia10, sin perjuicio de la responsabilidad que pudiera caberle
por tal accionar.
3. Alternativas típicas para el encuadramiento de la pornovenganza
en Argentina -
A continuación realizaremos un sucinto repaso de algunas figuras penales
que se encuentran tipificadas en la Argentina para determinar si alguna
resulta adecuada para perseguir la pornovenganza o si, por el contrario, es
necesario legislar una figura específica.
Nuestro análisis estará orientado únicamente a verificar los puntos de
contacto entre cada una de estas figuras y la pornovenganza, según la
describimos previamente.
A tal fin, seguidamente nos referiremos a los delitos de distribución de
pornografía infantil, extorsión por chantaje, violación de correspondencia
y papeles privados, intrusismo informático (hacking), publicación
indebida de correspondencia y papeles privados, defraudación de
derechos de propiedad intelectual e injurias11.
91
3.1. Distribución de pornografía infantil
En la Argentina, la distribución de pornografía infantil se encuentra
expresamente tipificada en el art. 128 del CP, que en su redacción actual
establece que será penado con prisión de 3 a 6 años el que “produjere,
financiare, ofreciere, comerciare, publicare, facilitare, divulgare o
distribuyere, por cualquier medio, toda representación de un menor de
dieciocho (18) años dedicado a actividades sexuales explícitas o toda
representación de sus partes genitales con fines predominantemente
sexuales”12.
En consecuencia, si el protagonista de la imagen, video o audio íntimo con
contenido sexual es menor de edad, aun cuando se verificasen el resto de
las condiciones que mencionamos, no se trataría de pornovenganza sino
de un caso de distribución de pornografía infantil.
Entendemos que los delitos vinculados con la distribución de pornografía
infantil, en particular cuando las víctimas son menores de hasta 13 años,
excluyen la posibilidad de que exista pornovenganza.
3.2. Intrusismo informático (hacking)
El art. 153 bis del CP tipifica el delito de intrusismo informático o hacking.
Se trata de la conducta de quien “a sabiendas accediere por cualquier
medio, sin la debida autorización o excediendo la que posea, a un sistema
o dato informático de acceso restringido”.
El acceso puede realizarse por cualquier medio, ya sea vulnerando la
seguridad del sistema o con las credenciales de acceso del titular. Lo
relevante es que se acceda sin la debida autorización a un sistema o dato
informático no público. El tipo penal es amplio en cuanto a su aplicación
material, lo que permite afirmar que resulta de aplicación también a casos
en que el acceso es físico (lo que ocurriría, por ejemplo, si alguien ingresa
a un centro de cómputos mediante la utilización de una tarjeta electrónica
92
de acceso adulterada). Es decir, no se trata sólo del acceso lógico al
sistema, sino también del acceso físico.
Con relación a la autoría, la norma prevé que el acceso ilegítimo puede
cometerlo tanto quien no tenía autorización para acceder como quien tenía
autorización pero la excedió. El segundo supuesto se verifica,
habitualmente, cuando el autor es un empleado infiel, pero también podría
resultar de aplicación para la pornovenganza.
El hacking es, en algunos casos, un acto previo necesario para acceder al
material íntimo13. No obstante, este tipo penal es residual, lo que implica
que sólo se aplicaría en caso de no verificarse un delito más severamente
penado.
3.3. Violación de correspondencia y papeles privados
El art. 153 del CP tipifica el delito de violación de correspondencia y
papeles privados14. En lo que a este trabajo interesa, la acción típica es la
de acceder ilegítimamente o apoderarse indebidamente de una
comunicación electrónica, carta, pliego, despacho u otro papel privado.
Con relación al verbo típico, consideramos que el “apoderamiento” debe
“conceptualizarse de un modo acorde con el medio digital: es posible
entonces apoderarse de un correo (por ej., mediante una copia) sin
desapoderar a la víctima”15.
Cuando una imagen o un video íntimo con contenido sexual es enviado a
través de sistemas de mensajería o correo electrónico, resulta claro que
forman parte de la “comunicación electrónica” enunciada en la norma. Por
lo tanto, su acceso o apoderamiento ilegítimo quedarán comprendidos
dentro de esta figura.
Pero la cuestión es más compleja en los casos en que el material no es
enviado a través de un sistema de mensajería sino obtenido directamente
desde el dispositivo de la víctima. En estos casos, para aplicar la figura
93
prevista en el art. 153 del CP, será necesario calificar a ese material como
“papel privado”. Por nuestra parte, entendemos que esto es posible16,
aunque no desconocemos que si se adoptara una posición más rígida
respecto de las reglas de interpretación penal podría llegarse a una
conclusión en el sentido contrario17.
Para nuestro análisis, tuvimos especialmente en cuenta que el art. 153 del
CP fue modificado por la Ley de Delitos Informáticos 26.388 (en adelante,
la LDI)18, que también modificó el art. 77 del CP. Este último, en su
redacción actual, dispone que “el término documento comprende toda
representación de actos o hechos, con independencia del soporte utilizado
para su fijación, almacenamiento, archivo o transmisión” y que “el
término instrumento privado19 y certificado comprenden el documento
digital firmado digitalmente”20.
En definitiva, esta figura podría servir en los casos de pornovenganza en
que el autor accedió al material íntimo de contenido sexual mediante el
acceso o apoderamiento de una comunicación electrónica, pero su utilidad
estará limitada en el resto de los supuestos.
3.4. Publicación indebida de correspondencia y papeles privados
El art. 155 del CP regula la figura de publicación indebida de
correspondencia y papeles privados21.
En este caso, la acción típica está dada por la publicación –poner en
conocimiento de un número indeterminado de personas– de una
correspondencia, comunicación electrónica, pliego cerrado, despacho
telegráfico, telefónico o de otra naturaleza, no destinados a publicidad,
cuando el hecho causare o pudiera causar perjuicios a terceros22.
Se trata de una figura complementaria de la prevista en el art. 153 del CP,
pero que presupone que el autor accedió legítimamente al material (en
caso contrario estaríamos frente al agravante previsto en el mismo art. 153
del CP para el caso de que la información a la que se accedió también sea
publicada)23.
94
En el caso de la pornoveganza, podría existir un acceso legítimo al
contenido cuando el sujeto activo es quien lo generó (por ejemplo, quien
grabó el video con el consentimiento de la víctima), o cuando el material
fue enviado por la víctima o con su autorización, pero no para ser
publicado24. Por lo tanto, sólo para estos supuestos la norma podría
resultar aplicable.
Ahora bien, estamos ante un delito cuya pena es una multa, que resulta
absolutamente insuficiente con relación al menoscabo que sufre la víctima
de pornovenganza. Por lo tanto, teniendo en cuenta que sólo resultaría de
aplicación en ciertos casos (cuando el autor accedió legítimamente al
contenido y lo publicó) que no resultan representativos de la mayoría de
los supuestos, y que la pena es irrisoria, consideramos que no resulta una
norma adecuada para perseguir la pornovenganza.
3.5. Extorsión por chantaje
En aquellos casos en los cuales el autor amenaza a la víctima para que esta
le entregue una cosa o realice un acto para evitar la publicación del
material íntimo, podemos estar ante un supuesto de extorsión.
El delito de extorsión, que agrede la libre determinación de la víctima en
cuanto a la disposición de sus bienes, está regulado en los arts. 168 y 169
del CP25. En ambos casos, la acción típica consiste en obligar a la víctima
a que entregue, envíe, deposite o ponga a disposición del autor o de un
tercero, cosas, dinero o documentos que produzcan efectos jurídicos26.
Pero en el primero, el medio comisivo es la intimidación o simulación de
autoridad pública, mientras que en el segundo es la amenaza de
imputaciones contra el honor o de violación de secretos27.
En los casos de difusión de material íntimo con contenido sexual por
extorsión, el tipo penal será el previsto en el art. 169 del CP. Ello es así
porque su difusión afecta radicalmente el honor de la víctima, quien siente
ultrajada su intimidad desde el momento mismo en que se enfrenta a la
posibilidad de tal divulgación.
95
Existe un precedente en la Argentina en el que se condenó a una persona
por este delito en el marco de una causa cuyos hechos encuadran
claramente dentro de la definición que hemos dado de pornovenganza28.
En ese caso, la aplicación de la figura resultó eficaz, pero no se puede
generalizar una conclusión de tal naturaleza porque no en todos los casos
de pornovenganza existirá una extorsión.
3.6. Delitos contra la propiedad intelectual
Dado que el contenido íntimo podría ser considerado una “obra” protegida
por la Ley de Propiedad Intelectual 11.723 (en adelante, la LPI)29, su
distribución sin el consentimiento de la víctima podría ser considerado un
supuesto de defraudación previsto en esa normativa.
Con relación a esta cuestión, los problemas que surgen son varios: i) que
existen discusiones respecto de la norma genérica de defraudación de la
LPI que determinan que en muchos casos su aplicación sea difícil (porque
se trata de un tipo penal abierto, que utiliza el término “defraudar” y remite
al tipo penal de la defraudación del CP, aunque la doctrina es conteste en
que la palabra defraudar no se utilizó en su sentido técnico jurídico sino
genéricamente); ii) que el contenido íntimo no siempre podrá ser
calificado como obra (aspecto que se hace más difícil, por ejemplo, en el
caso de las imágenes, que requieren un cierto grado de originalidad), y iii)
que si el contenido es una “obra”, en algunos casos podría ocurrir que el
autor del delito también tenga derechos sobre esa “obra” (por ejemplo, si
es quien tomó las imágenes o filmó el video)30.
3.7. Injurias
El delito de injurias está previsto en el art. 110 del CP como la acción de
deshonrar o desacreditar a una persona humana mediante una conducta
injuriosa, es decir, con contenido ofensivo31. Esta acción ofensiva tiene
como finalidad imputar de modo peyorativo una conducta o costumbre de
la víctima, de modo tal que su honor resulte ofendido y/o dicha persona
resulte difamada.
96
Puede ocurrir que la calidad o condición invocada no sean objetivamente
ofensivas, pero que así lo sienta la víctima atendiendo a la persona que lo
expresó o la ocasión en la que se expresó32.
Como expusimos al inicio del presente trabajo, una de las características
de la pornovenganza es la divulgación de material íntimo con contenido
sexual, con la intención de causar un daño en la vida personal de la
víctima, que se ve gravemente alterada por la divulgación de su intimidad.
En tal contexto, entendemos que en todos los casos la divulgación de
material íntimo con contenido sexual que no estaba destinado a la
publicidad constituye una injuria33. Pero este delito resulta claramente
insuficiente y su pena absolutamente injusta para una conducta de tal
gravedad como la pornovenganza.
3.8. Inserción ilegítima de datos en una base de datos personales
El art. 157 bis, inc. 3, del CP reprime con prisión de 1 mes a dos años a
quien “ilegítimamente insertare o hiciera insertar datos en un archivo de
datos personales”34. Se trata de una figura relativamente nueva,
incorporada en el CP por la Ley de Hábeas Data 25.326 (en adelante,
LPDP), y luego modificada por la LDI.
Para comprender su ámbito de aplicación es necesario tener claros dos
conceptos que surgen de la LPDP: el de “dato personal” y el de “base de
datos”. Respecto del primero, el art. 2 de la LPDP señala que se trata de
“información de cualquier tipo referida a personas físicas o de existencia
ideal determinadas o determinables”. Como puede apreciarse, la
definición es muy amplia, no sólo por su ámbito de aplicación material –
que comprende todo tipo de información–, sino también por su ámbito
personal, dado que incluye tanto a personas humanas como jurídicas, y a
personas que no están identificadas pero son identificables35. En este
contexto, la imagen de una persona, o incluso su voz, son datos personales
en los términos de la LPDP36.
97
Al respecto, se ha dicho que “también constituyen “datos personales”,
según nuestra interpretación, los comentarios que las personas puedan
incorporar en redes sociales (v.gr. Facebook), como así también en blogs
y/o cualquier otro sitio en que dichos comentarios estén vinculados con
un usuario que permita, aunque sea de modo indirecto, identificar a su
autor. Y también son “datos personales” la dirección de correo
electrónico, las imágenes y/o videos incorporados por las personas en
redes sociales y/u otras plataformas tecnológicas para compartir
contenidos”37.
Con relación a la definición de “base de datos”, el art. 2 de la LPDP la
conceptualiza como el “conjunto organizado de datos personales que sean
objeto de tratamiento38 o procesamiento, electrónico o no, cualquiera que
fuere la modalidad de su formación, almacenamiento, organización o
acceso”. También se trata de un concepto muy amplio, que resulta
aplicable a cualquier red social o sitio de Internet que provea una
plataforma para compartir contenidos (v.gr. YouTube). En la medida en
que esos contenidos puedan ser considerados “datos personales”,
estaremos frente a una base de datos en los términos de la LPDP.
Teniendo presentes estas definiciones, resulta claro que el delito de
inserción ilegítima de datos en una base de datos personales comprende
los casos más comunes de pornovenganza, porque el material íntimo con
contenido sexual es un “dato” (incluso, el tipo penal no exige que el dato
sea un “dato personal” pero en este caso lo es39). Y respecto del concepto
de “archivo de datos personales”, según surge del art. 2 de la LPDP, no
cabe duda alguna de que los repositorios de pornografía en internet o las
redes sociales lo son.
El tipo penal es más amplio aún que lo que se requeriría para calificar a la
pornovenganza, ya que no exige un dolo especial vinculado con la
deshonra o humillación de la víctima. Lo comete quien “sin autorización
y en forma indebida, asiente en tales registros una información que no
haya sido autorizada por la persona afectada, o que no haya respetado los
procedimientos y mecanismos legales establecidos para su debida
incorporación”40.
98
4. Conclusiones -
La pornovenganza es una figura muy compleja, que debe ser abordada
interdisciplinariamente (hay conceptos técnicos que deben ser tenidos en
cuenta y para los cuales es conveniente contar con la opinión de expertos
en tecnología).
Sería recomendable legislar un tipo penal específico que contemple las
particularidades de la pornovenganza y la distinga de otras figuras
similares. Pero hasta tanto ello ocurra, cabe analizar si esta conducta
puede ser encuadrada en alguna o varias de las figuras típicas existentes y
que repasamos en el presente trabajo.
Adelantamos nuestra opinión en el sentido de que ello es posible, aunque
con algunas dificultades que podrían determinar que muchos casos de
pornovenganza queden impunes.
En efecto, cuando en el marco de la pornovenganza se requiere a la
víctima que realice algún acto o entregue alguna cosa a cambio de no
difundir el material, la cuestión puede resolverse por aplicación del delito
de extorsión por chantaje. Este es un delito de acción pública y con una
pena prima facie razonable para la pornovenganza, por lo que la falta de
legislación específica no resulta –en el caso– óbice para perseguir la
conducta disvaliosa.
Ahora bien, cuando no se verifica una extorsión, la cuestión resulta más
difícil y mucho más gravosa para la víctima. Es que, salvo en el caso de
los delitos de la LPI, el resto de las figuras son de acción privada, lo que
implica que la víctima deberá instar el procedimiento y ocuparse de la
producción de la prueba, entre otras cosas.
Respecto de los delitos contra la propiedad intelectual, la cantidad de
inconvenientes que mencionamos respecto de la calificación del material
difundido en la pornovenganza como obra, como así también las
99
dificultades propias del tipo penal abierto de la LPI, tornan desaconsejable
su aplicación. Es decir, no creemos que una acción que pretenda encuadrar
la pornovenganza como una defraudación a derechos de propiedad
intelectual prospere en la Argentina.
Con relación al resto de los delitos que repasamos y que podrían resultar
aplicables, (i) el intrusismo informático es una figura residual y con una
pena muy baja, que no resulta razonable para la pornovenganza; (ii) la
violación de correspondencia y papeles privados sólo resultará de
aplicación indiscutible cuando el material haya sido remitido a través de
una comunicación electrónica, por lo que en el resto de los casos su
aplicación podría ser cuestionada; (iii) la publicación indebida de
correspondencia y papeles privados comparte la misma debilidad que el
delito anterior, pero, además, tiene una pena que resulta irrisoria para la
pornovenganza, y (iv) el delito de injurias, si bien resultaría claramente de
aplicación, tiene una pena que no resulta adecuada para la pornovenganza.
Sin embargo, existe un tipo penal que entendemos permite encuadrar casi
a la perfección la pornovenganza: el delito de inserción ilegítima de datos
en una base de datos personales. Es que, como explicamos, la imagen,
audio o video de una persona constituyen datos personales en los términos
de la LPDP en la medida en que dicha persona esté determinada o sea
determinable. Y como también señalamos, cualquier plataforma
tecnológica (sitio de Internet, red social, etc.) que funcione como
repositorio de este tipo de contenidos, los clasifique y permita que terceros
accedan a ellos, constituye una base de datos para la LPDP. En la
pornovenganza, la viralización del material íntimo con contenido sexual
se realiza a través de alguna o varias de estas plataformas tecnológicas,
por lo que prácticamente siempre constituirá el delito de inserción
ilegítima de datos en una base de datos personales.
Ahora bien, este tipo penal tiene dos grandes problemas que determinan
que no resulte eficaz, en la práctica, para perseguir la pornovenganza.
El primero de ellos es que, como advertimos, se trata de un delito de
acción privada41, lo que exige a la víctima accionar por vía de la querella.
100
El segundo es que podrían generarse discusiones respecto de la
competencia, porque la LPDP dispone que están sujetas a jurisdicción
federal las bases de datos interconectadas en redes interjurisdiccionales42.
Dado que en el caso de la pornovenganza se tratará, en general, de bases
de datos interconectadas (Internet lo es), podrían suscitarse conflictos de
competencia.
Consideramos que una buena alternativa para regular la pornovenganza
podría ser modificar el art. 157 bis del CP, a fin de incluir como un inciso
adicional, o bien como un agravante, la pornovenganza con los elementos
subjetivos que identificamos en el presente trabajo. Pero esta reforma
también debería implicar una reforma al art. 73 del CP para excluir al art.
157 bis –o al menos al iniciso que se refiere a la pornovenganza– de la
regla general prevista para los delitos de violación de secretos, según la
cual son delitos de acción privada. Quizás una reforma en este sentido sea
más sencilla para instrumentar que la inclusión de una figura
completamente nueva en el CP.
En definitiva, por la gravedad y nocividad de sus efectos, es conveniente
que la pornovenganza sea tipificada penalmente. Esto puede lograrse
mediante la creación de una nueva figura, o bien mediante la modificación
de un delito existente, en cuyo caso consideramos que el delito adecuado
sería el de inserción ilegítima de datos en una base de datos personales.
Mientras no exista una tipificación especial, los operadores jurídicos
deberán analizar, en cada caso, si se encuentran presentes elementos de
otras figuras (como por ejemplo, la extorsión), que permitan perseguir la
pornovenganza de un modo efectivo y razonable.
Notas -
101
1 Al respecto, puede leerse el trabajo publicado con relación a la “Sense
Cam”
de
Microsoft,
en
www.microsoft.com.
2 El término proviene de la voz inglesa “revenge porn”, que tampoco tiene
una definición unívoca y ha sido objeto de discusiones en cuanto a su
definición. Al respecto, ver Palazzi, Pablo A., “Difusión no autorizada de
imágenes
íntimas
(revenge
porn)”,
ED,
2/3/16.
3 Existen sitios en los cuales los usuarios suben sus propios videos íntimos
y los comparten, mediando consentimiento de todos los involucrados. En
esos sitios, habitualmente, los usuarios pueden “compartir” materiales que
han sido subidos por otros usuarios. Por lo tanto, cuando un video ha sido
subido a uno de estos sitios, otro usuario del sitio podría compartirlo en el
entendimiento de que está realizando una acción consentida por quien
subió
el
video.
4 No se nos escapa que podría darse que el autor acceda de modo casual
al material antes de conocer a la víctima. En este supuesto, si luego entabla
una relación con la víctima y difunde el material íntimo con el dolo
especial que describimos en el presente, también se configuraría un caso
de
pornovenganza.
5 Respecto del concepto de “red social”, se ha dicho que “con él se alude,
genéricamente, a las plataformas tecnológicas que permiten compartir
información personal y acceder a información de otras personas e
interactuar con dicha información. Las plataformas tecnológicas han
avanzado vertiginosamente (en la actualidad se puede acceder a ‘redes
sociales’ prácticamente desde cualquier dispositivo móvil con conexión a
Internet), y también la cantidad y calidad de información que puede
compartirse (entre la que se incluyen textos, fotografías, audio y video
incluso en tiempo real). Ambos parámetros pareciera ser que no detendrán
su evolución, por lo que cualquier definición de ‘red social’ debe
ensayarse en términos genéricos para no resultar anacrónica a poco de ser
formulada. Una característica distintiva de las ‘redes sociales’ respecto de
otras plataformas tecnológicas que permiten compartir información es el
hecho de que, en términos generales, en las ‘redes sociales’ el titular de la
información ‘elige’ con quién la comparte. Es decir, para poder acceder a
información de una persona es necesario estar ‘autorizado’ por dicha
persona. Esta autorización puede ser ‘general’ (es decir, puede ser que la
persona que publica su información personal decida que cualquiera pueda
verla) o bien ‘particular’ (en cuyo caso, la persona que publica su
información personal debe autorizar en forma expresa a cada persona que
pretenda acceder a ella). Teniendo en cuenta la definición ensayada
precedentemente, podemos decir que, desde el punto de vista jurídico, las
‘redes sociales’ son sistemas de bases de datos que permiten acceder,
102
compartir y tratar datos personales de sus usuarios. Pero, además, las redes
sociales también pueden ser entendidas como sistemas de mensajería o
comunicación, dado que en general permiten el intercambio de
información (v.gr. mensajes, audio y/o video) entre dos o más usuarios,
en forma privada” (Veltani, Juan Darío, “El uso de las redes sociales en el
ámbito
laboral”,
LL,
2012-A-760).
6 La “viralización” de un contenido ocurre cuando este es subido a
diversas plataformas que lo reproducen y que permiten a sus usuarios
descargarlo y reproducirlo también. Entonces, aun cuando el contenido
pueda ser eliminado de la plataforma a la que fue subido en primer lugar,
los usuarios de esa plataforma pueden volver a subirlo, a esa o a otras,
tornando casi imposible –por la atomización de los usuarios y su
dispersión en el mundo– poder eliminarlo completamente de Internet.
7 A los fines de la pornovenganza, el concepto de acto sexual debe ser
interpretado de modo amplio. Esto significa que podrían quedar
comprendidas ciertas prácticas como el fotografiarse en poses sugerentes
o realizando acciones que no necesariamente impliquen sexo explícito.
8 En el caso de la pornovenganza, el material íntimo que se difunde
siempre es audiovisual (es decir, imágenes, sonidos o video). Si se tratase
únicamente de un relato, aunque hiciera referencia a un acto sexual del
cual participase la víctima, estaríamos ante otro tipo de figura (como por
ejemplo,
las
injurias,
que
veremos
más
adelante).
9 La violencia de género, entendida como violencia hacia la mujer, tiene
dos denominadores comunes. Por un lado, la existencia de una mujer
como objeto del maltrato y un hombre agresor. Y, por otro lado, un
componente subjetivo que es el que guía la conducta del agresor: causar
un daño por el hecho de ser mujer. Por lo tanto, no todo ejercicio de
violencia contra la mujer es violencia de género y, por ende, no todos los
casos de pornovenganza podrían catalogarse como actos de violencia de
género (Buompadre, Jorge E., Violencia de género en la era digital,
Astrea,
Buenos
Aires,
2016).
10 El error o el actuar negligente generalmente consiste en no adoptar las
medidas de seguridad necesarias para proteger la confidencialidad del
contenido.
11 Hemos dejado al hostigamiento fuera de nuestro análisis por no tratarse
de un delito. El hostigamiento es una conducta que, sin llegar a constituir
una amenaza, coarta la libertad de las personas. La víctima es molestada
en su vida privada, mediante una injerencia arbitraria y constante, que
puede darse por distintos medios (llamadas telefónicas, contactos por
correo electrónico, publicaciones en redes sociales, etc.). En la Ciudad de
Buenos Aires constituye una contravención, y en muchos casos ha servido
103
–ante la falta de un delito específico– para perseguir acciones de
pornovenganza.
12 Como puede apreciarse, los verbos típicos no se limitan a la
distribución, sino que se trata de una figura compleja en la que quedan
comprendidas diversas acciones. Esta norma fue reformada recientemente
(ley 27.436 del 23/4/18) a fin de incluir como delito a la mera tenencia de
pornografía infantil, que en la redacción original sólo estaba penada
cuando existían fines inequívocos de distribución. La norma completa, en
la actualidad, establece lo siguiente: “Será reprimido con prisión de tres
(3) a seis (6) años el que produjere, financiare, ofreciere, comerciare,
publicare, facilitare, divulgare o distribuyere, por cualquier medio, toda
representación de un menor de dieciocho (18) años dedicado a actividades
sexuales explícitas o toda representación de sus partes genitales con fines
predominantemente sexuales, al igual que el que organizare espectáculos
en vivo de representaciones sexuales explícitas en que participaren dichos
menores. Será reprimido con prisión de cuatro (4) meses a un (1) año el
que a sabiendas tuviere en su poder representaciones de las descriptas en
el párrafo anterior. Será reprimido con prisión de seis (6) meses a dos (2)
años el que tuviere en su poder representaciones de las descriptas en el
primer párrafo con fines inequívocos de distribución o comercialización.
Será reprimido con prisión de un (1) mes a tres (3) años el que facilitare
el acceso a espectáculos pornográficos o suministrare material
pornográfico a menores de catorce (14) años. Todas las escalas penales
previstas en este artículo se elevarán en un tercio en su mínimo y en su
máximo cuando la víctima fuere menor de trece (13) años”.
13 En el caso “Damonte Ruiz, Santiago Martín s/extorsión por chantaje”
(C. Penal Trenque Lauquen, 26/5/15, LL, 2016-C-123), por ejemplo, en
el que se condenó al autor por extorsión por chantaje, la pornovenganza
se dio con relación a dos videos íntimos, uno de los cuales había sido
filmado por el propio autor. Pero el segundo video había sido accedido
ilegítimamente por dicho autor cuando la víctima le dio acceso a su
computadora.
14 La norma establece que “será reprimido con prisión de quince (15) días
a seis (6) meses el que abriere o accediere indebidamente a una
comunicación electrónica, una carta, un pliego cerrado, un despacho
telegráfico, telefónico o de otra naturaleza, que no le esté dirigido; o se
apoderare indebidamente de una comunicación electrónica, una carta, un
pliego, un despacho u otro papel privado, aunque no esté cerrado; o
indebidamente suprimiere o desviare de su destino una correspondencia o
una comunicación electrónica que no le esté dirigida. En la misma pena
incurrirá el que indebidamente interceptare o captare comunicaciones
104
electrónicas o telecomunicaciones provenientes de cualquier sistema de
carácter privado o de acceso restringido. La pena será de prisión de un (1)
mes a un (1) año, si el autor además comunicare a otro o publicare el
contenido de la carta, escrito, despacho o comunicación electrónica. Si el
hecho lo cometiere un funcionario público que abusare de sus funciones,
sufrirá además, inhabilitación especial por el doble del tiempo de la
condena”.
15 D’Alessio, Andrés José (dir.) - Divito, Mauro A. (coord.), Código
Penal de la Nación comentado y anotado, 2ª ed. actualizada y ampliada,
La
Ley,
BuenosAires,
2011.
16 Siguiendo una posición similar, Palazzi explica que por papeles
privados debe entenderse aquellos que están reservados a la esfera privada
de alguien y no están destinados a ser conocidos. Es importante remarcar
que la naturaleza de “papel privado” no se altera porque su soporte sea
magnético o informático (Palazzi, Pablo, Los delitos informáticos en el
Código Penal, Abeledo-Perrot, Buenos Aires, 2009, pp. 75-76); en similar
sentido en cuanto a la amplitud que debe darse al concepto de papel
privado, puede verse Fillia, Leonardo César - Sueiro, Carlos Christian Monteleone, Romina - Nager Horacio Santiago - Rosende, Eduardo E.,
“Análisis a la reforma en materia de criminalidad informática al Código
Penal de la Nación (ley 26.388)”, LL, 2008-E-938). Con anterioridad a la
reforma de la LDI, en los casos “Giménez, Marcelo D. y otro
s/procesamiento” (CNCrim. y Correc. de la Cap. Fed., Sala de feria B,
15/1/02, elDial.com AAF64) y “Lanata, Jorge” (CNCrim. y Correc., Sala
VI, 4/3/99, elDial.com AA4E0) se aplicó un criterio como el que
propiciamos, algo más flexible en cuanto a las reglas de interpretación
penal.
17 Antes de la LDI se dictaron diversos pronunciamientos que, aplicando
un criterio estricto en materia de interpretación de las normas penales,
consideraron que ciertas conductas cometidas a través de medios
informáticos no podían ser encuadradas en los tipos penales tradicionales.
El más conocido, por su trascendencia institucional, fue el fallo que
consideró que el hacking a la página web de la Corte Suprema de Justicia
de la Nación no podía considerarse “daño” porque la página web no podía
considerarse como una cosa (causa 48, “Giménez, Marcelo D. y otro
s/procesamiento”, cit.). Si se aplicara un criterio similar con relación al
concepto de “papeles privados”, no podrían considerarse comprendidas en
dicho concepto las imágenes, audio o video digitales.
18 Con la modificación se introdujo expresamente el término
“comunicación electrónica”. Si bien la jurisprudencia ya había equiparado
el correo electrónico con el tradicional (inicialmente en el caso “Lanata”
105
cit., y luego en los casos “Grimberg, Alfredo H. s/sobreseimiento”,
CNCrim. y Correc., Sala I, 11/2/03, elDial, AA1B4F y “Falik, Flavia
Débora”, CNCrim. y Correc., Sala VII, 7/4/08, elDial, AA495B, entre
otros), esta inclusión despejó cualquier duda sobre el alcance del tipo
penal.
19 Si bien el CP mantiene la referencia al instrumento privado, en el
ámbito civil existe una nueva categoría, reconocida expresamente por el
Código Civil y Comercial de la Nación (en adelante, CCCN), que es la de
instrumento particular no firmado, en la que en algunos casos también
quedarán comprendidos los registros audiovisuales o auditivos de cosas o
hechos y todo registro de palabra y de información. En efecto, el art. 287
del CCCN dispone que “los instrumentos particulares pueden estar
firmados o no. Si lo están, se llaman instrumentos privados. Si no lo están,
se los denomina instrumentos particulares no firmados; esta categoría
comprende todo escrito no firmado, entre otros, los impresos, los registros
visuales o auditivos de cosas o hechos y, cualquiera que sea el medio
empleado, los registros de la palabra y de información”.
20 El término “comunicación electrónica” también debe interpretarse en
sentido amplio, entendiendo por tal todo “mensaje enviado por un
individuo a otra persona por medio de un sistema electrónico. Este
concepto es tan amplio que se incluye el clásico mensaje de correo
electrónico, un chat, un fax, una llamada a través de VOIP o un mensaje
de texto enviado de celular a celular” (Palazzi, Los delitos informáticos
en
el
Código
Penal,
p.
75).
21 La norma dispone que “será reprimido con multa de pesos un mil
quinientos ($ 1.500) a pesos cien mil ($ 100.000), el que hallándose en
posesión de una correspondencia, una comunicación electrónica, un
pliego cerrado, un despacho telegráfico, telefónico o de otra naturaleza,
no destinados a la publicidad, los hiciere publicar indebidamente, si el
hecho causare o pudiere causar perjuicios a terceros. Está exento de
responsabilidad penal el que hubiere obrado con el propósito inequívoco
de
proteger
un
interés
público”.
22 Un aspecto problemático de esta norma, cuyo análisis excede el marco
del presente trabajo, es la solución que cabría dar en aquellos casos en que
el material es reenviado por su legítimo destinatario a una única persona,
quien a su vez lo reenvía a otra y así se forma una cadena de reenvíos. Es
que si bien cada uno de estos reenvíos punto a punto, analizados
individualmente, no constituirían el delito previsto por la norma, el efecto
viralizador que se genere es equiparable a la publicación.
23 Nager, Horacio Santiago, “Protección penal de la privacidad en la
‘sociedad de la información’. Análisis dogmático de los delitos
106
informáticos introducidos en el Código Penal por la ley 26.388”, elDial,
DC1529).
24 Actualmente, existe una tendencia mundial relacionada con el envío de
imágenes de contenido sexual a través de sistemas de mensajería
instantánea que se conoce como “sexting”. La particularidad de esta
práctica es que tanto la captación de las imágenes como su envío es
consentida. Y las características del contenido y del medio a través del
cual se envía determinan que su publicación y viralización sean simples y
puedan realizarse en pocos segundos con un alcance devastador. Si bien
el sexting en sí mismo no es una conducta ilegítima, porque se trata de un
envío consentido, su práctica puede ser el puntapié inicial para la comisión
de otros actos que sí resultan delictivos (Buompadre, Violencia de género
en
la
era
digital,
cit.).
25 El art. 168 del CP establece que “será reprimido con reclusión o prisión
de cinco a diez años, el que con intimidación o simulando autoridad
pública o falsa orden de la misma, obligue a otro a entregar, enviar,
depositar o poner a su disposición o a la de un tercero, cosas, dinero o
documentos que produzcan efectos jurídicos. Incurrirá en la misma pena
el que por los mismos medios o con violencia, obligue a otro a suscribir o
destruir documentos de obligación o de crédito”. El art. 169 del CP, por
su parte, dispone que “será reprimido con prisión o reclusión de tres a
ocho años, el que, por amenaza de imputaciones contra el honor o de
violación de secretos, cometiere alguno de los hechos expresados en el
artículo
precedente”.
26 Para una corriente doctrinaria, deben ser documentos cuyos efectos
jurídicos importen una lesión patrimonial. Pero otra corriente, a la que
adherimos, entiende que comprende toda especie de documentos que, sin
producir efectos jurídicos, tienen un valor en sí mismos. De este modo, el
material íntimo podría considerarse dentro de esta categoría de
documentos (D’Alessio –dir.– - Divito –coord.–, Código Penal de la
Nación
comentado
y
anotado,
cit.).
27 Es importante destacar que la intimidación o amenaza debe ser una
compulsión moral, sin violencia física. De existir violencia física,
estaríamos dentro de otro tipo penal (D’Alessio –dir.– - Divito –coord.–,
Código Penal de la Nación comentado y anotado, cit.).
28 Nos estamos refiriendo a la causa “Damonte Ruiz, Santiago Martín
s/extorsión por chantaje” cit. En dicho precedente se consideró que el
hecho de difundir un video íntimo, editado especialmente para
desacreditar a la víctima y con la específica intención de que llegue a
conocimiento de su entorno, constituía violencia de género. Como en este
caso el autor le pidió dinero a la víctima a cambio de no difundir el video,
107
la causa quedó encuadrada como extorsión por chantaje.
29 El art. 1 de la LPI dispone que se encuentran comprendidas en el ámbito
de aplicación de dicha norma “las obras científicas, literarias y artísticas
comprenden los escritos de toda naturaleza y extensión, entre ellos los
programas de computación fuente y objeto; las compilaciones de datos o
de otros materiales; las obras dramáticas, composiciones musicales,
dramático-musicales;
las
cinematográficas,
coreográficas
y
pantomímicas; las obras de dibujo, pintura, escultura, arquitectura;
modelos y obras de arte o ciencia aplicadas al comercio o a la industria;
los impresos, planos y mapas; los plásticos, fotografías, grabados y
fonogramas, en fin, toda producción científica, literaria, artística o
didáctica sea cual fuere el procedimiento de reproducción. La protección
del derecho de autor abarcará la expresión de ideas, procedimientos,
métodos de operación y conceptos matemáticos pero no esas ideas,
procedimientos, métodos y conceptos en sí”. En la doctrina de derecho de
autor existe una opinión unánime en el sentido de que el listado de obras
es meramente enunciativo y que cualquier creación del intelecto humano
dotada de cierta originalidad constituye una obra protegible (Emery,
Miguel Ángel, Propiedad Intelectual. Ley 11.723 comentada, anotada y
concorada con los tratados internacionales, Astrea, Buenos Aires, 1999;
Villalba, Carlos A. – Lipszyc, Delia, El Derecho de Autor en la Argentina,
2ª
ed.,
La
Ley,
Buenos
Aires,
2009).
30 Respecto de los dos últimos aspectos, puede verse Palazzi, Pablo,
Introducción al problema del Revenge Porn, DITC Working Paper Series
nº 1, Universidad de San Andrés y “Difusión no autorizada de imágenes
íntimas
(revenge
porn)”,
cit.,
p.
1.
31 La norma dispone que “el que intencionalmente deshonrare o
desacreditare a una persona física determinada será reprimido con multa
de pesos mil quinientos ($ 1.500) a pesos veinte mil ($ 20.000). En ningún
caso configurarán delito de injurias las expresiones referidas a asuntos de
interés público o las que no sean asertivas. Tampoco configurarán delito
de injurias los calificativos lesivos del honor cuando guardasen relación
con
un
asunto
de
interés
público”.
32 D’Alessio (dir.) - Divito (coord.), Código Penal de la Nación
comentado
y
anotado,
cit.
33 Es importante aclarar que el material podría no ser objetivamente
injurioso u ofensivo, pero el contexto en el que se divulga, la persona que
lo hace y otras circunstancias pueden determinar que lo sea.
34 El art. 157 bis del CP dispone que “será reprimido con la pena de
prisión de un (1) mes a dos (2) años el que: 1. A sabiendas e
ilegítimamente, o violando sistemas de confidencialidad y seguridad de
108
datos, accediere, de cualquier forma, a un banco de datos personales; 2.
Ilegítimamente proporcionare o revelare a otro información registrada en
un archivo o en un banco de datos personales cuyo secreto estuviere
obligado a preservar por disposición de la ley. 3. Ilegítimamente insertare
o hiciere insertar datos en un archivo de datos personales. Cuando el autor
sea funcionario público sufrirá, además, pena de inhabilitación especial de
un
(1)
a
cuatro
(4)
años”.
35 Veltani, J. Darío, “La habilitación de la instancia judicial en la acción
de hábeas data. Análisis del procedimiento extrajudicial previsto en la ley
25.326 y de los conceptos de ‘dato personal’ y ‘base de datos’ a la luz de
los avances tecnológicos”, en Travieso, Juan Antonio (dir.), Régimen
Jurídico de los Datos Personales, Abeledo-Perrot, Buenos Aires, 2014, t.
1,
p.
261.
36 Masciotra, Mario, “La voz y la imagen y el ámbito de aplicación de la
Ley de Protección de Datos Personales”, JA, número especial “Hábeas
Data y Protección de Datos Personales”, 28/4/04, p. 23.
37
Veltani,
“La
habilitación
de…”
cit.
38 El concepto de tratamiento también está definido en la norma, como
las “operaciones y procedimientos sistemáticos, electrónicos o no, que
permitan la recolección, conservación, ordenación, almacenamiento,
modificación, relacionamiento, evaluación, bloqueo, destrucción y en
general el procesamiento de datos personales, así como también su cesión
a terceros a través de comunicaciones, consultas, interconexiones o
transferencias”.
39 La situación es incluso más compleja porque el material íntimo con
contenido sexual podría ser considerado, en ciertos casos, como dato
sensible en los términos de la LPDP. La categoría de dato sensible se
encuentra definida en el art. 2 de la LPDP, que los define como “datos
personales que revelan origen racial y étnico, opiniones políticas,
convicciones religiosas, filosóficas o morales, afiliación sindical e
información referente a la salud o a la vida sexual”. Respecto de este tipo
de datos, la LPDP es clara en cuanto a que, como regla general “queda
prohibida la formación de archivos, bancos o registros que almacenen
información que directa o indirectamente revele datos sensibles” (art. 7
LPDP).
40 Tazza, Alejandro O. - Carreras, Eduardo, “La protección del banco de
datos personales y otros objetos de tutela penal”, LL, 2008-E-869).
41 Cuando la LPDP incluyó al art. 157 bis en el CP, podía discutirse si se
trataba de un delito de acción pública o de acción privada. Ello así porque
el art. 73 del CP establecía –en esa época– que los delitos vinculados con
la violación de secretos eran de acción privada, con excepción de los
109
previstos en los arts. 154 y 157. Esto podía hacer suponer que el art. 157
bis –introducido por la LPDP– debería correr la misma suerte que el art.
157. Sin embargo, con posterioridad a la inclusión del art. 157 bis del CP,
la ley 27.147 reformó el art. 73 del CP y no incluyó al art. 157 bis como
una excepción a la regla general para los delitos vinculados con la
violación de secretos, que indica que son delitos de acción privada.
42 Conf. art. 44, que establece que “Las normas de la presente ley
contenidas en los Capítulos I, II, III y IV, y art. 32 son de orden público y
de aplicación en lo pertinente en todo el territorio nacional. Se invita a las
provincias a adherir a las normas de esta ley que fueren de aplicación
exclusiva en jurisdicción nacional. La jurisdicción federal regirá respecto
de los registros, archivos, bases o bancos de datos interconectados en
redes de alcance interjurisdiccional, nacional o internacional”.
Calumnias e injurias on line
Fernando Tomeo
“El más puro tesoro al que puede aspirar un ser
humano en estos tiempos es a una reputación
sin mancha, que le sobreviva. Los hombres son
como cerámica dorada o barro pintado”.
William Shakespeare
1. Introducción: planteo de la problemática -
Mi abuelo nació en un pequeño pueblo de Italia sobre la costa del
Adriático y llegó a la República Argentina a los 13 años, absolutamente
solo. Lo esperaba un tío lejano, al que poco conocía. En realidad, no lo
esperaba.
Como muchos inmigrantes que forjaron nuestro país, mi abuelo trabajó
como peón durante muchos años y a base de trabajo pudo fundar su propio
negocio y construyó una reputación que le permitió crecer como
comerciante, formar una familia y brindar oportunidades a todos aquellos
110
que le sucedimos. La reputación la construyó con hechos, no con palabras,
y por ello era valorado y respetado: por cumplir lo que prometía.
El ejemplo de mi abuelo, siempre presente como el de mi querido padre,
me ha motivado a profundizar distintos aspectos sobre el concepto de
reputación y su evolución hasta el advenimiento de las nuevas tecnologías
de la información y, en particular, de la denominada web 2.0 o segunda
generación de internet.
Es evidente que la reputación define a una persona y a cualquier
organización. Reitero, se fundamenta en hechos; las palabras vuelan. Una
buena reputación se basa en el cumplimiento de la palabra empeñada, en
la coherencia entre lo que digo y lo que hago. Una mala reputación genera
un disvalor para la persona o compañía involucrada, esto es, la falta de
confianza, el aislamiento y la pérdida.
En definitiva, la reputación, en términos generales, es “lo que se dice” de
una determinada persona o compañía, esto es, el juicio que los demás
elaboran de un individuo u organización. Este concepto tradicional ha
sufrido un cambio con el advenimiento de las tecnologías 2.0, porque en
la revolución horizontal que estamos viviendo hay millones de personas
opinando, comentando o criticando en tiempo real.
Este es el primer concepto que quiero destacar. Una opinión, un
comentario, una crítica o un rumor que en el pasado quedaban alojados en
un “círculo de pocos”, en la actualidad se esparcen como reguero de
pólvora vía redes sociales.
Un solo tweet puede descalificar a una persona o a una empresa cuando
alcanza millones de seguidores en tiempo real, esto es, en forma
instantánea.
Asimismo, las redes sociales son fuente de grupos o espacios de opinión,
esto es, verdaderos espacios de poder, que pueden dañar la reputación de
una persona o la imagen corporativa y su consecuente rentabilidad,
111
afectando uno de los pilares de la organización: su imagen, principal
activo intangible.
Es por ello que muchos “famosos”, como así también distintas
organizaciones, cuentan en sus filas con abogados expertos en reputación
on line y con administradores de redes (community managers) para
administrar la reputación en línea y manejar situaciones de crisis que
afectan el tan preciado valor.
El segundo concepto que quiero destacar es el importante papel que
juegan los buscadores de internet a la hora de juzgar la reputación de una
persona. Vivimos en un universo donde “todos somos lo que Google dice
que somos”. Google define identidad, y si sus resultados de búsqueda
arrojan buenos contenidos en relación a nuestras personas, nuestra
reputación está controlada (y en muchos casos ensalsada); pero si los
resultados de búsqueda no hablan bien de nosotros, adiós a un buen
trabajo, a un buen comienzo de una relación personal y a muchas cosas
más. Todos googleamos antes de actuar, desde un cine, un viaje, un
nombre, una dirección, hasta la foto de la persona que ingresó a trabajar
recientemente en nuestra empresa. Google ejerce poder sobre el presente
y el pasado de las personas.
El buscador actúa como un espejo que nos lleva a lo que queremos
encontrar, pero también refleja aquello que se quiere olvidar como una
foto no deseada en una noche de copas, una nota periodística que vincula
al usuario a un hecho delictivo, un blog de contenido difamatorio.
A continuación, trataremos ambos aspectos de la cuestión, aunque
previamente efectuaremos el encuadre legal del derecho al honor para la
ley argentina y su protección en el ámbito civil y penal.
2. El honor. Protección legal. La libertad de expresión -
Una opinión o comentario agraviante vertido en una red social o en
cualquier medio informático y/o plataforma digital, como asimismo en
una aplicación de mensajería instantánea como WhatsApp, puede afectar
112
la reputación de una persona, y es pasible de una acción penal por
calumnias o injurias, según el caso, y de una acción civil por daños y
perjucios.
Para el planteo del tema partimos del siguiente ejemplo. Supongamos que
un individuo crea un perfil en Twitter con una identidad falsa y utiliza la
red social para manifestar que una determinada persona ha estafado a sus
clientes en la venta de vehículos. El tweet, que ha sufrido varios retweets,
es indexado por Google como resultado de búsqueda que pueden apreciar
los hijos, amigos y parientes de la víctima. ¿Podrá accionar la víctima en
el ámbito penal por calumnias e injurias y en el ámbito civil por daños y
perjuicios por afectación a su honor?
A mi entender, no existe duda al respecto, y para ello hemos de analizar
brevemente los derechos en juego que deberá ponderar el juez
interviniente al momento de tratar el caso concreto.
El honor es un derecho personalísimo que encuentra protección legal en
el art. 52 del Código Civil y Comercial de la Nación cuando establece que
“…la persona humana lesionada en su intimidad personal o familiar,
honra o reputación, imagen o identidad, o que de cualquier modo resulte
menoscabada en su dignidad personal, puede reclamar la prevención y
reparación de los daños sufridos, conforme a lo dispuesto en el Libro
Tercero, Título V, Capítulo 1”.
Desde un punto de vista conceptual y en un excelente precedente técnico
dictado en relación a buscadores de internet, la Dra. Marta del Rosario
Mattera refirió, citando a varios autores, que si definimos el honor como
“dignidad personal reflejada en la consideración de los terceros y en el
sentimiento de la persona misma”, en él quedan comprendidos dos
aspectos: por un lado, la autovaloración, el íntimo sentimiento que cada
persona tiene de la propia dignidad y la de su familia (honor subjetivo,
honra o estimación propia) y, por otro, el buen nombre y la buena
reputación objetivamente adquiridos por la virtud y el mérito de la persona
o de la familia que se trate, dentro del marco de sociabilidad del ser
humano (honor objetivo, buen nombre, reputación o fama)1.
113
Siguiendo la misma línea de pensamiento, el honor reconoce dos
dimensiones: subjetiva y objetiva. La primera es la estimación que toda
persona posee de sus cualidades o atributos, que se refleja en la conciencia
del propio sujeto y en la certeza o seguridad en su propia estima y
prestigio. Este concepto del honor, en cuanto corolario de la personalidad,
se exterioriza y ofrece un ámbito que los terceros deben respetar. Desde
el punto de vista objetivo, es la suma de las cualidades que los terceros
atribuyen a una persona, que se encuentran íntimamente ligadas a los roles
que cumple en el aspecto familiar, social y profesional2.
Así las cosas, procede la reparación de los daños provocados por
conductas que atacan al honor, independientemente del medio utilizado,
ya que la conducta culposa o aun riesgosa, que desacredita o deshonra,
genera obligación de indemnizar3.
En el ámbito del derecho penal, y para dar protección adecuada al honor,
nuestro Código Penal distingue dos figuras criminales.
La calumnia, por un lado, que consiste en imputar falsamente a otro la
comisión de un delito, y la injuria, por el otro, que consiste en deshonrar
o desacreditar intencionalmente a otro. Ambos delitos, previstos en los
arts. 109 y 110 del referido Código, pueden cometerse a través de
cualquier plataforma digital como Twitter, Facebook o Instagram, y/o vía
una aplicación de mensajería instantánea como WhatsApp o Telegram: el
medio informático utilizado por el autor de la afrenta no lo libera de su
responsabilidad y de su obligación de reparar el daño causado al honor y
a la integridad psicológica, máxime cuando la ofensa alcanza efecto
dominó vía red social.
Ambos tipos penales excluyen como delito a las expresiones referidas a
asuntos de interés público, entendiéndose por tales, desde la
jurisprudencia, aquellas vinculadas al desempeño de los funcionarios
públicos como a los temas que hacen al interés general de la organización
político-social.
No existe diferencia técnica entonces entre deshonrar a alguien mediante
un insulto en la calle, mediante un posteo en Facebook o utilizando los
114
280 caracteres de Twitter: el medio es irrelevante para que se configure el
delito. A mi entender, y en relación a Twitter, en particular, un tweet puede
considerarse una manifestación de la persona, una declaración, la
expresión de una idea o una exteriorización de voluntad, obligando a su
autor civil y penalmente.
Sin perjuicio de ello, tanto la protección legal en el ámbito civil como las
dos figuras delictivas descriptas deben ponderarse en forma adecuada y
razonable a la luz del derecho a la libertad de expresión, garantía
primordial para el mantenimiento del sistema democrático y republicano
de gobierno.
La libertad de expresión es un derecho fundamental consagrado por el art.
14 de la Constitución Nacional cuando expresa que todos los habitantes
gozan del derecho de publicar sus ideas por la prensa, sin censura previa,
y por el art. 32 de la misma ley fundamental que impone al Congreso
Federal la obligación de no dictar leyes que restrinjan la libertad de
imprenta. También se encuentra reconocido en la Declaración Americana
de Derechos y Deberes del Hombre y en los arts. 18 de la Declaración
Universal de Derechos Humanos, 13 del Pacto de San José de Costa Rica
y 18 del Pacto Internacional de Derechos Civiles y Políticos.
En particular, el art. 13 del Pacto de San José de Costa Rica (aprobado en
la República Argentina por ley 23.054) refiere: “Toda persona tiene
derecho a la libertad de pensamiento y de expresión. Este derecho
comprende la libertad de buscar, recibir y difundir informaciones e ideas
de toda índole, sin consideración de fronteras, ya sea oralmente, por
escrito o en forma impresa o artística o por cualquier otro procedimiento
de su elección”.
Asimismo, y en forma complementaria el artículo primero del decreto
1279/97 refiere que el servicio de Internet se considera comprendido
dentro de la garantía constitucional que ampara la libertad de expresión,
correspondiéndole en tal sentido las mismas consideraciones que a los
demás medios de comunicación social. El art. 1 de la ley 26.032 establece
que la búsqueda, recepción y difusión de información e ideas de toda
índole, a través del servicio de Internet, se considera comprendido dentro
de la garantía constitucional que ampara la libertad de expresión.
115
No existe duda entonces de que, como principio general, nuestro derecho
positivo reconoce el derecho inalienable de cualquier persona a expresar
y publicar sus ideas con total libertad y por cualquier medio, inclusive el
digital.
Empero, como todo derecho debe ejercerse en forma razonable, regular y
no abusiva ya que la ley no ampara el ejercicio abusivo de los derechos,
considerándose tal al que contraríe los fines que aquella tuvo en mira al
reconocerlos o al que exceda los límites impuestos por la buena fe, la
moral y las buenas costumbres.
Tal concepto lo refiere el art. 10 del Código Civil y Comercial de la
Nación cuando recepta la teoría del abuso del derecho y señala en concreto
que “…el ejercicio regular de un derecho propio o el cumplimiento de una
obligación legal no puede constituir como ilícito ningún acto. La ley no
ampara el ejercicio abusivo de los derechos. Se considera tal el que
contraría los fines del ordenamiento jurídico o el que excede los límites
impuestos por la buena fe, la moral y las buenas costumbres. El juez debe
ordenar lo necesario para evitar los efectos del ejercicio abusivo o de la
situación jurídica abusiva y, si correspondiere, procurar la reposición al
estado de hecho anterior y fijar una indemnización…”.
Todo ello de acuerdo al criterio adoptado por la Corte Suprema de Justicia
de la Nación en innumerables casos, al sostener que la libertad de
expresión es un derecho que es absoluto tan sólo desde la perspectiva de
que no puede someterse a censura previa, pero su ejercicio puede generar
responsabilidad en caso de abuso (“Ponzetti de Balbín c/La Razón”, LL,
2000-C-1244); es decir, aquel reconocimiento no implica impunidad
frente a la responsabilidad por los daños provocados en su ejercicio.
En efecto, es pacífica la doctrina de nuestro más alto Tribunal cuando
sostiene que “…En el sistema de nuestras instituciones, no hay derechos
absolutos sino que todos deben ejercerse con arreglo a las respectivas
leyes reglamentarias, indispensables para el orden social. La normativa
constitucional es genérica en este ámbito, es decir, enunciativa de los
derechos y principios fundamentales que las leyes regulan para su
116
ejercicio, las cuales siendo razonables no pueden impugnarse con éxito…”
(Fallos, 132:360) y que “…La admisión de un derecho ilimitado
importaría una concepción antisocial. Los derechos que la Constitución
consagra no son absolutos; están sujetos a limitaciones o restricciones
tendientes a hacerlos compatibles entre sí y con lo que corresponden a la
comunidad…” (Fallos, 253:133).
En conclusión, y de acuerdo al criterio expuesto, entiendo que los autores
de grupos de opinión en redes sociales o páginas de fans, y/o quienes
utilicen cualquier medio digital para la creación de contenidos podrán
expresar libremente lo que quieran amparándose en la libertad de
expresión, pero si el ejercicio del derecho se constituye en un ejercicio
abusivo por afectación al honor personal, deberán responder por los daños
y perjuicios causados, incluso hasta penalmente en caso de corresponder.
En materia de jurisprudencia, abundan en la República Argentina las
acciones judiciales promovidas contra buscadores de Internet (medidas
cautelares o medidas autosatisfactivas) que tienen por objeto preservar la
reputación de una persona u organización mediante el pedido de remoción
o bloqueo de acceso a determinado contenido.
Al respecto, distintas modelos publicitarias y reconocidos artistas,
futbolistas y aun funcionarios públicos han solicitado y obtenido el
dictado de medidas cautelares a su favor, que han ordenado suspender,
bloquear o dejar sin efecto cualquier vinculación efectuada por el
buscador entre su nombre (o imagen) y páginas de contenido sexual, de
acompañantes, tráfico de sexo o simplemente difamatorias.
El reclamo que obtuvo la primera sentencia judicial en Argentina fue
formulado por Virginia Da Cunha (modelo, cantante, actriz y ex integrante
del grupo musical “Bandana”), que demandó a los buscadores Google Inc.
y Yahoo! de Argentina S.R.L. por la suma de $ 200.000 en concepto de
daño moral y material, solicitando además el cese definitivo del uso
antijurídico y no autorizado de su imagen y de su nombre y su eliminación
de los sitios de contenido sexual, erótico y pornográfico, como así también
sus vinculaciones con dichos sitios y actividades, por directa afectación a
su honor personal.
117
En el caso “Bandana” la sentencia de primera instancia fue dictada por la
Dra. Virginia Simari, titular del Juzgado Nacional de Primera Instancia en
lo Civil no 75, en los autos caratulados “Da Cunha, Virginia c/Yahoo! de
Argentina S.R.L. y otro” (Expte. 99.620/06) a mediados del año 2009. La
magistrada hizo lugar parcialmente a la demanda de daños y perjuicios
promovida por la referida modelo, pero el 10 de agosto de 2010 la Sala D
de la Cámara Nacional en lo Civil revocó la sentencia de grado, aplicó las
normas de responsabilidad subjetiva para eximir de responsabilidad a los
buscadores y sentó el primer precedente de Cámara en el fuero4.
Posteriormente se dictaron otros precedentes, tanto en la Justicia Civil
como en la Justicia Civil y Comercial Federal, con resultados
contradictorios, ya que algunos fallos aplicaban las normas de
responsabilidad civil subjetiva y otros de responsabilidad civil objetiva.
Ello generó un ámbito de inseguridad jurídica que se mantuvo vigente
hasta que la Corte Suprema de Justicia de la Nación bajó línea en el caso
de la modelo Belén Rodríguez, de similares características, en cuanto a
los hechos, al caso “Bandana”5.
La Corte resolvió la cuestión aplicando el mismo criterio que he sostenido
varios años antes del dictado del precedente judicial del máximo
Tribunal6.
En particular, sostuve, en el texto citado, lo siguiente: (a) que no resultaba
aplicable al buscador “responsabilidad objetiva” (art. 1113 CC), ya que no
contribuye a la generación del daño ni como autor ni como editor del
contenido dañoso; (b) que sí le resultaban aplicables las normas de
responsabilidad subjetiva (arts. 512, 1109 y cc. del CC) por contenidos
publicados por terceros cuando existía un obrar negligente de su parte,
esto es, cuando se le comunicó (en forma fehaciente) la existencia de un
contenido ilícito y el buscador no toma las medidas necesarias para
bloquearlo, y (c) que el buscador tomará “conocimiento efectivo” de un
contenido dañoso cuando sea notificado extrajudicialmente de su
existencia y deberá proceder a bloquear el mismo si ha sido correctamente
individualizado (URL) y resulta ostensible y manifiestamente ilegal.
118
En esta misma línea de ideas, la Corte Suprema de Justicia de la Nación
estableció la siguiente doctrina: (a) Los derechos en conflicto eran la
libertad de expresión e información, por un lado, y el derecho al honor y
la imagen personal, por el otro. (b) No corresponde juzgar la
responsabilidad de los buscadores de Internet aplicando las normas de
responsabilidad objetiva (art. 1113 y conc. Código Civil). Corresponde
hacerlo a la luz de las normas de responsabilidad subjetiva (arts. 512, 1109
y conc del Código Civil). Los buscadores no están sujetos a la obligación
de monitorear los contenidos que se suben a la web. (c) Los buscadores
responden por contenidos publicados por terceros cuando hayan tomado
efectivo conocimiento de la ilicitud del contenido y no actúan
diligentemente para bloquear el acceso al mismo. (d) A partir del
momento del “efectivo conocimiento” de la existencia del contenido
ilícito de una página web, la “ajenidad” del buscador desaparece, y de no
procurar el bloqueo del resultado, sería responsable por culpa. (e) El
buscador toma “efectivo conocimiento” de la existencia de un contenido
ilícito y debe bloquear el resultado de búsqueda, cuando el damnificado le
remita una simple notificación privada, siempre que el contenido sea
manifiestamente ilícito (daño manifiesto y grosero a diferencia de otros
casos en que es opinable, dudoso o exige esclarecimiento). (f) La ilicitud
del contenido es manifiesta en los casos de “…pornografía infantil, datos
que faciliten la comisión de delitos, que instruyan acerca de éstos, que
pongan en peligro la vida o la integridad física de algunas o muchas
personas, que hagan apología del genocidio, del racismo o de otra
discriminación con manifiesta perversidad o incitación a la violencia, que
desbaraten o adviertan acerca de investigaciones judiciales en curso y que
deban quedar secretas, como también los que importen lesiones
contumeliosas al honor, montajes de imágenes notoriamente falsos o que,
en forma clara e indiscutible, importen violaciones graves a la privacidad,
exhibiendo imágenes de actos que por su naturaleza deben ser
incuestionablemente privados, aunque no sean necesariamente de
contenido sexual…”. (g) En los casos en que el contenido dañoso importe
eventuales lesiones al honor (o de otra naturaleza), pero que exija un
esclarecimiento que deba debatirse o precisarse en sede judicial o
administrativa para su efectiva determinación, se requiere una orden
judicial o administrativa para su bloqueo, no bastando la simple
comunicación del particular que se considere perjudicado.
Sin perjuicio de los casos que hemos mencionado de “modelos vs.
buscadores”, donde se persigue por los actores una reparación patrimonial
por el daño causado al honor personal, cabe también destacar el particular
119
tratamiento que se viene dando en la jurisprudencia argentina a los casos
de difamación de funcionarios púbicos.
El ejercicio de la función pública conlleva un mayor riesgo de sufrir
perjuicio por noticias difamatorias, ya que el ejercicio de la libre crítica de
los funcionarios por razón de actos de gobierno es una manifestación
esencial de la libertad de prensa, según se considera mayoritariamente en
la jurisprudencia (Fallos, 269:189).
A continuación, y al solo título ejemplificativo, mencionaré algunos
precedentes jurisprudenciales vinculados a la protección del honor de
funcionarios públicos por comentarios vertidos en redes sociales y
afectación a la reputación personal.
El 29 de septiembre de 2010, el Juzgado de Primera Instancia en lo Civil,
Comercial y Laboral de Rafaela (Santa Fe) ordenó la inmediata supresión
de los contenidos alojados en la página denominada “Me da vergüenza
que O. P. quiera ser gobernador en el 2011”, alojada en la red social
Facebook, incluyendo la eliminación de la fotografía del funcionario
involucrado publicada en el muro junto con algunos comentarios que lo
tildaban de corrupto, entre otras cosas7.
El fallo mencionado concluyó, luego de efectuar un detenido análisis
sobre los derechos personalísimos en juego y la libertad de expresión, que
“…Como puede advertirse la Corte nacional ha fijado reiteradamente su
opinión respecto del privilegio constitucional de que goza la libertad de
expresión pero indudablemente, también advierte que tal libertad no
constituye un bill de indemnidad para insultar, por lo que no parece
irrazonable la intervención preventiva del juez en un caso como el
particular, donde los calificativos utilizados en referencia al accionante
por algunos de los miembros del portal que se cuestiona aparecen sin lugar
a dudas directamente agraviantes, ofensivos y difamantes…”.
En este caso prevaleció el derecho al honor de un funcionario sobre el
derecho a expresar libremente las ideas. El vehículo procesal utilizado fue
una medida autosatisfactiva.
120
En otro fallo dictado por la Sala I de la Cámara Nacional de Apelaciones
en lo Civil y Comercial Federal, en la cual el actor solicitada que se ordene
a los buscadores “…que se elimine de sus motores de búsqueda la página
identificada como www.ferrobairescorrupta.com, toda vez que allí se
difunde información sobre su persona que considera agraviante (…) lo
que afecta su buen nombre y honor…”, el Tribunal entendió que no se
encontraba acreditada en autos la verosimilud del derecho invocado
poniendo el acento en la libertad de expresión al manifestar que “….cabe
destacar que no es procedente una prohibición en los términos en que fue
solicitada, que supone la imposibilidad de acceder a una página de Internet
que contiene –entre otras– información relativa a conductas que se
atribuyen al actor en ocasión de su desempeño como funcionario público
y que según aquel ha sido volcada en forma de ‘entradas’ en un blog (cfr.
anexos I y II a fs. 2/17) a través de la herramienta denominada ‘buscador’
de las destinatarias, toda vez que, en principio, encuentra como
impedimento los alcances de la ley 26.032 –B.O. 17/6/05– que establece
que ‘la búsqueda, recepción y difusión de información e ideas de toda
índole, a través del servicio de Internet, se considera comprendido dentro
de la garantía constitucional que ampara la libertad de expresión’ (cfr. art.
1º)...”8.
En este caso, independientemente de las situaciones particulares
evaluadas en relación a la procedencia de las medidas autosatisfactivas y
la verosimilitud del derecho invocado, se puso el acento en el ejercicio de
la libertad de expresión en relación a la función pública.
En otro precedente dictado por la Sala II de la misma Cámara Nacional de
Apelaciones en lo Civil y Comercial Federal en el cual se solicitó se
ordene a Google eliminar y/o bloquear el acceso al blogspot de “Crónicas
Fueguinas”, que era direccionado al incluir el nombre del actor en el
campo de búsqueda, la Sala consideró, entre otras cosas, que no se había
probado la imposibilidad de identificar al autor del blog, a lo que agregó
que “….no está de más precisar que la noticia de la que da cuenta el blog
se refiere a un supuesto hecho delictivo, prima facie encuadrable como de
interés público. De modo tal que, aun cuando el actor sea una persona
privada, la información se encontraría amparada por la garantía de la
libertad de expresión. Y eso determina, de acuerdo con la jurisprudencia
vigente de la Corte Suprema, la aplicación de la doctrina de la real malicia
121
para el juzgamiento de la conducta del editor (conf. lo resuelto el 13/12/11,
en las causas ‘Alsogaray, Álvaro Adolfo c/Editorial La Página S.A.
s/daños y perjuicios’ y ‘Melo, Leopoldo Felipe y otros c/Majul, Luis
Miguel s/daños y perjuicios’)…”9.
Como podrá apreciar el lector con la revisión de los fallos citados (y de
otros tantos similares que se han dictado), la ponderación de los derechos
en juego (honor y libertad de expresión) constituye una tarea constante
que debe desarrollar el juzgador.
Entre particulares también proliferan los reclamos por calumnias e injurias
en sede penal vertidas vía Twitter en particular y/o posteos en Facebook.
Un precedente interesante fue dictado el 27 de marzo de 2018 por el
Tribunal Oral en lo Criminal y Correccional no 22 de la Ciudad de Buenos
Aires, vinculado al delito de calumnias e injurias vertidas a través de la
red social Twitter. En el caso concreto, la imputada exteriorizó
expresiones calumniantes e injuriantes hacia la persona damnificada
utilizando un perfil de la referida red social denominado
“EVAargentina20”, afectando la reputación del querellante, el cual
decidió concurrir a la justicia local. El caso finalizó cuando el Tribunal
dispuso imponer a la querellada la práctica de 150 horas de servicio
comunitario, como así también la publicación de la parte resolutiva de la
sentencia10.
Los casos se replican en Tribunales, mientras en Argentina no contamos,
hasta la fecha en que escribo este artículo, con una norma específica
vinculada a la responsabilidad de los buscadores de Internet y las redes
sociales por contenidos publicados por terceros.
3. La reputación en la organización empresaria -
Ya he mencionado que uno de los activos intangibles más valiosos para
una empresa es su reputación frente a los consumidores y público general.
Este activo no figura en los balances pero incide decididamente en las
122
ganancias y en la distribución de dividendos. Y las redes sociales juegan
un importante papel11.
A mi entender, reitero, las redes sociales actúan como verdaderos espacios
de influencia y poder que pueden incrementar las ganancias de una
compañía o arrojarla a su peor pesadilla. Para ilustrar este concepto, y a
modo de ejemplo, transcribo a continuación dos casos que mencionan
Gonzalo Alonso y Alberto Arébalos en su libro La revolución horizontal
en relación a la industria del cine y a la gastronomía12:
En relación a la industria del cine en particular, los autores refieren: “...Un
ejemplo de la velocidad de la propagación de las opiniones y los impactos
en potenciales consumidores es la preocupación que, a mediados de 2009,
empezaron a manifestar firmas de marketing y relaciones públicas
vinculadas a la industria del cine de Hollywood. Tradicionalmente, los
estudios comparan la caída (o aumento) en la venta de entradas de un fin
de semana al siguiente para medir el efecto de las recomendaciones ‘boca
en boca’. Generalmente, el estreno marca el pico de ventas y estas van
declinando lentamente a lo largo de las semanas, un declive muy
pronunciado significa que las personas están recomendando a sus amigos
no ir a ver la película. Pues bien, los estudios están haciendo estas
mediciones ‘día a día’ por la sencilla razón de que el ‘boca en boca’ se
mueve a la velocidad y con el alcance de Facebook y Twitter. De acuerdo
a los estudios cinematográficos y las firmas que estudian el mercado del
público que asiste al cine –en particular en la crítica temporada de verano
en el hemisferio norte donde se estrenan las películas más taquilleras
llamadas pop-corn movies–, la gente tiene la capacidad de hacer saber su
opinión a una escala aún más amplia usando las redes sociales. En este
sentido, estos nuevos críticos de cine que pueden enviar sus opiniones
acerca de una película a sus seguidores desde su teléfono celular –incluso
antes de dejar la sala- podrían contribuir al éxito o causar el naufragio de
una inversión multimillonaria. En síntesis, si la mayoría de los que ven el
estreno un viernes manifiestan su disgusto por la película, ya para el
sábado en la noche la obra puede encaminarse a un desastre de taquilla
(…). Por otra parte, películas como ‘Transformers 2’, ‘Ice Age 3’, ‘The
Proposal’, ‘Public Enemies’ y ‘The Hangover’ aumentaron la venta de
boletos de viernes a sábado, gracias al buen ‘boca en boca’...”.
123
El otro ejemplo clásico data del año 2009, cuando dos empleados de
“Domino’s Pizza” decidieron filmarse en un local de Carolina del Norte.
El video incluía imágenes de un compañero de trabajo que se colocaba
tiras de queso en la nariz y estornudaba sobre una pizza mientras paseaba
su masa por distintas partes del cuerpo.
El video publicado por los mismos empleados en YouTube recibió más de
un millón de visitas antes que los dueños se enteraran. El daño se viralizó
en 48 horas y la facturación sufrió un impacto negativo. La reputación de
la compañía se vió directamente afectada.
Frente a este escenario que plantean los blogs y las redes sociales y su
efecto “boca a boca”, la protección de la imagen corporativa registra una
doble vía:
a) Por un lado, es fundamental una acción de comunicación empresaria
interna y externa. No hay peor situación que quedarse callado. La crítica,
en un mundo donde todos opinan y comentan, requiere claras respuestas,
lo que no implica confrontación ni conflicto. La transparencia es la mejor
estrategia de comunicación. Para responder es necesario escuchar
previamente. Para ello se requiere monitorear lo que “se dice de la
compañía” en los blogs, en las redes sociales y en el propio sitio web,
escuchando a los clientes, proveedores, competidores y empleados. A
tales efectos son recomendables acciones conjuntas entre el departamento
de comunicación de la empresa y sus abogados.
b) Por otro lado, también es necesaria una respuesta legal a cada situación
en particular. La acción pasa por identificar el contenido difamatorio (lo
que en muchos casos requiere contratar los servicios de agencias de
monitoreo de medios on line) y a su autor, para luego constatar
notarialmente la existencia de dicho contenido. Luego de identificado el
autor o el grupo de opinión que afecta la imagen de la empresa y luego de
realizadas, sin éxito, las acciones de comunicación pertinentes, se impone
una notificación que tiene por objeto eliminar el contenido difamatorio. Si
el procedimiento de notificación no tiene feliz acogida se deberá recurrir
a las acciones legales necesarias para obtener la remoción del contenido
difamatorio y reparación del daño causado.
124
4. El honor y el derecho al olvido -
El honor, derecho personalísimo amparado en el ámbito civil y penal, tal
como hemos analizado, reconoce relación directa con el derecho al olvido
digital.
El derecho al olvido es aquel que tiene una persona a borrar de internet,
suprimir y/o eliminar cualquier información sobre sí misma y preservar
de este modo su honor y/o su privacidad13.
La idea es que ciertos contenidos queden definitivamente enterrados en el
cementerio digital y que no resuciten milagrosamente, una y otra vez,
mediante la acción del buscador.
El derecho al olvido ha sido reconocido en la Unión Europea mediante un
fallo dictado por el Tribunal de Justicia de la Unión Europea que
consideró, el 13 de mayo de 2014, que los particulares tienen derecho a
requerir a los buscadores de Internet que eliminen contenidos de sus
resultados de búsqueda, especialmente si la información es perjudicial,
inexacta o carece de relevancia.
Puntualmente, este precedente fue promovido por Mario Costeja
González, quien, al incluir su nombre en el campo de búsqueda de Google,
era remitido a resultados de búsqueda que lo vinculaban a dos páginas del
diario La Vanguardia de enero y marzo de 1998, en las que figuraba un
anuncio de subasta de inmuebles relacionados con un embargo por deudas
de Seguridad Social que identificaba al reclamante. Costeja González
exigió a la Agencia Española de Protección de Datos Española que
requiera al diario la eliminación de las publicaciones a fin de dar debida
protección a sus datos personales como así también a Google Spain S.L.
y Google Inc. que eliminara los resultados de búsqueda en cuestión.
La Agencia Española de Protección de Datos desestimó el reclamo
respecto del diario La Vanguardia, pero lo declaró procedente respecto de
125
Google ya que habían transcurrido varios años desde la publicación en el
diario. Finalmente, el caso llegó a decisión del Tribunal de Justicia de la
Unión Europea (Gran Sala) que sentó jurisprudencia en la materia.
En una apretada síntesis, el Tribunal Superior sostuvo que: (a) el motor de
búsqueda desarrolla el “tratamiento de datos personales”; (b) dicho
tratamiento está sometido a las normas de protección de datos de la Unión
Europea, dado que Google, en el caso particular, vende espacios
publicitarios en España, habiendo creado un establecimiento para la
promoción y venta de espacios publicitarios, dirigiendo su actividad a los
habitantes de dicho Estado; (c) la protección de datos personales
prevalece, con carácter general, sobre el mero interés económico de los
buscadores; (d) el derecho al olvido no prevalece en casos en que el
reclamante tenga relevancia pública o se trate de un hecho de interés
público; (e) cualquier ciudadano europeo puede solicitar al buscador la
eliminación de contenidos que lo afecten en el marco y condiciones
establecidas en la Directiva de Protección de Datos 95/46/CE (y normativa
de protección de datos europea), y si el buscador no accede a retirar la
información el afectado podrá recurrir a la autoridad de protección de
datos local o al tribunal competente a solicitar la remoción del contenido
dañoso, y (f) el buscador debe considerar cada caso o reclamo puntual y
tomar una decisión (esto es, si elimina o no el contenido cuestionado).
Días después de dictado el fallo indicado, Google publicó un mecanismo
en línea que les permite a los ciudadanos europeos solicitar (en forma
fundada e identificando cada resultado de búsqueda mediante su URL) la
eliminación de contenidos obsoletos o agraviantes. Los pedidos no son
aceptados respecto de hechos de interés público o vinculados a
funcionarios públicos.
Si bien el formulario fue creado en principio para ciudadanos europeos
debería también aplicar para ciudadanos de la Unión Europea residentes
en otros países, ya que contradice el sentido común que se ofrezca una
solución efectiva y extrajudicial a un ciudadano italiano que habita en
Roma y no se garantice el mismo tratamiento a otro ciudadano italiano
que se domicilie en la Ciudad de Buenos Aires.
126
Entiendo razonable también su aplicación a cualquier persona (física o
jurídica), ya que todos somos ciudadanos digitales y guardamos igualdad
de tratamiento ante la ley. No resulta lógico que el buscador prevea
solución vía formulario a los ciudadanos europeos y no aplique la misma
solución para ciudadanos de Latinoamérica.
Finalmente, el derecho al olvido ha sido reconocido expresamente por el
Reglamento General de Protección de Datos de la Unión Europea
(Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo) que
comenzó a regir el 25 de mayo de 2018.
Mientras en la Unión Europea se ha reconocido este derecho junto a
avanzadas pautas para la protección de datos personales de sus
ciudadanos, en Argentina seguimos esperando una legislación básica
aplicable a buscadores de Internet y redes sociales, con la cual venimos
insistiendo desde la doctrina y jurisprudencia, desde hace muchos años. Y
seguimos esperando14.
5. El honor y el cleaning digital -
Hemos mencionado que el honor se juega en internet y que su protección
legal alcanza la esfera civil y penal. Sin embargo, en muchas ocasiones,
las acciones judiciales plantean largos escenarios de costosos litigios
cuando, en realidad, lo que pretende el interesado es eliminar en forma
inmediata un determinado resultado de búsqueda indexado por los
buscadores que afecta su reputación.
En la práctica, pretender “limpiar” un contenido de la web no es tarea
sencilla, por su efecto viral y porque los almacenes digitales (servidores)
se multiplican por el mundo replicando los datos e información personal
que siempre se puede encontrar en algún lejano servidor. Los derechos en
juego como la libertad de expresión, la privacidad, el honor y la imagen
juegan un papel importante en el trabajo de eliminación de lo que se
pretende olvidar.
127
Frente a esta realidad aparece la tarea de limpieza de reputación on line.
Entiendo por cleaning digital al conjunto de acciones técnicas,
extrajudiciales y/o judiciales necesarias para obtener la baja y/o
eliminación de un contenido en internet o el bloqueo de acceso al mismo
por el buscador. Ello implica identificar, constatar y limpiar contenido.
Existen algunas compañías que ofrecen servicios para preservar la
reputación y muy pocos abogados que practicamos profesionalmente la
tarea de cleaning digital.
Es evidente que nuestras vidas transitan dos caminos: una vida off line y
otra on line. Ello nos permite hablar de una identidad real que camina por
la calle todos los días y otra identidad digital que transita por la senda
virtual. Ambas identidades convergen en una misma persona.
La identidad digital se nutre de aquellos contenidos que se suben a la red.
Muchos contenidos son proporcionados voluntariamente por los usuarios
y otros son subidos por terceros a los que nunca les prestamos nuestra
autorización, con la consecuente y posible afectación de derechos
personalísimos. En otras palabras, la fuente de los contenidos que existen
en la red somos nosotros mismos, o terceros, que en la mayoría de los
casos no tienen nuestro consentimiento. Todo converge, inevitablemente,
en el mismo océano digital.
Los buscadores se encargan de sacar a la luz dichos contenidos, una y otra
vez, bajo un mismo principio: la libertad de expresión y de circulación de
contenidos on line aplicable a una Internet que, según algunos, se
autorregula y no requiere legislación.
Frente a esta realidad, la tarea de eliminación de contenidos en línea se ha
intensificado con la finalidad de poner límites a distintas situaciones que
afectan el honor y la reputación de las personas y que requieren de
adecuada protección legal.
128
Notas 1 CNCiv., Sala J, autos “K.A.P. c/Yahoo de Argentina S.R.L. y otro”,
31/8/12, con cita a Rivera, Julio César, Instituciones de Derecho Civil, t.
II,
Buenos
Aires,
1993,
p.
109.
2 Fallo citado anteriormente con la referencia hecha a Cifuentes, Santos,
Derechos Personalísimos, pp. 455 y ss.; Zannoni, Eduardo, El daño en la
responsabilidad
civil,
p.
353.
3 CNCiv., Sala J, 21/10/08, “P. J. L. c/P. de C. C. S.A. y otros s/daños y
perjuicios”, ED, 231-75; 28/9/09, expte. nº 101.903/2005, “Ochoa, Raúl
Vladimiro c/Recoletos Argentina S.A. s/daños y perjuicios–ordinario”;
ED Digital (62205); 15/2/11, expte. nº 88.484/2000, “Román Hontakly,
César Adrián c/Hechy, Marta Susana y otros s/daños y perjuicios”, entre
otros.
4 Ver CNCiv., Sala D, 10/8/10, LL, 2010-E-108, con nota de Tomeo,
Fernando, Responsabilidad civil de buscadores de Internet.
5 CSJN, “Rodríguez, María Belén” (Fallos, 337:1174).
6 Ver Tomeo, Fernando, Redes sociales y tecnonologías 2.0, 2ª ed.,
capítulo primero, Sección B, Astrea, Buenos Aires, pp. 11 y ss.
7 Autos “P. O. c/Facebook Inc. s/medida autosatisfactiva”, expte.
1113/2010, 29/9/10, Juzgado Nacional de Primera Instancia en lo Civil,
Comercial
y
Laboral
de
Rafaela
(Santa
Fe).
8 CNCCF, Sala I, autos “De Belaustegui, Jorge Ignacio c/Google Inc. y
otros s/medidas autosatisfactivas”, 30/11/10, causa 6221/2010.
9 CNCCF, Sala II, autos “W. J. A. s/medida autosatisfactiva”, 15/2/12,
expte.
5913/2011.
10 Sentencia del Tribunal Oral en lo Criminal y Correccional nº 27 de la
Capital
Federal,
causa
5270 (19.740/2017) de 27/3/18.
11 Tomeo, Fernando, “La protección de la imagen y la reputación
corportativa en la web 2.0”, La Ley Actualidad, 2/2/10.
12 Alonso, Gonzalo y Arébalos, Alberto, La revolución horizontal,
Ediciones
B,
Buenos
Aires,
2009,
pp.
191
y
ss.
13 Tomeo, Fernando, “El derecho al olvido en internet”, La Ley del 18 de
julio
de
2014.
14 Tomeo, Fernando, “Responsabilidad civil de buscadores de internet”,
La Ley, 30/8/10; Castrillo, Carlos, “Responsabilidad civil de los
buscadores de internet”, LL sup. act. 11/1/10; Borda, Guillermo (h), “La
responsabilidad de los buscadores de Internet”, JA, 2010-II del 9/6/10;
Feldstein de Cárdenas, Sara L. y Scotti, Luciana B., “Internet, comercio
129
electrónico y derecho a la intimidad: un avance de los tribunales
argentinos”, elDial.com; Frene, Lisandro, “Responsabilidad de los
“buscadores” de Internet”, LL, 2009-F-1219; Granero, Horacio R.,
“¿Existe un nuevo concepto de daño? (la responsabilidad actual del
Derecho Civil)”, elDial.com Suplemento de Derecho de la Alta
Tecnología; Thomson, Federico, “Daños causados a través de buscadores
de Internet”, LL sup. 26/3/10, pp. 7-8; Tomeo, Fernando, “La protección
de la imagen y la reputación corporativa en la Web 2.0”, LL sup. act.
2/2/10; Uzal, María Elsa, “Jurisdicción y derecho aplicable en las
relaciones jurídicas por Internet”, ED, 208-719; Vaninetti, Hugo Alfredo,
“La responsabilidad civil de los buscadores en Internet. Afectación de los
derechos personalísimos. Supuestos para analizar”, ED, sup. del 16/6/10,
nº 12.525; Tomeo, Fernando, “La responsabilidad civil en la actividad
informática”, Revista de Responsabilidad Civil y Seguros, t. 3, marzo
2010, pp. 99-111; “Nuevo Proyecto de Ley para Proveedores de Servicio
de Internet”, en Suplemento Actualidad del diario La Ley del 3 de mayo
de 2011; “Las redes sociales y su régimen de responsabilidad civil”, en La
Ley de 14 de mayo de 2010; ponencia titulada “¿Deben responder las
redes sociales por contenidos publicados por terceros?, presentada en el
Segundo Congreso Internacional Latina de Comunicación Social, La
Laguna, Tenerife, diciembre 2010; www.revistalatinacs.org.
Reforma Fiscal
Gravamen que recae sobre las monedas virtuales en función de la
reforma introducida por la ley 27.430
Consecuencias en materia penal tributaria y lavado de dinero
Rodolfo R. Flórez
1. Introducción -
Sin perjuicio de que una parte de la doctrina realiza una diferencia entre
las monedas virtuales y las monedas digitales, lo cierto que para el
130
presente asimilaré ambos conceptos, pues la ley 20.628 modificada por la
ley 27.430 grava ambas indistintamente.
En efecto, considero que al haberse definido como ganancias los
resultados obtenidos, entre otros, por las monedas digitales, bonos y
demás valores, la ley incluyó dentro de dicho concepto a ambas, por lo
que en el presente me referiré indistintamente.
Respecto a las monedas virtuales, el GAFI, en su informe titulado
“Monedas virtuales, definiciones, claves y riesgos potenciales de LA/FT
(Lavado de Activos/contra la Financiación del Terrorismo)”, de junio de
2014, aporta las siguientes definiciones: “…Moneda virtual es una
representación digital de valor que puede ser comerciada digitalmente y
funciona como un medio de cambio; y/o una unidad de cuenta; y/o un
depósito de valor, pero no tiene curso legal (es decir, cuando se ofrece a
un acreedor, es una oferta válida y legal de pago) en ninguna jurisdicción.
Ninguna jurisdicción emite o garantiza las monedas virtuales, y cumple
con las funciones antes mencionadas por común acuerdo de la comunidad
de sus usuarios. La moneda virtual se distingue del dinero fiduciario
(moneda real, dinero real o moneda nacional), por que este funciona como
la moneda y el papel moneda de un país designado como dinero de curso
legal, que circula, se utiliza y acepta como medio de intercambio en el país
emisor (...). Moneda virtual convertible (o abierta) tiene un valor
equivalente en moneda real y puede ser intercambiada una y otra vez por
dinero real. Algunos ejemplos incluyen: Bitcoin (…), lanzado en 2009,
fue la primera moneda virtual convertible descentralizada y la primera
criptomoneda (…). Un intercambiador (también llamado a veces servicio
de intercambio de moneda virtual) es una persona o entidad que ejerce una
actividad en el intercambio de moneda virtual por dinero real, fondos y
otras formas de moneda virtual, así como metales preciosos o viceversa,
a cambio de una tasa (…) un usuario es una persona/entidad que obtiene
dinero virtual y lo utiliza para comprar bienes o servicios reales o
virtuales, enviar transferencias en su capacidad personal a otra persona, o
que mantiene la moneda virtual como una inversión”.
Sentado ello, como primera medida cabe mencionar que dentro del
universo de este tipo de monedas, el bitcoin es la que más repercusión y
expansión ha experimentado desde su creación1; es por ello que los
actores de la delincuencia económica comenzaron a usarla. De hecho,
131
podría considerarse una de las técnicas más sofisticadas y complejas para
lavar activos ilícitos2 e incluso, en un futuro, podría ser usado como medio
para evadir impuestos.
1.1. Moneda virtual más usada: definición de bitcoin
El bitcoin no sólo es la moneda digital más conocida y usada, sino que fue
la primera moneda virtual descentralizada. En otras palabras, es una
unidad de cuenta compuesta de cadenas únicas de números y letras, que
constituye una unidad de moneda, y su valor está dado solamente por lo
que los usuarios están dispuestos a pagar por ella3. Lo interesante de esta
moneda viene a ser el cambio de los parámetros respecto a que su
cotización no está dada por el respaldo en divisas sino por cuánto quieran
pagar los usuarios por ella.
Además, se comercializa digitalmente entre los usuarios contando con un
alto grado de aceptación y anonimato, pudiéndose intercambiar (comprar
o canjear) por dólares estadounidenses, euros y otras monedas fiduciarias
o virtuales.
Dentro de las características de esta moneda virtual corresponde destacar
las siguientes:
1. Es descentralizada, es decir que se basa en una tecnología peer-to-peer
(P2P, persona a persona)4, y no cuenta con una autoridad de
administración, monitoreo o supervisión central; es controlada por los
propios usuarios.
2. Es convertible o abierta, lo que significa que tiene un valor equivalente
en moneda real y se puede convertir en moneda de curso legal.
3. Promueve la libertad económica basada en el pseudo-anonimato y una
seguridad de alta tecnología a través de la blockchain (o cadena de
bloque), que se trata de un registro público –compartido por todos los
132
usuarios– que recoge todas y cada una de las transacciones de BTC
realizadas hasta la fecha.
4. Las transacciones con BTC, que no contienen datos personales5, se
efectivizan en cuestión de segundos, se pueden recibir en cualquier
momento y parte del mundo, son de bajo o nulo coste, seguras e
intrínsecamente irreversibles.
5. El sofisticado sistema criptográfico por el que está diseñada hace
imposible su duplicación o falsificación.
Dicho esto, corresponde efectuar una pequeña explicación del tratamiento
que efectúa la Ley de Impuesto a las Ganancias de las monedas virtuales
dentro de las cuales se encuentra el bitcoin.
2. Reforma fiscal. Rendimientos de las monedas virtuales -
2.1. Las monedas digitales como ganancias gravadas por el Impuesto a
las Ganancias
La denominada Reforma fiscal realizada mediante la ley 27.430, y por la
cual se reformaron varios impuestos nacionales, introdujo una novedad
gravando con el Impuesto a las Ganancias los rendimientos obtenidos por
las monedas virtuales.
En efecto, el art. 2 de la Ley de Impuesto a las Ganancias establece: “A
los efectos de esta ley son ganancias, sin perjuicio de lo dispuesto
especialmente en cada categoría y aun cuando no se indiquen en ellas:
”1. Los rendimientos, rentas o enriquecimientos susceptibles de una
periodicidad que implique la permanencia de la fuente que los produce y
su habilitación.
133
”2. Los rendimientos, rentas, beneficios o enriquecimientos que cumplan
o no las condiciones del apartado anterior, obtenidos por los responsables
incluidos en el art. 69 y todos los que deriven de las demás sociedades o
de empresas o explotaciones unipersonales, excepto que, no tratándose de
los contribuyentes comprendidos en el art. 69, se desarrollaran actividades
indicadas en los incs. f) y g) del art. 79 y estas no se complementaran con
una explotación comercial, en cuyo caso será de aplicación lo dispuesto
en el apartado anterior.
”3. Los resultados provenientes de la enajenación de bienes muebles
amortizables, cualquiera sea el sujeto que las obtenga.
”4. Los resultados derivados de la enajenación de acciones, valores
representativos y certificados de depósito de acciones y demás valores,
cuotas y participaciones sociales –incluidas cuota-partes de Fondos
Comunes de Inversión y certificados de participación de fideicomisos
financieros y cualquier otro derecho sobre fideicomisos y contratos
similares–, monedas digitales, títulos, Bonos y demás valores, cualquiera
sea el sujeto que las obtenga.
5. Los resultados derivados de la enajenación de inmuebles y de la
transferencia de derechos sobre inmuebles, cualquiera sea el sujeto que las
obtenga” (el destacado me pertenece).
Al respecto, cabe mencionar que la novedad de este artículo es el hecho
de que los resultados provenientes de la venta de alguna moneda digital –
como podría ser el bitcoin– pasan a estar gravados por el Impuesto a las
Ganancias independientemente de la persona que las obtenga. De esta
manera, el hecho imponible es la enajenación de la moneda digital, lo cual
le produce una ganancia al contribuyente sin importar si aquella constituye
una fuente susceptible de obtener ganancias, sino que basta simplemente
con su enajenación para que esté alcanzada por el tributo.
2.2. Tratamiento impositivo de las monedas digitales
134
Ahora bien, un problema que puede presentarse es el momento en el cual
se considera configurado el hecho imponible mediante el que se gravan
las operaciones efectuadas con la moneda virtual, pues el art. 3 de la norma
mencionada indica que “…a los fines indicados en esta ley se entenderá
por enajenación la venta, permuta, cambio, expropiación aporte a
sociedades y en general, todo acto de disposición por el que se transmita
el dominio a título oneroso…”.
Al respecto, Luis Omar Fernández señala: “…En el caso de los hechos
imponibles relacionados con la transferencia de bienes, tiene importancia
establecer cuándo ellos salen del patrimonio de un sujeto, porque ese es el
principal momento elegido por la ley para que se revele la ganancia, se la
mida y se la grave (incorpore a la base imponible) (…). Al producirse la
salida del bien de un patrimonio, se está en condiciones de calificar la
renta (gravada, exenta, no alcanzada), medirla si corresponde y,
simultáneamente, darle ingreso al bien al patrimonio de quien lo recibe y
establecer el valor al que se incorpará aquel a este universalidad…”6.
De esta manera, podemos afirmar que en el caso de las ventas de monedas
digitales, el hecho imponible acaecerá en el momento en que sale de su
patrimonio –en este caso sería de su billetera virtual– y se incorpora a otro.
En otras palabras, la enajenación de una moneda digital se va a dar en el
momento en que aquella sea transferida a otra billetera virtual, se adquiera
un bien material o digital o se cambie por alguna moneda de curso legal,
y su valuación estará dada por el valor del objeto adquirido.
Sentado ello, una vez definido que los rendimientos obtenidos por la
enajenación de monedas digitales se encuentra alcanzada por el Impuesto
a las Ganancias, corresponde establecer dentro de cuáles de las cuatro
categorías previstas por el tributo en cuestión deberán tributar.
La Ley de Impuesto a las Ganancias clasifica las rentas alcanzadas en
cuatro tipo de categorías distintas, cuya inclusión depende “…de dos
factores: su naturaleza económica, determinada especialmente por los
bienes o la actividad de la que fluye, y el sujeto que las obtiene; así, de
acuerdo con el primer factor, las rentas se clasifican por su origen en
resultados obtenidos de bienes inmuebles, de derechos, del trabajo
personal y del comercio y la industria en su mas amplio sentido.
135
”Por su parte, las nombradas en segundo término ejercen una especie de
fuero de atracción sobre las rentas que no pueden encuadrarse en las
demás categorías, se trata de una categoría residual. Además, influye en
forma determinante el sujeto que las obtiene, que, simplemente por
realizarlas, las convierte en rentas de la tercera categoría…”7.
Las rentas obtenidas por los rendimientos obtenidos por la negociación de
monedas digitales, como por ejemplo los mencionados bitcoins,
encuadran dentro de la segunda categoría, correspondiente a las rentas de
capital, en tanto y en cuanto aquellas operaciones no hayan sido
efectuadas por una empresa.
En efecto, el art. 45 de ley 20.628 (modificada por la ley 27.430) establece:
“En tanto no corresponda incluirlas en el art. 49 de esta ley, constituyen
ganancias de la segunda categoría:
”a) La renta de títulos, cédulas, bonos, letras de tesorería, debentures,
cauciones o créditos en dinero o valores privilegiados o quirografarios,
consten o no en escritura pública, y toda suma que sea el producto de la
colocación del capital, cualquiera sea su denominación o forma de pago.
”b) Los beneficios de la locación de cosas muebles y derechos, las regalías
y los subsidios periódicos.
”c) Las rentas vitalicias y las ganancias o participaciones en seguros sobre
la vida.
”d) Los beneficios netos de aportes no deducibles, provenientes del
cumplimiento de los requisitos de los planes de seguro de retiro privados
administrados por entidades sujetas al control de la Superintendencia de
Seguros, en cuanto no tengan su origen en el trabajo personal.
136
”e) Los rescates netos de aportes no deducibles, por desistimiento de los
planes de seguro de retiro a que alude el inciso anterior, excepto que sea
de aplicación lo normado en el art. 101.
”f) Las sumas percibidas en pago de obligaciones de no hacer o por el
abandono o no ejercicio de una actividad. Sin embargo, estas ganancias
serán consideradas como de la tercera o cuarta categoría, según el caso,
cuando la obligación sea de no ejercer un comercio, industria, profesión,
oficio o empleo.
”g) El interés accionario que distribuyan las cooperativas, excepto las de
consumo. Cuando se trate de las cooperativas denominadas de trabajo,
resultará de aplicación lo dispuesto en el art. 79, inc. e).
”h) Los ingresos que en forma de uno o más pagos se perciban por la
transferencia definitiva de derechos de llave, marcas, patentes de
invención, regalías y similares, aun cuando no se efectúen habitualmente
esta clase de operaciones.
”i) Los dividendos y utilidades, en dinero o en especie, que distribuyan a
sus accionistas o socios las sociedades comprendidas en el inc. a) del art.
69.
”j) Los resultados originados por derechos y obligaciones emergentes de
instrumentos y/o contratos derivados.
”Asimismo, cuando un conjunto de transacciones con instrumentos y/o
contratos derivados, sea equivalente a otra transacción u operación
financiera con un tratamiento establecido en esta ley, a tal conjunto se le
aplicarán las normas de las transacciones u operaciones de las que resulte
equivalente (Inciso incorporado por ley 25.063, Título III, art. 4°, inc. l).
”k) Los resultados provenientes de operaciones de enajenación de
acciones, valores representativos y certificados de depósito de acciones y
demás valores, cuotas y participaciones sociales –incluidas cuotapartes de
137
fondos comunes de inversión y certificados de participación de
fideicomisos y cualquier otro derecho sobre fideicomisos y contratos
similares–, monedas digitales, Títulos, bonos y demás valores, así como
por la enajenación de inmuebles o transferencias de derechos sobre
inmuebles (Inciso sustituido por art. 30 de la ley 27.430; B.O. 29/12/17.
Vigencia: el día siguiente al de su publicación en el Boletín Oficial y
surtirán efecto de conformidad con lo previsto en cada uno de los Títulos
que la componen. Ver art. 86 de la Ley de referencia)”.
En cambio, si aquella operación fuese realizada por un sujeto empresa, las
ganancias obtenidas por la venta de las monedas digitales entrarían dentro
de la tercera categoría, pues se encuadra únicamente por el sujeto que
realiza la transacción, independientemente de la naturaleza económica que
posea la renta8.
En ese sentido, el art. 49 de la Ley de Impuesto a las Ganancias establece:
“…Constituyen ganancias de la tercera categoría:
”a) Las obtenidas por los responsables incluidos en el art. 69.
”b) Todas las que deriven de cualquier otra clase de sociedades
constituidas en el país.
”c) Las derivadas de fideicomisos constituidos en el país en los que el
fiduciante posea la calidad de beneficiario, excepto en los casos de
fideicomisos financieros o cuando el fiduciante-beneficiario sea un sujeto
comprendido en el Título V.
”d) Las derivadas de otras empresas unipersonales ubicadas en el país.
”e) Las derivadas de la actividad de comisionista, rematador,
consignatario y demás auxiliares de comercio, no incluidos expresamente
en la cuarta categoría.
138
”f) Las derivadas de loteos con fines de urbanización, las provenientes de
la edificación y enajenación de inmuebles bajo el régimen de propiedad
horizontal del Código Civil y Comercial de la Nación y del desarrollo y
enajenación de inmuebles bajo el régimen de conjuntos inmobiliarios
previsto en el mencionado código.
”g) Las demás ganancias no comprendidas en otras categorías.
”También se considerarán ganancias de esta categoría las compensaciones
en dinero y en especie, los viáticos, etcétera, que se perciban por el
ejercicio de las actividades incluidas en este artículo, en cuanto excedan
de las sumas que la Administración Federal de Ingresos Públicos juzgue
razonables en concepto de reembolso de gastos efectuados.
”Cuando la actividad profesional u oficio a que se refiere el art. 79 se
complemente con una explotación comercial o viceversa (sanatorios, etc.),
el resultado total que se obtenga del conjunto de esas actividades se
considerará como ganancia de la tercera categoría”.
En resumen, si la enajenación de monedas digitales fuese efectuada por
una empresa, sociedad o actividad unipersonal, las rentas obtenidas por
aquella operación se clasificarían en la tercera categoría. En cambio, si los
rendimientos no fuesen efectuados por ninguna de esas personas, como
una persona física, encuadraría dentro de la segunda categoría del
Impuesto a las Ganancias.
Ahora bien, la explicación efectuada anteriormente tiene una razón de ser
muy importante: el que unas ganancias encuadren dentro de la segunda o
tercera categoría tiene consecuencias respecto de la imputación que debe
efectuarse.
En efecto, si los resultados obtenidos por la venta de monedas virtuales
encuadran dentro de la segunda categoría, tributarían por lo percibido. En
cambio, si recaen en la tercera categoría, tributan por lo devengado.
139
Al respecto, el inc. a del art. 18 señala: “…Las ganancias obtenidas como
dueño de empresas civiles, comerciales, industriales, agropecuarias o
mineras o como socios de las mismas, se imputarán al año fiscal en que
termine el ejercicio anual correspondiente.
”Las ganancias indicadas en el art. 49 se consideran del año fiscal en que
termine el ejercicio anual en el cual se han devengado…”.
En cambio, el inc. b de la norma mencionada indica: “…Las demás
ganancias se imputarán al año fiscal en que hubiesen sido percibidas,
excepto las correspondientes a la primera categoría que se imputarán por
el método de lo devengado…”.
Por ello, en el caso del criterio de lo percibido se tributará desde el
momento en que el resultado obtenido por la operación ingrese a su
patrimonio. En cambio, si aquella operación encuadrara dentro de la
tercera categoría por haber sido efectuada por una sociedad anónima por
ejemplo, debería tributar por lo devengado, es decir desde el momento en
que resulta exigible la operación independientemente del cumplimiento
de aquella.
2.3. Momento a partir del cual tributan las monedas virtuales
Dicho esto, cabe preguntarse desde qué momento debe un contribuyente
declarar las ganancias producidas por la venta de monedas digitales. Es
decir, a partir de cuándo se encuentran gravados los rendimientos
producidos por las operaciones efectuadas con monedas virtuales.
La respuesta, desde mi óptica, sería clara: en función del principio de
legalidad9, las ganancias producidas por este tipo de monedas deberían
ser declaradas recién a partir del ejercicio anual 2018, pues anteriormente
no se encontraba establecido por la norma.
En ese sentido, la Corte Suprema de Justicia de la Nación entendió que
“…ninguna carga tributaria puede ser exigible sin la preexistencia de una
140
disposición legal encuadrada dentro de los preceptos y recaudos
constitucionales, esto es válidamente creada por el único poder del Estado
investido de tales atribuciones...”10.
Asimismo, el maestro Villegas afirma: “…El principio de legalidad es un
principio fundamental del derecho tributario, sintetizado en el aforismo
‘no hay tributo sin ley que lo establezca’, inspirado en el tan conocido del
derecho penal nullun crimen, nulla pena sine lege.
”Este principio implica que todo tributo sea sancionado por una ley,
entendida esta como la disposición que emana del órgano constitucional
que tiene la potestad legislativa conforme a los procedimientos
establecidos por la Constitución para la sanción de las leyes y encuentra
su fundamento en la necesidad de proteger a los contribuyentes en su
derecho de propiedad. Los Tributos importan restricciones a ese derecho,
ya que en virtud de ellos se sustrae, a favor del Estado, algo del patrimonio
de los particulares. De allí que, en el Estado de derecho, esto no sea
legítimo si no se obtiene por decisión de los órganos representativos de la
soberanía popular”11.
En consecuencia, teniendo en consideración lo dispuesto por el principio
de legalidad entendido como nullun tributum sine lege, cabe concluir que
las distintas monedas digitales pasan estar gravadas desde el momento de
la entrada en vigencia de la ley 27.430 (B.O. 29/12/17), esto es el 30 de
diciembre de 2017. Por lo tanto, a menos que un contribuyente justo haya
tenido ingresos por venta de monedas digitales el 30 de diciembre de
2017, recién en las declaraciones juradas correspondientes al ejercicio
anual 2018 se tendrán que declarar las rentas producidas por las monedas
digitales y, obviamente, a partir de allí comenzará a regir la tutela penal
tributaria sobre aquellas.
3. Consecuencias penales tributarias -
3.1. Introducción
141
En primer lugar, cabe mencionar que la reforma fiscal introducida por la
ley 27.430 estableció un nuevo Régimen Penal Tributario y derogó la ley
24.769. Por ello, esta ley es el punto de partida mediante el cual se permite
investigar las posibles infracciones tributarias por el uso de monedas
digitales.
Sentado ello, dentro del universo de delitos previstos en el mencionado
régimen, creo que la conducta que podría llevarse a cabo mediante el uso
de monedas digitales sería la de evasión tributaria, prevista y reprimida
por el art. 1° del art. 279 de la ley 27.430, la cual reza: “…Será reprimido
con prisión de dos (2) a seis (6) años el obligado que mediante
declaraciones engañosas, ocultaciones maliciosas, o cualquier otro ardid
o engaño, sea por acción o por omisión, evadiere total o parcialmente el
pago de tributos al fisco nacional, al fisco provincial o a la Ciudad
Autónoma de Buenos Aires, siempre que el monto evadido excediere la
suma de un millón quinientos mil de pesos ($ 1.500.000) por cada tributo
y por cada ejercicio anual, aun cuando se, tratare de un tributo instantáneo
o de período fiscal inferior a un (1) año”.
El bien jurídico tutelado de la ley penal tributaria es la hacienda pública
en un sentido dinámico, esto es, la actividad financiera del Estado como
proceso dirigido a obtener recursos y realizar el gasto público, mejor
expresado como sistema de recaudación normal de ingresos para solventar
el gasto público demandado por la atención de los cometidos básicos del
Estado12.
De esta manera, la evasión no sólo lesiona el ingreso público tendiente a
obtener recursos, sino que, tal como expresara la Corte Suprema de
Justicia de la Nación: “…Las normas fiscales no persiguen como única
finalidad la recaudación, pues exceden el mero propósito de mantener la
integridad de la renta fiscal y se inscriben en un marco jurídico general y
reconocido contenido social, en el cual la sujeción de los particulares a las
normas tuteladas por los tipos penales constituye el núcleo sobre el cual
gira todo el sistema económico y de la circulación de bienes…”13.
Al estar gravadas las rentas obtenidas mediante enajenación de monedas
digitales, los contribuyentes que no declaren las operaciones realizadas
142
con aquellas y superen la condición objetiva de punibilidad, incurrirán en
la conducta de evasión tributaria simple.
En efecto, el uso de monedas digitales podría constituir un medio bastante
moderno para ocultar las ganancias obtenidas por actividades susceptibles
de producir renta gravada. Incluso, la ley va más allá y grava las ventas de
estas monedas con el Impuesto a las Ganancias, independientemente de
quién la realice o si conforman una actividad habitual, demostrando de
esta manera la intención del legislador de otorgarles un marco legal a las
operaciones efectuadas mediante este tipo de dinero virtual.
Asimismo, la evasión del pago del Impuesto a las Ganancias podría darse
mediante la ocultación maliciosa de los rendimientos obtenidos por las
monedas digitales, ya sea por no registrarlas en la declaración jurada
correspondiente o directamente, por no presentar declaración jurada
alguna, lo que traería aparejado el ocultamiento de estas rentas. Entonces,
el desafío que se avecina respecto a las investigaciones penales tributarias
de este tipo será el de encontrar los medios idóneos para detectar a los
titulares de las operaciones realizadas, por ejemplo, mediante bitcoins, lo
cual sería susceptible de producir renta gravada –conforme se explicara
anteriormente– por aplicación del art. 2, inc. d, de la Ley de Impuesto a
las Ganancias.
Por lo tanto, será importantísimo poder llegar a crear sistemas que puedan
identificar la titularidad de las billeteras digitales o, por qué no, regímenes
de información que permitan identificar las operaciones realizadas por
este tipo de monedas y, de esta manera, detectar el movimiento de dinero
y combatir las posibles evasiones al Impuesto a las Ganancias por este
medio.
También, sería importante establecer sistemas que permitan detectar
cuándo se compran bienes materiales mediante una moneda virtual (sean
registrables o no) y determinar la cantidad que se necesitó para poder
adquirir ese objeto. En otras palabras, con los medios que tenemos a
disposición al día de hoy, la mejor opción para identificar operaciones con
monedas virtuales es detectar el momento en el cual, mediante aquellas,
se compran bienes materiales y constituye una moneda de cambio en el
mercado.
143
Por ejemplo, si las empresas que aceptan que se les pague con monedas
digitales –por ejemplo bitcoins– fuesen instituidas como agentes de
información, tendríamos una herramienta que nos permitiría detectar a las
personas y los movimientos que se hicieron mediante este tipo de
monedas.
En consecuencia, resulta bastante acertado haber gravado las rentas
obtenidas por el uso de moneda digitales, pues no sólo las fluctuaciones
que tuvo el bitcoin produjeron grandes ganancias que quedaron fuera del
alcance de cualquier tipo de tributo, sino que además se nos presenta un
desafío muy interesante, el cual deberemos sortear mediante el uso de
medios de investigación tecnológicos avanzados a fin de poder combatir
las nuevas formas de criminalidad económica, que en este caso
impactarían sobre las rentas soberanas. Comenzar a legislar en materia
impositiva al respecto es un punto de partida conveniente.
4. Lavado de dinero mediante el uso de monedas digitales -
4.1. Marco legal
En primer lugar, cabe mencionar que el Código Penal, en su art. 303,
establece el delito de lavado de activos de origen delictivo, o más conocido
como lavado de dinero, el cual lo tipifica de la siguiente manera:
“1) Será reprimido con prisión de tres (3) a diez (10) años y multa de dos
(2) a diez (10) veces del monto de la operación, el que convirtiere,
transfiriere, administrare, vendiere, gravare, disimulare o de cualquier otro
modo pusiere en circulación en el mercado, bienes provenientes de un
ilícito penal, con la consecuencia posible de que el origen de los bienes
originarios o los subrogantes adquieran la apariencia de un origen lícito,
y siempre que su valor supere la suma de pesos trescientos mil ($
300.000), sea en un solo acto o por la reiteración de hechos diversos
vinculados entre sí.
144
”2) La pena prevista en el inciso 1 será aumentada en un tercio del máximo
y en la mitad del mínimo, en los siguientes casos:
”a) Cuando el autor realizare el hecho con habitualidad o como miembro
de una asociación o banda formada para la comisión continuada de hechos
de esta naturaleza;
”b) Cuando el autor fuera funcionario público que hubiera cometido el
hecho en ejercicio u ocasión de sus funciones. En este caso, sufrirá además
pena de inhabilitación especial de tres (3) a diez (10) años. La misma pena
sufrirá el que hubiere actuado en ejercicio de una profesión u oficio que
requirieran habilitación especial.
”3) El que recibiere dinero u otros bienes provenientes de un ilícito penal,
con el fin de hacerlos aplicar en una operación de las previstas en el inciso
1, que les dé la apariencia posible de un origen lícito, será reprimido con
la pena de prisión de seis (6) meses a tres (3) años.
”4) Si el valor de los bienes no superare la suma indicada en el inciso 1,
el autor será reprimido con la pena de prisión de seis (6) meses a tres (3)
años.
”5) Las disposiciones de este artículo regirán aún cuando el ilícito penal
precedente hubiera sido cometido fuera del ámbito de aplicación espacial
de este Código, en tanto el hecho que lo tipificara también hubiera estado
sancionado con pena en el lugar de su comisión”.
Al respecto, el GAFI indicó: “Las monedas virtuales convertibles que se
pueden cambiar por moneda real u otras monedas virtuales son
potencialmente vulnerables al abuso de lavado de activos y la financiación
terrorista por muchos de los motivos identificados en las Directrices NPPS
(nuevo productos de pago y servicios) de 2013. En primer lugar, pueden
permitir un mayor anonimato que los métodos tradicionales de pago sin
efectivo. Los sistemas de moneda virtual pueden ser comercializados en
Internet, generalmente se caracterizan por relaciones de clientes no cara a
cara y pueden permitir financiación anónima (financiación en efectivo o
145
financiación por terceros a través de cambiadores virtuales que no
identifican correctamente la fuente de financiamiento). Puede también
permitir transferencias anónimas, si el remitente y el destinatario no están
adecuadamente identificados. Los sistemas descentralizados son
particularmente vulnerables a los riesgos del anonimato. Por ejemplo, por
diseño, direcciones de bitcoin, que funcionan como cuentas, no tienen
ningún nombre u otra identificación de clientes conectados, y el sistema
no tiene ningún servidor central o proveedor de servicios. El protocolo de
bitcoin no requiere o proporciona la identificación y verificación de los
participantes ni genera registros históricos de la transacción que está
necesariamente asociada con la identidad del mundo real. No hay ningún
órgano de supervisión central y no hay software de ALA disponible
actualmente para monitorear e identificar patrones de transacciones
sospechosas. Las agencias de orden público no pueden apuntar a una
ubicación o entidad central (administrador) para fines investigativos o de
incautación de activos (aunque las autoridades pueden apuntar a
cambiadores individuales para la información del cliente que puede
recopilar el cambiador). Por lo tanto, ofrece un nivel de potencial
anonimato imposible con tarjeta de crédito y débito tradicionales o
sistemas de pago en línea más viejos, tales como PayPal. El alcance global
de la moneda virtual asimimsmo aumenta sus potenciales riesgos de
ALA/CFT. Los sistemas de moneda virtual pueden ser accedidos a través
de internet (incluso a través de los teléfonos móviles) y utilizados para
hacer pagos transfronterizos y transferencias de fondos. Además, las
monedas virtuales comúnmente dependen de infraestructuras complejas
que involucran a varias entidades, a menudo repartidas en varios países,
para transferir fondos o ejecutar los pagos. Esta segmentación de servicios
significa que la responsabilidad de cumplimiento ALA/CFT y
supervisión/ejecución puede ser confusa. Por otra parte, los registros de
clientes y transacciones podrán estar en manos de distintas entidades, a
menudo jurisdicciones diferentes, lo que dificulta a las agencias de orden
público y los reguladores accederlos. Este problema es exacerbado por la
naturaleza rápidamente cambiante de la tecnología de moneda virtual
descentralizada y modelo de negocio, incluyendo los cambios de número
y tipos/los roles de los participantes que proporcionan servicios en
sistemas de pago de moneda virtual. Y sobre todo, los componentes de un
sistema de moneda virtual pueden estar ubicados en jurisdicciones que no
cuentan con adecuados controles de ALA/CFT. Los sistemas de monedas
virtual centralizada podrían ser cómplices en el lavado de activos y
podrían buscar deliberadamente jurisdicciones con regímenes débiles de
ALA/CFT. Las monedas virtuales convertibles descentralizadas que
146
permiten transacciones de persona a persona, de manera anónima, parecen
existir en un universo digital totalmente fuera del alcance de cualquier país
en particular…”14.
Asimismo, el 10 de julio de 2014, la Unidad de Información Financiera
dictó la resolución 300/2014, cuyo art. 1° dispone que los sujetos
obligados enumerados en el art. 20 de la ley 25.246, sobre Encubrimiento
y Lavado de activos de origen delictivo, deben prestar especial atención
al riesgo que implican las operaciones efectuadas con monedas virtuales,
y realizar un seguimiento reforzado respecto de estas operaciones15.
Por su parte, el Banco Central de la República Argentina, afirmó:
“…Siendo que en los últimos meses se ha verificado un creciente interés
de los medios en las llamadas ‘monedas virtuales’, se considera oportuno
alertar al público en general respecto de los riesgos que involucra su uso.
Para ello, se sugiere al público usuario tener en cuenta que las llamadas
‘monedas virtuales’ no son emitidas por este Banco Central ni por otras
autoridades monetarias internacionales, por ende, no tienen curso legal ni
poseen respaldo alguno. En el ámbito internacional, no obstante, aún no
hay consenso sobre la naturaleza de estos activos, diversas autoridades
han advertido acerca de su eventual uso en operaciones de lavado de
dinero y diversos tipos de fraude. Asimismo, no existen mecanismos
gubernamentales que garanticen su valor oficial. Las llamadas monedas
virtuales han revelado una gran volatilidad hasta el momento,
experimentado veloces y sustanciales variaciones de precios. Conforme a
estas implicancias, los riesgos asociados a las operaciones que involucran
la compra o uso de monedas virtuales como medio de pago, son
soportados exclusivamente por sus usuarios. El Banco Central se
encuentra actualmente analizando diversos escenarios para verificar que
las operaciones con estos activos no se constituyan en un riesgo para
aquellos aspectos cuya vigilancia está expresamente establecida en su
Carta Orgánica…”16.
4.2. Modo de lavado mediante bitcoins
4.2.1. Fallo sobre lavado de dinero con bitcoins en EE.UU.
147
El Departamento de Justicia de los Estados Unidos, en septiembre de
2013, acusó a Ross Ulbricht, creador de Silk Road, un cíber-bazar global
de la Deep Web17 diseñado para permitir a sus usuarios comprar y vender
bienes y servicios ilegales de forma anónima, y fuera del alcance de las
agencias de orden público. La aceptación de bitcoins como único medio
de pago permitió a los compradores y vendedores ocultar su identidad,
pues los remitentes y destinatarios de transacciones P2P son identificados
sólo por la dirección/cuenta de bitcoins. Además, los usuarios pueden
obtener un número ilimitado de direcciones BTC y utilizar una diferente
para cada operación, obstaculizando aún más el rastro de los activos
ilícitos. Incluso, aquellos podían emplear adicionales anonymisers, al
margen del servicio de mezclador que utilizaba Silk Road18. El sistema
de pago funcionaba como un banco interno, donde cada usuario debía
tener una cuenta para realizar transacciones. Estos poseían, al menos, una
dirección/cuenta de Silk Road de esa moneda asociada a su cuenta de Silk
Road, almacenada en una cartera virtual o wallet, mantenida en servidores
controlados por el sitio web. Para realizar una compra, el usuario los
obtenía –normalmente por medio de un cambiador de bitcoins– y enviaba
a una dirección/cuenta BTC asociada a su cuenta de Silk Road para
financiarla. Silk Road los transfería temporalmente del usuario/comprador
a una cuenta de fideicomiso, para luego, y una vez confirmada la
operación, transferirlos a la dirección/cuenta de Silk Road del vendedor.
4.2.2. Procesamiento por lavado de dinero mediante bitcoins en la
República Argentina. Fallo “Bobinas Blancas”
En el caso conocido como “Bobinas Blancas”, la Sala I de la Cámara
Federal de San Martín confirmó el procesamiento de una persona que
recibió una transferencia de bitcoins de unos ciudadanos de origen
mexicano, que se dedicarían al tráfico de estupefacientes, y que debía
entregar el valor en dólares estadounidenses a integrantes de su banda que
operaban en la República Argentina.
En efecto, mediante aquella resolución se expresó que “los (…) sistemas
de moneda virtual centralizada podrían ser cómplices en el lavado de
activos y podrían buscar deliberadamente jurisdicciones con regímenes
débiles de ALA/CFT. Las monedas virtuales convertibles
descentralizadas que permiten transacciones de persona a persona, de
148
manera anónima, parecen existir en un universo digital totalmente fuera
del alcance de cualquier país en particular.
”Claramente se videncia que las condiciones descriptas por los informes
del GAFI se traslucen en las operaciones que, reconociera García, llevó a
cabo con un grupo de individuos de origen extranjero, que ni siquiera
conocía. Más allá de que efectivamente su actividad no se encuentra
regulada, ello no parece a esta altura una condición que obstruya verificar
que su conducta consistió en ingresar, dentro del circuito económico local,
dinero del exterior, es evidente, no aparece como viable de haber sido
fácilmente introducido por los canales legales, sin que implicara ‘un alerta
de operaciones sospechosas’, con la exigencia que ello conlleva.
”La magnitud de las transacciones que, se insiste, una persona
desconocida para el ‘intercambiador’, depositó en confianza en un tercero
al que, tampoco conocían los ‘usuarios’, todo amparado por el anonimato
de los participantes de las transacciones, constituye un indicio vehemente
de que se trataba de dinero de origen no legal.
”No aparece razonable que así se transfiera casi medio millón de dólares
si no es porque representaba una necesidad, asumir ese riesgo aparece
como menor ante la posibilidad que, de usar canales legales de
transferencia de dinero, ello pudiera ser impedido en razón de tener que
dar explicaciones sobre el origen de la plata que, es evidente, tenía que
llegar al país para seguir financiando la actividad delictiva que aquí se
estaba llevando a cabo…”19.
4.3. Conclusiones
Sin menoscabo de las ventajas indiscutibles de las monedas virtuales, su
uso representa una serie de amenazas que han sido acreedoras de singular
atención y preocupación por las autoridades públicas. En efecto, pudiendo
acceder a la seguridad de una entidad financiera autorizada, quien lleva a
cabo operaciones con este tipo de monedas recurre a una entidad ajena a
tal actividad, circunstancia que permitiría sospechar sobre el origen que
ha determinado su ingreso.
149
El uso de estas monedas, por ende, puede ser aprovechado por
delincuentes para disfrazar el dinero obtenido de forma ilícita, razón por
la que una de las principales preocupaciones que ha suscitado este
fenómeno radica en el lavado de activos, por las razones que a
continuación enunciaré20.
1. Los bitcoins permiten un mayor anonimato que los métodos
tradicionales de pago sin efectivo, pues se almacenan en una wallet, cuyo
mantenimiento suele externalizarse sobre proveedores terceros, y la
identidad de sus titulares se corresponde con una clave pública
criptográfica equivalente a una larga secuencia de letras y números.
Incluso, los usuarios pueden obtener un número ilimitado de direcciones
bitcoin y utilizar una diferente para cada transacción, oscureciendo
significativamente la traza de los activos ilícitos. También pueden emplear
diversas herramientas y servicios, tales como el mezclador o tumbador,
con el propósito de disfrazar la fuente de una transacción de BTC y
facilitar aún más el anonimato.
2. El alcance global del bitcoin aumenta sus potenciales riesgos de lavado
de activos. Es posible acceder a los sistemas de monedas digitales por
medio de Internet y pueden ser utilizados para realizar pagos
transfronterizos y transferencias de fondos. Se añade la circunstancia de
que los bitcoins a menudo dependen de infraestructuras complejas que
involucran a varias entidades, comúnmente repartidas en varios Estados,
para transferir fondos o ejecutar pagos. Esto genera un difuso sistema de
supervisión y de responsabilidad de cumplimiento de cualquier normativa
antilavado.
3. Los registros de usuarios y transacciones pueden encontrarse
almacenados en distintas entidades y en jurisdicciones diferentes, lo que
dificulta el acceso a los mismos por reguladores y/o agencias de orden
público. La problemática de este enmarañado sistema se agudiza por la
naturaleza brutalmente cambiante de la tecnología con la que operan las
monedas virtuales descentralizadas y de los modelos de negocios.
150
4. El congelamiento, decomiso e incautación de activos e instrumentos del
delito son sumamente complejos, pues el correspondiente valor monetario
se encuentra codificado a través de claves asimétricas21.
En suma, estas modernas formas virtuales de transferencia de bienes y
servicios podrían ser realizadas con carácter lícito o ilícito, pero es
absolutamente viable que sus extraordinarias características las conviertan
en el “caldo de cultivo” de redes criminales que busquen realizar
operaciones de forma eficaz y sencilla, esquivando el control estatal, para
enmascarar activos de procedencia delictiva, siendo este el gran reto que
tienen hoy nuestros legisladores.
Notas -
1 Creada por Craig Steven Wright, en 2009. Sobre la especulación acerca
de su autoría intelectual, consúltese Gálves Bravo, R., Los modus
operandi en las operaciones de blanqueo de capitales, 2ª ed., Bosch,
Barcelona,
2017,
p.
278,
nota
195.
2 Cfr. Blanco Cordero, I., El delito de blanqueo de capitales, 4ª ed.,
Aranzadi,
Navarra,
2016,
p.
61.
3 GAFI, “Directrices para un enfoque basado en el riesgo para monedas
virtuales”, París, junio de 2015, p. 30. Asimismo, Falcón y Tella, R., “La
tributación del dinero virtual”, en Revista Quincena Fiscal (QF), nº 20,
2013,
p.
9.
4 Nakamoto, S., “Bitcoin: A Peer-to-Peer Electronic Cash System”, 31 de
octubre de 2008, p. 1. Documento accesible en: https://bitcoin.org/.
5 Las transacciones tienen lugar entre direcciones (secuencia de números
y
letras)
en
lugar
de
personas
identificadas.
6 Fernández, Luis Omar, Impuesto a las Ganancias. Teoría. Técnica.
Práctica, 1ª ed., La Ley, Buenos Aires, 2005, p. 32.
7
Ídem,
p.
451.
8 En este punto corresponde aclarar que la primera categoría corresponde
a resultados obtenidos por la venta de bienes inmuebles, los segundos a
151
las rentas de capital o derechos, la tercera por las operaciones efectuadas
por las empresas, ya sea una sociedad o un actividad unipersonal, y la
cuarta por el trabajo personal, comercio o industria.
9 Este principio nace a partir de la Carta Magna inglesa del año 1215, en
donde se reivindicó el poder parlamentario para consentir los tributos y
fue uno de los principales motivos de lucha contra el poder absoluto de
los reyes. Este principio, que fue primigeniamente definido como nullun
tributum sine lege, se encuentra plasmado en las distintas constituciones
modernas con el aforismo not taxation without representation.
10
Fallos,
316:2329.
11 Villegas, Héctor B., Curso de finanzas de derecho financiero y
tributario, 10ª ed. (actualizado por Vanesa Cagnolo entre otros), Buenos
Aires,
2016,
p.
2014.
12 Catania, Alejandro, Régimen Penal Tributario, Estudios sobre la ley
24.769,
Del
Puerto,
Buenos
Aires,
2005,
p.
41.
13
Fallos,
314:1376
y
320:1962.
14 Informe del GAFI, Directrices para un enfoque basado en riesgo,
monedas
virtuales,
junio
de
2015.
15 Consúltense los arts. 20 bis y 21 de la ley 25.246 –modificada por la
ley
26.683
de
2011–.
16 “Comunicación al público en general”, accesible en
www.zonabancos.com,
mayo
2014.
17 Para acceder a esta zona oscura, de contenido no indexado en la web
superficial o convencional, se precisa de un software de código abierto,
habitualmente TOR (red clandestina de ordenadores distribuida en
Internet que permite proteger la identidad y dificulta el rastreo de sus
usuarios).
18 Mezclador –o tumbador– es un anonymiser que oscurece la cadena de
transacciones en la blockchain mediante la vinculación de todas las
transacciones en la misma dirección de BTC, y que las envía por medio
de una serie de transacciones no reales complejas, semi al azar, haciendo
casi imposible vincular las direcciones con una determinada operación.
19 Cfr. Cámara Federal de San Martín, Sala I, Sec. Penal n° 3, causa n°
7130/2017/34/CA5 (8162), “Legajo nº 34-Imputado: Rodriguez Cordova,
Max
y
otros
s/Legajo
de
Apelación”.
20 GAFI, Directrices para un enfoque basado en el riesgo para monedas
virtuales, París, junio de 2015, pp. 34 y ss.; Informe del BCRA, “Bitcoin:
Un desafío para la ejecución de políticas de la Banca Central”, agosto de
2014,
pp.
34
y
ss.
21 Gálves Bravo, Los modus operandi en las operaciones de blanqueo de
capitales, cit., p. 285. Sería posible convertir esas cantidades de dinero en
152
moneda de curso legal e ingresarla en la cuenta que el juzgado designe,
evitando que el sospechoso de lavado quede al albur de la especulación.
Reventa de entradas por internet para espectáculos masivos de
carácter artístico o deportivo en el Código Contravencional de la
Ciudad Autónoma de Buenos Aires:
¿Conducta neutral de los hosting o participación en el ilícito
contravencional?
Eduardo J. Riggi
1. Introducción. Casos -
En este trabajo se pretende analizar la posible responsabilidad de los
proveedores del servicio de alojamiento (hosting) que facilitan la reventa
de entradas por internet para espectáculos masivos de carácter artístico o
deportivo en CABA, toda vez que el Código Contravencional de la Ciudad
Autónoma de Buenos Aires castiga la reventa, por cualquier medio, de
entradas para ese tipo de acontecimientos (art. 93 CC –según ley 5845–).
Cuando un penalista piensa en las entradas que se ofrecen por internet para
este tipo de eventos y se cuestiona por la relevancia de la actividad de los
proveedores del servicio de alojamiento (hosting) que intermedian por
internet la reventa de entradas en CABA, lo primero que se le viene a la
cabeza es la noción de “conducta neutral” [neutrale Handlung]1.
A pesar de que este concepto suene algo novedoso, incluso los manuales
más comunes de Parte General del Derecho Penal no suelen examinarlo,
las reflexiones sobre este tipo de conductas en los últimos años han dado
lugar a la aparición de importantes tesis doctorales y trabajos científicos,
hoy en día casi inabarcables2. Por tanto, esta cuestión que la doctrina y
jurisprudencia alemanas –con la repercusión que tienen en los países
hispanoparlantes– vienen observando con especial interés ha sido
153
abordada por la dogmática y se puede decir que constituye en la actualidad
el fenómeno de moda de la participación delictiva3.
Algunos ejemplos jurisprudenciales y académicos4 nos ayudarán a
explicar en qué consiste una conducta neutral:
Caso del burdel (Alemania, sentencia del 14/6/1906 RGSt 39, p. 44)
Un proveedor de vinos, que durante cierto tiempo proveyó de vino a un
burdel, fue condenado como cómplice del negocio de prostitución –
proxenetismo– porque, según el punto de vista del Tribunal Supremo del
Reich, la entrega de esta bebida había incrementado la frecuencia de
visitantes a dicho lugar. Y también porque la actividad ilegal era conocida
por el repartidor. En consecuencia: “la actividad de reparto del procesado
se encontró en estrecha relación con la actividad proxeneta del dueño del
burdel”5.
Caso del taxista (Perú)
Un taxista fue requerido en sus servicios por un individuo que lo condujo
hasta un inmueble donde supuestamente iba a recoger sus pertenencias.
Al llegar al lugar, el cliente le pidió que ingresara el vehículo a la cochera
para poder recogerlas. Estando ya en el interior de la cochera salieron otros
sujetos (cinco aprox.), quienes metieron rápida y sospechosamente
diversas cosas en el vehículo, indicándole al taxista que iniciara la marcha.
Ni bien hubieron abandonado el lugar, fueron interceptados por la
autoridad policial, logrando escapar todos los sujetos menos el taxista.
La Sala Penal Suprema confirmó la absolución del taxista de los cargos
de coautor del delito de robo agravado, fundamentando que “el procesado
se limitó a desempeñar su rol de taxista, el cual podríamos calificar de
inocuo”. Asimismo, que “aun cuando el comportamiento de los demás
sujetos fue quebrantador de la norma, el resultado lesivo no le es
imputable, situándonos, en consecuencia, ante un supuesto de
atipicidad”6.
154
Caso del buen deudor
Un deudor paga, conforme a su deber, su deuda al acreedor sabiendo que
este con el dinero comprará inmediatamente un arma para matar a su
enemigo, lo que así hace. ¿Esa contribución lo hace cómplice del
homicidio?
Caso del panadero que vende pan rico
El panadero le vende a Juan Veneno una barrita de pan sabiendo que la
utilizará para envenenar a su esposa, lo que así hace. ¿Esa contribución lo
hace cómplice de asesinato?
Lo que caracteriza a estos casos es que los delitos fueron cometidos sin
duda alguna por un autor, a saber: el dueño del burdel que explota el
ejercicio de la prostitución de las chicas que viven en su local; los
desconocidos que tomaron el taxi y perpetraron el robo; el acreedor que
mata a su enemigo, y Juan Veneno que envenena a su mujer. No obstante,
junto a estas personas, que claramente pueden ser consideradas autores,
existen otros sujetos que han favorecido directamente el hecho típico, en
concreto: el repartidor de vinos, el taxista, el deudor y el panadero. Sin
perjuicio de ello, no resulta para nada evidente que estos intervinientes
puedan ser considerados partícipes en sentido estricto7. Ello tiene lugar
cuando las aportaciones provienen del ejercicio de una actividad
socialmente estereotipada que se entrecruza con los planes delictivos de
terceros8.
El concepto de conductas neutrales alude, por tanto, a un tipo de
intervención delictiva que queda excluida de responsabilidad penal en el
hecho objetivamente favorecido (ubicándose esa contribución en el
ámbito de lo conocido como riesgo permitido). Han recibido distintos
nombres: “conductas neutrales”, “conductas socialmente estereotipadas”,
“conductas sin relación de sentido delictiva”, “conductas cotidianas”,
“conductas inocuas”, “conductas adecuadas a una profesión u oficio”9.
155
Se afirma que todo obrar neutral o adecuado a un oficio o profesión tiene
per se la garantía de no ser punible, aun cuando, en algunos casos, puede
en sí mismo coincidir fácticamente con una colaboración o favorecimiento
a un delito cometido por otra persona10.
Acá no acogeré el tratamiento que las teorías subjetivas les otorgan a las
conductas neutrales, cuyo máximo exponente es Roxin, porque entiendo
que el fundamento de la participación no puede depender, por ejemplo,
del grado de conocimiento del comerciante sobre los usos delictivos que
pueden recibir los productos que vende11. Jakobs afirma con razón que
“si en todo contacto social todos hubiesen de considerar todas las
consecuencias posibles desde el punto de vista cognitivo, la sociedad
quedaría paralizada. No se construiría ni se matricularía ningún
automóvil, no se produciría ni se serviría alcohol, etc., y ello hasta el
extremo de que, a la hora de pagar sus deudas, todo el mundo debería
prestar atención a que el acreedor no planease realizar algo ilícito con el
dinero recibido. En conclusión, la interacción social se vería asfixiada por
funciones de supervisión y otras auxiliares”12.
Lo decisivo para la imputación jurídico-penal no es lo subjetivo, lo
psíquico-real querido, sino el sentido objetivo de una conducta13.
La tipicidad objetiva se concreta con la creación de riesgos no
permitidos14. Pero no todo riesgo creado debe ser jurídicamente
desaprobado, porque la sociedad, en ciertos contextos, está dispuesta a
tolerar la creación de determinados riesgos por considerarlos necesarios
para el desarrollo de los contactos sociales15. Nadie imputaría a las
empresas de automóviles porque con sus ventas vayan a crear un riesgo
de muerte o de lesión a los peatones que toman parte del tráfico rodado.
Hay un riesgo permitido, una zona libre de responsabilidad penal16.
La irrelevancia de las conductas neutrales, pues, son la concreción del
riesgo permitido en los supuestos de favorecimiento a un delito mediante
la realización de una actividad cotidiana estereotipada a una profesión17.
156
Su irrelevancia se debe interpretar en el contexto social de actuación
comprobando si el actuante obró conforme a los deberes que tiene que
cumplir, con independencia de si la conducta es activa u omisiva, y
también al margen de los datos psíquicos que pueda tener en mente.
La comprobación de sus deberes lleva a la determinación de su
competencia o posición de garante del actuante como titular de una de
deber en la sociedad, conforme al rol que desempeña como parte de esta.
El principio es: todo actor social responde penalmente en el marco de su
posición de garante. En ese sentido, Jakobs sostiene que “es evidente que
no todos responden de cualquier cosa lesiva que estén en condiciones de
evitar, sino que obligado sólo está quien es titular de una posición de
garantía”18.
Si quien al prestar sus servicios se entera de los planes delictivos de un
autor determinado o advierte que con su aportación se está involucrando
en un hecho delictivo, no se convierte en garante de lo que el autor haga
con el servicio que presta. El único conocimiento exigible penalmente es
el perteneciente al rol, o sea, un conocimiento estandarizado, que se
sustrae a la constitución individual de su portador como titular de una
posición de deber19. Se rechazan, entonces, los conocimientos especiales,
porque se sustraen al estándar que todo actuante debe conocer. En
definitiva: no es lo que el actuante conoce, sino más bien lo que debe
conocer en su posición –rol– social, el único dato exigible válido para una
imputación jurídico-penal20.
Piénsese en el famoso caso del estudiante de biología que gana algún
dinero trabajando por las tardes como camarero. Cuando se le encarga
servir una ensalada exótica descubre en ella unas setas venenosas y, de
todos modos, sirve la ensalada. Nadie espera que un camarero tenga
profundos conocimientos de biología. En consecuencia, con su obrar no
ha quebrantado las expectativas que se derivan de su rol de camarero y
con su comportamiento no ha sobrepasado el nivel de riesgo permitido21.
Distinto es que el titular de un rol, desde su posición, se aproveche del
conocimiento especial para instrumentalizarlo y manipularlo con fines
157
delictivos o, mejor dicho, adaptándose al hecho delictivo22. En tal caso
su conducta ya no se explica cómo perteneciente a su posición de deber.
Al obrar de esa manera quiebra la neutralidad de su rol, supera el nivel del
riesgo permitido convirtiéndose el actuante en ese contexto concreto de la
acción en partícipe23. Para graficar ello volvamos al ejemplo antes
mencionado del camarero que descubre en la ensalada un ingrediente
venenoso, pero que, en esta ocasión, retiene el plato hasta que se presente
una persona a la que odia y se lo sirve a esta. Así entonces, no consuma
un destino que se ha generado con independencia de su persona, sino que
manipula el destino y lo convierte en objeto de su organización, por lo que
ha de responder de sus consecuencias24.
Si bien el resultado de la falta de responsabilidad de las personas que no
quebrantan sus roles puede ser chocante, no obstante, deben responder por
omisión del deber de socorro25.
Ha quedado establecido que el cumplimiento de los deberes de una
conducta adecuada a un rol tiene un significado neutral para el Derecho
Penal. Sin embargo, de ninguna manera debe entenderse que un obrar
neutral avala la impunidad total de la conducta. La neutralidad es sólo un
aspecto de la conducta, cuando esta es ejercitada correctamente en el
marco de un rol estereotipado. Pero cuando el actuante, al tiempo de llevar
a cabo su conducta cotidiana, se da cuenta de que simultáneamente al
desarrollo de su acción expone a personas a un peligro concreto o crea las
condiciones de una situación de peligro para terceros, en este supuesto, u
otros de similar estructura, se carga sobre él un deber adicional por
cumplir: el deber de solidaridad mínima26.
2. Aplicación de las reglas de imputación al caso propuesto -
Ahora intentaré trasladar estas reglas de imputación al caso propuesto.
Navegar en internet, descargar o colgar datos, enviar emails, chatear,
comprar y vender cosas, mantener contactos en redes sociales, hoy en día
acciones completamente cotidianas, no serían posibles sin la utilización
de los servicios de proveedores de internet (comúnmente denominados
proveedor). Ellos proporcionan el acceso a internet, transmiten
158
información en las autopistas de datos y colocan a disposición de los
usuarios información en servidores propios o ajenos. Ellos se enfrentan a
los usuarios que hacen uso de los servicios de proveedores de internet (por
lo general, una empresa de telecomunicación)27.
Las distintas tareas del proveedor y las multiformes ofertas de internet
conducen, por lo general, a que en cada proceso de comunicación y cada
transmisión de datos en internet se encuentren involucradas varias
personas (jurídicas o físicas). A modo de ejemplo, en un suceso sencillo
como la difusión del contenido de un sitio web, han participado como
mínimo cinco personas. Al principio, para que el contenido esté
disponible, el proveedor (Persona 1) debe subir los correspondientes datos
al servidor (webserver). Para este procedimiento necesita, por un lado, el
servicio del denominado proveedor de red (Persona 2) que le posibilite la
transmisión de datos al servidor (webserver) y, por otro lado, el servicio
del denominado proveedor del servicio de alojamiento (Persona 3) que le
ponga a disposición el necesario lugar de almacenamiento en el servidor.
Para la utilización de datos por el usuario del sitio web (Persona 5), este
recurre finalmente al conocido proveedor de acceso (Persona 4) por quien
el usuario establece una relación con internet. Si se difunden de esta u otra
manera contenidos antijurídicos (por ejemplo, archivos gráficos y de
video con contenido de pornografía infantil, expresiones de injurias,
calumnias, o que instiguen públicamente a cometer delitos) o se crea la
transmisión del punto de partida para interferencias ilegales de hardware
y software (por ejemplo, a través de programas nocivos como virus), se
plantea la pregunta por la responsabilidad de los participantes en el
proceso de comunicación referido28.
En este trabajo estoy analizando la posible o no responsabilidad del
proveedor del servicio de alojamiento o hosting que intermedia la reventa
de entradas para espectáculos masivos, de carácter artístico o deportivo,
por internet a llevarse a cabo en la Ciudad de Buenos Aires.
En la reventa por internet de entradas para espectáculos de carácter
artístico o deportivo en la CABA: ¿La actividad de los hosting constituye
una conducta neutral o una participación en el ilícito contravencional?
159
En principio, parece razonable que los proveedores de estos servicios de
alojamiento de contenidos no sean responsables por los datos que
almacenan sus usuarios ni por las actividades ilícitas que estos pudieran
desarrollar con ello.
En efecto, muchos sitios web ofrecen una plataforma que pone en contacto
a personas que quieren vender sus objetos en alguna parte del mundo con
el público interesado en comprarlos. El sitio web les permite a los usuarios
almacenar sus datos y publicarlos para que sean vistos por gente
interesada en su compra y venta. La firma se mantiene al margen de la
relación contractual y cada usuario debe responder por sus ventas y
compras. Si los usuarios abusan de dicho servicio deben cargar con las
consecuencias lesivas.
Por lo general, las personas responden únicamente por las conductas que
se encuentran dentro del propio ámbito de competencia, porque no forma
parte del rol de un ciudadano controlar todos los posibles peligros que se
puedan originar en las conductas de terceros. Se podría afirmar entonces
que los hosting no son, por regla general, competentes de las conductas
que desarrollan libremente las personas que recurren a sus servicios.
¿Cuál sería el rol de estos sitios web? Permitir la intermediación de sujetos
interesados y garantizarles que sus datos estén disponibles para facilitar el
contacto y la transacción entre ellos. En principio, no integra su rol el
control de la calidad de los objetos ofrecidos ni la seriedad de los
interesados, ni impedir el mal uso que estos hagan del servicio que les
ofrecen.
Ahora bien, volviendo al tema que nos ocupa, si una persona con fines de
lucro revende a través de uno de estos sitios web una o más entradas para
un espectáculo masivo, de carácter artístico o deportivo, en CABA incurre
en la contravención que castiga la reventa de entradas. Si bien no cabe
duda alguna acerca de la autoría de la persona que revende la entrada, se
plantea, no obstante, el interrogante acerca de la responsabilidad del sitio
web por su favorecimiento directo en el hecho típico, puesto que su
aportación proviene del ejercicio de una actividad profesional –inocua,
habitual, estereotipada– que se entrecruza con los planes delictivos de un
tercero. En otras palabras, queda claro que pueden emprenderse
160
actividades (interacciones sociales) que pueden ser riesgosas, pero en la
medida en que se mantengan dentro de su marco de actuación no
defraudan expectativas normativas aun cuando acarreen malas
consecuencias para terceros. Esta autorización a emprender interacciones
sociales con cierto grado de riesgo –en tanto se sacrifican algunos bienes
jurídicos y, a la vez, ayudan a mantener o crear otros– es una forma de
organización del propio ámbito de competencias que concede un mayor
grado de libertad (ello, por oposición a la prescripción de la máxima
seguridad de bienes, que conduciría a una paralización de los contactos
sociales).
En síntesis, la actividad de los hosting se encontraría en una zona libre de
responsabilidad penal (dentro del riesgo permitido). Todo obrar neutral
tiene la garantía per se de no ser punible, aun cuando, en algunos casos,
puede en sí mismo coincidir fácticamente con una colaboración o
favorecimiento a un delito cometido por otra persona29.
No obstante, en Alemania, la Ley de Telemedia (TMG) que regula con
total claridad la responsabilidad de los prestadores de servicio de internet
se aleja de esta postura objetivista y exime de responsabilidad a los hosting
de los datos ajenos que almacenen para un usuario en la medida en que:
1) no tengan conocimiento del hecho ilícito o de la información y, en los
casos de reclamos por daños y perjuicios, no les sean conocidas, a su vez,
circunstancias de hechos o extremos que revelen la conducta ilícita o la
información; o 2) intervengan inmediatamente para eliminar la
información o bloquear el acceso a ella tan pronto como hayan tenido
conocimiento (el conocido sistema de Notice and take down –o
notificación y baja del contenido–).
En ese sentido, la doctrina alemana afirma que la responsabilidad penal
de los proveedores de servicios de acceso y de alojamiento presupone un
deber de garante jurídico-penal según el § 13 StGB. Asimismo, que
semejante deber, que es negado por la doctrina dominante para los simples
proveedores de acceso y red que facilitan el mero acceso, es, en cambio,
ampliamente afirmado para los proveedores de servicios de alojamiento
que poseen un dominio material sobre el servidor. La posible
responsabilidad penal del proveedor de servicios de alojamiento precisa,
sin embargo, dolo con respecto al contenido antijurídico además de la
posibilidad y razonabilidad de eliminación de datos30. Esta solución
161
conduce a que el conocimiento es lo que permite fundamentar la
responsabilidad del sujeto interviniente, cuestión que en este trabajo
hemos descartado más arriba.
El fundamento subjetivista de esta ley alemana radicaría en que, a causa
de las existentes dificultades técnicas de control como de la protección de
la libertad de información y del secreto de telecomunicación, el derecho
penal debe ir de manera casi obligatoria a una solución diferenciadora
como subyace en el derecho norteamericano y en la nueva propuesta de
directiva de la comisión de la CE: Esto significa para los proveedores de
acceso y red una exención de responsabilidad penal y extracontractual, así
como para los proveedores de servicios de alojamiento de un
“procedimiento de notice and take down”, en el que una responsabilidad
penal y delictiva se limita fundamentalmente a casos de conocimiento
excluyéndose deberes de control proactivos. A juicio de estas posturas, las
propuestas adicionales –en particular de deberes de control de los
proveedores de alojamiento– deberían dejarse en manos de acciones de
abstención civiles y procesos administrativos, pero no llevar la
incertidumbre legal a los procesos penales que no serían adecuados para
aclarar las futuras posibilidades técnicas de control31.
En ese sentido, se afirma que la lucha contra contenidos ilícitos en las
redes de computación resulta ser una tarea compleja que ya no es adecuada
llevarla a cabo con las clásicas reglas de responsabilidad por las
consecuencias tecnológicas o los principios generales que regulan la
responsabilidad de la prensa. Mejor dicho, serían necesarias soluciones
legales especiales, así como medidas adicionales –también extralegales–.
Base indispensable para el desarrollo de estas soluciones es la
consideración de los aspectos técnicos de las redes informáticas. También
las características legales de un régimen de responsabilidad para los
sistemas de información, que debería tener en cuenta la protección de la
libertad de información, de la correspondencia y los derechos personales
deben ser observadas. El derecho comparado transmite estos importantes
enfoques de soluciones que hoy en día sólo están disponibles
globalmente32.
Estas apreciaciones, si bien fueron sostenidas hace ya casi una década, han
perdido, a mi juicio, virtualidad frente a la vertiginosidad constante de los
cambios tecnológicos. Ello, por cuanto hace tiempo que no resulta
162
complejo monitorear el comportamiento de los usuarios online al existir
mecanismos tecnológicos a disposición de los proveedores de servicios de
internet en general que pueden utilizar para hacer inaccesible o evitar la
publicación de contenidos de comportamientos ilícitos33. Obviamente, no
puede dejar de señalarse que la capacidad técnica constituye un requisito
de la omisión impropia, porque junto a la capacidad de realizar la acción
debida es que precisa la posibilidad de evitación del resultado de haberse
interpuesto la acción debida y aquello depende de la capacidad de
actuación de quien se encuentra obligado a ello34.
En consecuencia, cobran nuevamente relevancia las clásicas reglas de
responsabilidad penal: el proveedor de servicios de alojamiento deberá
responder si el usuario se encontrare bajo su control o supervisión, ya que
en dicho caso su comportamiento dejará de ser neutral por ser competente
del control o neutralización del riesgo derivado de dicha actividad al
ostentar la calidad de garante. Máxime cuando la ley 27.078 (Argentina
Digital), a diferencia de la regulación alemana, no contiene reglas de
exención de responsabilidad para los prestadores de servicio de internet
por el almacenamiento de datos ajenos de usuarios o por permitir su
tráfico.
Entonces, la pregunta que se formula es la siguiente: ¿En qué condiciones
una actividad, en general, socialmente inocua o neutral, en el caso la de
los proveedores de servicios de alojamiento [hosting], podría adquirir
relevancia contravencional?
En principio, el proveedor de hosting no es garante del comportamiento
de sus usuarios al no tener un deber legal expreso de control y vigilancia
de las actividades de estos. No obstante, al regir los criterios generales de
imputación jurídico-penal cabe pensar supuestos en que el proveedor de
servicios de alojamiento se encuentre en posición de garante35, a saber:
1) Por medio de una obligación contractual (asunción voluntaria).
Si se piensa en el caso de Mercado Libre, en el punto 07 de los “Términos
y condiciones” de uso del sitio, donde se hace alusión a las prohibiciones
(luego de describir todas las actividades que se encuentran prohibidas) y
163
al finalizar el listado de artículos prohibidos, Mercado Libre dice:
“Daremos de baja aquellas publicaciones que no respeten nuestras
políticas de publicación o cualquier ley vigente. Esto puede llevar a la
inhabilitación de la cuenta”.
Es más, dicha empresa señala que: “Este tipo de actividades será
investigado por Mercado Libre y el infractor podrá ser sancionado con la
suspensión o cancelación de la oferta e incluso de su inscripción como
usuario de Mercado Libre y/o de cualquier otra forma que estime
pertinente, sin perjuicio de las acciones legales a que pueda dar lugar por
la configuración de delitos o contravenciones o los perjuicios civiles que
pueda causar a los usuarios oferentes”36.
De esa manera, Mercado Libre asume contractualmente una posición de
garante al comprometerse a investigar y sancionar a los infractores de las
prohibiciones establecidas. Por lo tanto, ha asumido una función de
protección que comporta el deber de controlar y vigilar la actividad de sus
usuarios. En consecuencia, la infracción activa u omisiva de esos deberes
puede dar lugar a responsabilidad del sitio web a título de partícipe activo
e incluso en comisión por omisión.
2) A través de una obligación legal o de orden administrativa o judicial
(que ordene controlar y vigilar un usuario y bloquearlo) aceptada por el
obligado.
3) Incluso Lenckner/Perron/Eisele en Schönke/Schröder § 184 n.m. 60
explicando las exenciones previstas en el § 10 TMG37 para los hosting,
señala que para su castigo a título de partícipes es preciso una posición de
garante del proveedor de servicios que no resulte del comportamiento
legal precedente, sino dentro de los límites del control de una fuente de
peligro y que en los casos correspondientes conduciría únicamente al
castigo como partícipe.
4) La pérdida del carácter neutral de la aportación por adaptación a los
planes delictivos del autor.
164
Por otro lado, como enseña el profesor Robles Planas, no puede hablarse
de una conducta neutral cuando el sujeto ha recortado su conducta de tal
manera que encaje en el proyecto delictivo del autor (casos de adaptación
de la aportación al hecho ilícito)38. Eso es lo que ocurre con varios
prestadores de servicio de alojamiento que ofrecen una plataforma que te
lleva –a través del proceso de carga de datos para la publicación– a
seleccionar distintos filtros que satisfacen justamente las necesidades del
autor, esto es, a publicar la venta de este tipo de entradas en el ámbito de
la Ciudad Autónoma de Buenos Aires. En efecto, si uno quiere realizar
este comportamiento ilícito, la plataforma te va ofreciendo los títulos a
elegir que conducen necesariamente a la co-configuración de esa conducta
prohibida (cuando podría disponer de mecanismos tecnológicos existentes
para evitar publicar o hacer inaccesible su contenido)39.
Por lo tanto, si bien es cierto que en nuestro ordenamiento no existe una
obligación legal expresa que obligue a los prestadores del servicio de
alojamiento a controlar o supervisar las actividades ilícitas de sus usuarios
(que los constituya en garantes), cuestión que podría situar su intervención
en el ámbito de las conductas neutrales, ello no impide que puedan
constituirse en garantes (vía contractual, por ley u orden administrativa o
judicial aceptada) ni de que sus conductas estereotipadas puedan perder
neutralidad en virtud de su adaptación a los planes ilícitos del autor,
pudiendo responder como partícipes activos e incluso en comisión por
omisión.
Notas 1 Silva-Sánchez, “La responsabilidad penal de las personas jurídicas en el
Convenio del Consejo de Europa sobre cibercriminalidad”, en Cuadernos
de Derecho Judicial, nº 9, 2002, p. 136, señalaba que “(e)n la doctrina cabe
advertir una especial preocupación, en este punto, a propósito del
tratamiento que hayan de recibir los hechos de participación objetiva
realizada por los Service Providers. El tema, sin embargo, como es obvio,
165
no se vincula con la responsabilidad de las personas jurídicas, sino con el
problema general del tratamiento de los casos de la denominada
participación
neutral
o
standard”.
2 Cfr. Robles Planas, La participación en el delito: fundamentos y límites,
Marcial
Pons,
Barcelona/Madrid
2003,
p.
16.
3
Ibídem.
4 Muchos otros ejemplos más se pueden encontrar en la profusa obra del
Prof.
Robles
Planas
citada
en
las
notas
2
y
3.
5 El Tribunal Supremo del Reich afirmó la complicidad por el suministro
del vino, pero la negó para el suministro de pan, por entender que tan sólo
las bebidas alcohólicas fomentaban específicamente el negocio de la
prostitución.
6 Al respecto, véase Caro John, “La impunidad de las conductas neutrales.
A la vez, sobre el deber de solidaridad mínima en el Derecho penal”,
Nueva
Doctrina
Penal
nº
2,
2005,
pp.
2-3.
7 Como explica Robles Planas, La participación en el delito: fundamentos
y límites, cit., pp. 38-39, “son conductas en sí lícitas e intercambiables
(conforme a un estándar) realizadas por un primer sujeto con el
conocimiento de que un segundo sujeto (autor) les dará una aplicación
delictiva, de manera que revelan al mismo tiempo una aparente
contradicción valorativa. Por un lado, externamente se presentan como
inocuas e intercambiables, lo que fundamenta su ‘apariencia de legalidad’,
pero, por otro lado, en la existencia del conocimiento de la posterior
utilización delictiva también se argumenta su ‘apariencia de
antijuridicidad’. En realidad, esta contradicción valorativa, va más allá del
mero grupo de caso de ‘conductas neutrales’ (...) el verdadero núcleo del
problema reside en la oposición entre lo externo y lo interno de la conducta
(…) una posición que –obviamente– no es exclusiva en los supuestos de
participación, sino que se repite siempre que desde un punto de vista
externo una conducta no esté requerida de ulterior explicación social, y,
sin embargo, los datos sobre el lado interno de quien la ejecuta revelan
una situación ‘aparentemente relevante’ desde el punto de vista jurídicopenal”.
8 Jakobs, Strafrecht Allgemeiner Teil, 2. Auflage, 24 n.m. 13, p. 696,
señala al tratar el concepto de prohibición de regreso (la participación
aparente) que existe un ámbito de intervención dolosa o imprudente en el
comportamiento de otra persona que es objetivamente típico sin
responsabilidad por esta “participación” en sentido amplio. Ese ámbito se
caracteriza por el hecho de que el “partícipe” presenta una contribución
que es en sí misma inocua y cotidiana y que sólo por la realización de los
planes de otras personas es desviada a un desarrollo dañino.
166
9 Sobre ello véase, por todos, Robles Planas, La participación en el delito:
fundamentos
y
límites,
cit.,
pp.
31-32.
10 Así, Yacobucci, “Algunos criterios de imputación en la empresa” en
La responsabilidad de las personas jurídicas, órganos y representantes,
coord. Percy García Cavero, Ediciones Jurídicas de Cuyo, Mendoza,
2004, p. 412, dice que “(l)a idea de una prestación estereotipada, es decir
por regla inocua, neutral o reglada, por principio impide la imputación
objetiva aun sin considerar los aspectos del conocimiento.
11 Sobre las fuertes críticas al planteamiento subjetivista, véase la obra de
Robles Planas, La participación en el delito: fundamentos y límites, cit.,
pp.
64-71.
12 Jakobs, La imputación objetiva en el Derecho Penal, Ad-Hoc, Buenos
Aires,
1997,
p.
20.
13 Así, Silva Sánchez “Zur Gestaltung des strafrechtlich missbilligten
Risikos beim Mitveranwortung im Strafrecht”, en Eser, Hurber y Cornils,
Einzelverantwortung und Mitveranwortung im Strafrecht, Freiburg, 1998,
p. 207, sostiene que “el criterio para la fundamentación de la imputación
en caso de concurrencia de aportaciones de varias personas no es, por
consiguiente, ni de carácter causal-naturalístico ni psicológico, sino un
criterio normativo y, fundamentalmente, objetivo-normativo”.
14 Cfr., por todos, Roxin, Strafrecht Allgemeiner Teil, Band I,
Grundlagen. Der Aufbau der Verbrechenslehre, 4. Auflage, Verlag C. H.
Beck,
München,
2006,
§
7
C,
n.m.
8,
p.
206.
15
Ídem,
p.
373.
16 Jakobs, La imputación objetiva en el Derecho Penal, cit., p. 28.
17 Así, Kindhäuser, Strafrecht Allgemeiner Teil, § 11, n.m. 44, p. 99.
18 Jakobs, La imputación objetiva en el Derecho Penal, cit., p. 26.
19 En ese orden de ideas, Robles Planas, La participación en el delito:
fundamentos y límites, cit., p. 278, sostiene que “El criterio relativo a la
no punibilidad como principio general de las conductas que, pese a acabar
favoreciendo un delito ajeno, no están desaprobadas por no configurar un
riesgo especial, no se ve modificado en absoluto por el hecho de que tal
favorecimiento sea conocido o cognoscible por el sujeto que lo presta”.
20 Jakobs, La imputación objetiva en el Derecho Penal, cit., p. 64, señala
que “los conocimientos especiales constituyen algo que no hay obligación
de adquirir o mantener; se trata de pura subjetividad, y nada más (...) un
conocimiento sin deber de conocer sería un elemento ajurídico del delito,
al
estar
definido
de
manera
totalmente
psicológica”.
21 Jakobs, La imputación objetiva en el Derecho Penal, p. 63.
22 En esa línea de pensamiento, Robles Planas, La participación en el
delito: fundamentos y límites, cit., pp. 305-306, señala que “no se está
167
afirmando que el cumplimiento de un rol profesional libere, sin más, de
responsabilidad penal, sino que teniendo en cuenta el contexto en el que
se verifican estas conductas, no habrá, por regla general, razones para
afirmar que contienen un riesgo especial de que sean continuadas hacia lo
delictivo. En efecto, como en todos los ámbitos, en los contextos de
intercambio de objetos disponibles por cualquiera o de prestaciones
profesionales estándar el mero dato del favorecimiento o el conocimiento
del mismo no convierten tampoco en relevante el riesgo de intervención
en el delito. Por el contrario, deberá exigirse la presencia de otros factores
que permitan fundamentar la responsabilidad por la posible continuación
delictiva del objeto o de la prestación por parte de un tercero (...). Para
poder afirmar la imputación será necesario exigir que el sujeto configure
su conducta de tal manera que esta pase a formar parte inequívoca del
hecho delictivo, o con otras palabras, será necesario que realice una
conducta de adaptación al hecho delictivo posterior. Sólo así surge el
riesgo especial de continuación delictiva que fundamenta el injusto de la
intervención
en
el
delito”.
23 Cfr. Jakobs, “Beteiligung”, en Festschrift für Lampe, Berlin, 2003, p.
566, nota 41; Lesch, Das Problem der sukzessiven Beihilfe, Frankfurt,
1992,
pp.
278
y
ss.
24 Jakobs, La imputación objetiva en el Derecho Penal, cit., p. 66.
25
Ídem,
p.
63.
26 Cfr. Lesch, “Strafbare Beteiligung durch ‘berufstypisches’ Verhalten”,
en
Juristische
Arbeitsblätter,
p.
990,
13.
27 Cfr. Hilgendorf/Valerius, Computer- und Internetstrafrecht. Ein
Grundriss, 2. Auflage, Springer Verlag, Berlin-Heidelberg, 2012, p. 56.
28 Cfr. Hilgendorf/Valerius, Computer- und Internetstrafrecht. Ein
Grundriss, 2. Auflage, Springer Verlag, Berlin-Heidelberg, 2012, pp. 5657.
29 En igual sentido se pronunciaron, a modo de obiter dictum, los jueces
de la Sala II de la Cámara de Apelaciones en lo Penal, Contravencional y
de Faltas CABA en la causa nº 11277-00-CC/2015, “NN s/art. 91,
Revender entradas para un espectáculo masivo, de carácter artístico o
deportivo, CC”, al señalar que “Si se tomara en cuenta una participación
activa –por ofrecer la plataforma digital para la reventa de entradas–, nos
encontraríamos ante un caso de conducta neutral. Esto es, un caso de
complicidad mediante una conducta cotidiana o profesional que persigue
un fin propio o independiente del autor del delito y del delito en sí, y que
no está jurídicamente reprobada (cfr. Ambos, Kai, “La complicidad a
través de acciones cotidianas o externamente neutrales”, Revista de
Derecho Penal y Criminología, vol. 8, 2001, p. 196). Así, quien se
168
comporta de un modo socialmente adecuado –en este caso, proveyendo
una plataforma digital que permita la transacción legal de entradas– no
responde por el giro nocivo que un tercero le dé al suceso. En efecto, es
cierto que la firma no podría alegar que nada tiene en común con los
autores de la reventa, pero lo que tienen en común se limita a una
prestación que puede obtenerse en cualquier lado y que no entraña riesgo
especial alguno, es decir, carece de todo significado delictivo (cf. Jakobs,
Günther, La imputación objetiva en Derecho penal, Ed. Ad Hoc, Buenos
Aires,
1997,
p.
82).
30 Cfr. Sieber, “Die Verantwortlichkeit von Internet-Providern im
Rechtsvergleich”,
ZUM
1999,
196,
p.
199.
31
Ídem,
p.
212.
32
Ídem,
p.
213.
33 Al respecto, Chernavsky en “¿Es posible responsabilizar penalmente a
los proveedores de servicios de internet?”, en Cibercrimen, dir. Daniela
Dupuy, BdeF, Montevideo-Buenos Aires, 2017, p. 595, señala que
“existen herramientas tecnológicas a disposición, tanto de los gobiernos
como del sector privado, que hacen que no sea complejo registrar,
procesar y monitorear la actividad en línea de los usuarios…”.
34 Cfr., en general, Mir Puig, Derecho Penal, Parte General, 8ª ed.,
Reppertor, Barcelona2008, Lección 12, n.m. 77, p. 330; y, en particular,
Morales García, “Criterios de atribución de responsabilidad penal a los
prestadores de servicios e intermediarios de la sociedad de la
información”,
disponible
en
www.uoc.edu.
35 En igual sentido, Morales García, “Criterios de atribución de
responsabilidad penal a los prestadores de servicios e intermediarios de la
sociedad de la información”, disponible en www.uoc.edu, luego de
explicar la inexistencia de un deber de supervisión o búsqueda activa de
contenidos ilícitos, reconoce que es posible que el intermediario cuya
misión consiste en el alojamiento de datos asuma la obligación fáctica de
actuar a modo de barrera de contención del riesgo.
36
www.m
ercadolibre.co
m.ar
37
§
10 Almacenamiento
de
información.
Los proveedores de servicios no son responsables de información ajena
que
almacenan
para
un
usuario:
1. Si no tienen conocimiento de la actividad ilegal o información y no hay
hechos o circunstancias conocidas por ellos en el caso de las
reclamaciones por daños y perjuicios a que la actividad o la información
revele
su
carácter
ilícito.
2. Siempre que hayan actuado con prontitud para retirar o para impedir el
acceso a la misma una vez que hayan obtenido dicho conocimiento.
169
La frase 1 no se aplicará si el usuario está subordinado al proveedor de
servicios
o
supervisado
por
él.
38 Tal como explica Robles Planas, La participación en el delito:
fundamentos y límites, cit., p. 305, “aunque no existan riesgos especiales
de vigilancia o control de terceros o de objetos peligrosos puede suceder
que el sujeto configure su conducta como parte del proyecto delictivo del
segundo intervinientes, de tal manera que contenga un riesgo especial de
continuación
delictiva”.
39 Como enseña Robles Planas, La participación en el delito:
fundamentos y límites, cit., p. 306, “para poder afirmar la imputación será
necesario exigir que el sujeto configure su conducta de tal manera que esta
pase a formar parte inequívoca del hecho delictivo, o con otras palabras,
será necesario que realice una conducta de adaptación al hecho delictivo
posterior. Sólo así surge el riesgo especial de continuación delictiva que
fundamenta el injusto de la intervención en el delito”. Asimismo, sobre
las posibilidades técnicas para monitorear a los usuarios online, véase
Chernavsky, “¿Es posible responsabilizar penalmente a los proveedores
de servicios de internet?”, cit., p. 595.
Allanamiento remoto
¿Un cambio de paradigma en el registro y secuestro de datos
informáticos?
Marcos G. Salt
1. Introducción, objetivo y límite del presente trabajo -
En términos sencillos, es posible definir el registro y secuestro remoto de
datos (“allanamiento remoto”, tal como lo denomina parte de la doctrina)
como la medida de investigación en el marco de un proceso penal
tendiente a “registrar” y, de ser necesario, “secuestrar” (o copiar) datos
informáticos alojados en cualquier tipo de sistema informático mediante
la utilización de programas informáticos que actúan de manera
“subrepticia”1 sin necesidad de obtener o acceder “físicamente” al
dispositivo de almacenamiento de datos que es objeto de investigación2.
170
En este sentido, se trata de “una” de las posibles aplicaciones que permite
el uso de programas malicioso por un Estado3 que, de manera general, es
posible graficar como:
La posibilidad de que autoridades estatales ubicadas en un lugar
geográfico “a” usen internet para buscar subrepticiamente datos
almacenados o que se generen en un dispositivo informático ubicado en
lugar geográfico diferente “b”.
Como veremos, el tema no sólo tiene interés académico, sino también gran
importancia práctica, y su discusión ocupa un lugar destacado en la agenda
actual de la problemática de la evidencia digital, tanto en el derecho
comparado como en nuestro país. Ha generado importantes debates
académicos y jurisprudenciales en organismos internacionales y en los
países más avanzados sobre la materia. En nuestro país, los obstáculos que
generan para las investigación penal los desarrollos de tecnologías
informáticas y de las comunicaciones que facilitan el anonimato en
internet, las monedas digitales en las transacciones ilícitas4, el
alojamiento de información en la nube, la encriptación de información5 y
otras técnicas que impiden o dificultan el análisis forense, han puesto en
evidencia también la necesidad de regular este tipo de medios de
investigación y, como contracara, la necesidad de prever las garantías y
controles adecuados para que su uso no implique una afectación
desproporcionada de los derechos fundamentales de los ciudadanos.
Recientemente, la cuestión fue objeto de análisis en la Cámara de
Senadores de la Nación, que rechazó la incorporación a nuestra legislación
procesal penal federal6 de estas técnicas de investigación (por lo menos
con la redacción del proyecto de ley que fue sometido a discusión
parlamentaria)7, lo que asigna mayor importancia práctica al objetivo que
propongo como conclusión en el presente trabajo: Intento determinar si la
utilización de estas novedosas técnicas de investigación (basadas en el uso
de programas maliciosos) orientadas a los fines de búsqueda y secuestro
de datos8, es admisible de acuerdo al marco normativo vigente. O sea, si
es posible su utilización sin una reforma del sistema procesal penal
vigente9. Asimismo, intento proponer reglas procesales que permitan un
uso eficiente de estas herramientas en nuestro proceso penal, pero en el
marco de un sistema de garantías que tenga especialmente en
consideración el grado de afectación a la intimidad que puede significar.
171
Una norma procesal que sirva como “modelo” para alcanzar ambos
objetivos en una futura reforma de las normas procesales penales.
Cabe aclarar que el trabajo se limita solamente a analizar la aplicación de
los programas maliciosos por el Estado, al registro y secuestro de datos,
lo que se ha denominado allanamiento remoto, precisamente porque
persigue los mismos objetivos que un allanamiento en un ámbito físico10.
2. Características generales de los mecanismos de acceso remoto a
sistemas informáticos. Breve análisis de las características
tecnológicas de este tipo de programas y sus posibles usos La medida denominada comúnmente “allanamiento remoto” se basa en la
utilización por las autoridades de persecución penal de un Estado de algún
tipo de programa malicioso (troyano, virus) como “espía”, con la finalidad
de acceder de manera remota (sin tener en su poder el dispositivo de
almacenamiento), revisar y obtener datos informáticos ubicados en un
dispositivo o sistema informático para ser utilizados como prueba en el
marco de un proceso penal. De esta manera, se logra la adquisición de
elementos de prueba mediante el uso de “programas espías”, ya sea que el
programa malicioso sea instalado subrepticiamente en la computadora o
dispositivo informático que es objeto de la medida mediante su instalación
física11, o que el programa malicioso sea enviado o instalado por los
investigadores utilizando redes de comunicación12. En cualquiera de sus
formas, el uso de estas herramientas requiere, por lo tanto, del engaño del
sospechoso o del titular del sistema informático que va a ser objeto de la
medida, o violentar de alguna manera la seguridad del sistema
informático, ya sea aprovechando la posibilidad de tener acceso físico al
soporte de almacenamiento de datos13 o que el programa malicioso sea
enviado o instalado por internet y no sea detectado por los programas de
seguridad del sistema que es objeto de la medida. Por ello, cabe destacar
que estos programas y las técnicas para su uso no difieren de los
mecanismos utilizados para instalar alguno de los tipos de software
malicioso (malware) con fines de robo de datos u otros fines delictivos
que constituyen delitos en muchos países14. Un Estado cuenta además
con la ventaja de poder utilizar como fuente de envío de los programas
direcciones electrónicas estatales existentes, pudiendo generar de manera
más sencilla el engaño en el receptor y evitar cualquier tipo de filtro como
los programas contra malware o anti spam.
172
Resulta interesante a los fines del análisis jurídico repasar algunas de las
características tecnológicas de estos programas:
- Son variantes de programas maliciosos, virus o troyanos que permiten
obtener información de manera “subrepticia”, violando medidas de
seguridad informática.
- Son tecnológicamente “móviles”. Esto significa que pueden moverse a
través de máquinas y arquitecturas tecnológicas diferentes, utilizando
Internet como medio de transporte (esta característica es la que permite
que la instalación en la computadora del sospechoso no requiera siempre
un acceso físico a ella). Obviamente, también pueden cambiar el lugar
físico desde el que enviarán la información junto con el soporte físico en
el que han sido instalados, si por algún motivo este cambiara de lugar tal
como es fácil de imaginar en dispositivos de uso personal o teléfonos
inteligentes. Esta particularidad puede generar distintos problemas
jurídicos. Por ejemplo, un troyano incorporado a una computadora puede
informar y mandar datos incluso si la computadora se traslada a otra
jurisdicción15.
- Pueden obtener un gran volumen de datos no sólo del imputado sino de
terceros, y por lo general funcionan de manera autónoma una vez que
están instalados (sin la intervención directa de un controlador humano).
Esto puede significar que los datos obtenidos excedan los límites del
objeto procesal y el alcance de la orden judicial de autorización, lo que
obliga a realizar un análisis ex post de la prueba así obtenida para su
incorporación válida al proceso, cuestión que merece especial atención en
una regulación procesal.
- Los expertos en informática forense señalan que al obtener los datos pero
al no acceder al soporte físico, pueden surgir problemas forenses y de
cadena de custodia16.
173
3. El registro y secuestro de datos como medio de prueba
trascendental en el proceso penal moderno. La necesidad de nuevas
normas procesales El “registro y secuestro de datos” contenidos en soportes digitales o
informáticos se ha convertido en una prueba fundamental del Derecho
procesal penal moderno. No solamente en las pesquisas vinculadas a los
denominados delitos informáticos, sino también en la investigación de
cualquier delito que se puede haber cometido por medios informáticos o
para cuya investigación resulta necesario obtener datos informáticos. Es
que asistimos a un proceso progresivo de reemplazo de la evidencia física
por la evidencia digital que aumenta de manera vertiginosa siguiendo la
tendencia a la informatización de la información tanto personal como
empresaria17.
Usualmente, el registro y secuestro de datos informáticos se producen con
posterioridad a que las autoridades obtengan, mediante alguno de los
medios de prueba previstos en el ordenamiento procesal, el “soporte
físico” en el que los datos están alojados. Ya sea que el dispositivo que es
objeto de la medida se incorpore al proceso mediante una “requisa”, un
“secuestro” en el marco de un allanamiento o el encuentro del dispositivo
informático en el lugar de los hechos. O sea, la búsqueda de datos y su
posterior “aseguramiento”, “copia” o “secuestro” se realizan luego de que
las autoridades logran “obtener” materialmente el soporte físico en el que
los datos están almacenados. Esto implica que los investigadores y peritos
trabajan sobre el soporte físico en el que los datos están alojados (por
ejemplo, una computadora) que han logrado incorporar legítimamente al
proceso como elemento de prueba. En muchos supuestos, el registro y
secuestro de datos se realiza trabajando sobre una copia forense de los
datos. Pero, en estos casos, también la copia forense es realizada habiendo
obtenido previamente el dispositivo físico de almacenamiento. Quizá por
este motivo se ha producido alguna confusión en la jurisprudencia entre
la habilitación legal del allanamiento y requisa regulados para el espacio
y elementos físicos que permite obtener para el proceso los dispositivos
físicos de almacenamiento18 y el posterior registro y secuestro de datos
alojados en los soportes físicos a los que el Estado accede mediante estas
habilitaciones legales. Esta línea jurisprudencial no advierte que se trata
de dos pasos diferentes en el proceso de adquisición de elementos de
prueba informática: por un lado, la obtención del soporte físico donde los
datos están alojados y, por el otro, las tareas de búsqueda y secuestro de
174
datos informáticos contenidos en los soportes secuestrados19, tarea que
incluso puede ser que se realice en un laboratorio forense tiempo después
y no en el mismo acto del allanamiento20. En este último supuesto, en
realidad la “búsqueda” de datos se realiza en el marco y con las normas
de una pericia.
Sin embargo, los nuevos instrumentos tecnológicos de búsqueda y
secuestro de evidencia digital a los que me refiero en este trabajo permiten
registrar y secuestrar datos informáticos accediendo “a distancia” a los
sistemas que son objeto de la medida de investigación (sin que ningún
funcionario esté presente en el lugar en que se encuentra el soporte físico
donde los datos están almacenados). El uso de estas novedosas
herramientas informáticas implica un cambio sustancial en la forma de
obtener, para un proceso penal, datos que se encuentran alojados en un
soporte informático y, según entiendo, ponen en crisis la aplicación para
estos supuestos de las normas tradicionales previstas en los códigos
procesales penales para el allanamiento y el registro y secuestro.
Como veremos más adelante, mi opinión es que si se pretende hacer uso
de estas nuevas herramientas resulta necesario un nuevo marco normativo
procesal que tenga en cuenta sus características diferenciales respecto al
allanamiento y el registro y secuestro “físico”, habilitando su uso de
manera expresa y previendo condiciones y garantías especiales.
4. El registro y secuestro de datos realizado de manera remota en la
experiencia del derecho comparado -
En este punto, realizo una apretada síntesis21 de la experiencia tanto
legislativa como jurisprudencial de un grupo de países paradigmáticos que
tienen especial influencia en nuestro derecho. Estados Unidos como
ejemplo de aplicación de la medida en el derecho anglosajón, y España y
Alemania como ejemplos del tratamiento en países de tradición europea
continental.
Es evidente que, tal como ha sucedido con otros medios de prueba
novedosos, la tendencia (con matices y adaptaciones) de los países más
175
avanzados se trasladará a los países de la región y a nuestro país en
particular.
4.1. EE.UU.
La aceptación de estos medios de investigación por la jurisprudencia de
EE.UU. es de larga data. La doctrina mayoritaria ha sostenido la
posibilidad de utilizar válidamente programas de acceso remoto de datos,
siempre que se cumpla con los requisitos de la cuarta enmienda. Esto
significa, en términos simplificados y trasladado a nuestro medio, que han
entendido que pueden aplicarse por “analogía” las normas y criterios
jurisprudenciales que regulan el registro y secuestro tradicional
permitiendo órdenes de “allanamiento” remoto de computadoras u otros
dispositivos de almacenamiento de datos22.
Un primer antecedente jurisprudencial que merece ser destacado validó el
uso de un dispositivo de los denominados “keyloggers”, que permitía
grabar toda la actividad del teclado de la computadora de un sospechoso
y enviar la información a computadoras manejadas por el FBI. El FBI
investigaba a un sospechoso de integrar la “mafia”23 y dedicarse a
actividades de juego ilegal. Los investigadores tenían información de que
el acusado tenía en su computadora información relevante de las
actividades ilícitas, pero sabían que los archivos informáticos estaban
encriptados con un sistema que impedía su acceso (de hecho, un
allanamiento previo había arrojado resultado negativo precisamente por la
imposibilidad de destrabar las claves). Por ese motivo, el FBI solicitó y el
juez autorizó a instalar un dispositivo que permitió grabar
subrepticiamente la actividad del sospechoso en el teclado de la
computadora y, de esta manera, obtener las claves de encriptación. Con
las claves así obtenidas, realizaron un nuevo allanamiento para secuestrar
la computadora y acceder a los datos.
A partir del año 2007, el tema de la utilización de programas espías por el
Estado fue ampliamente debatido en ámbitos académicos, por la
utilización de una herramienta denominada CIPAV24 que permite el
rastreo de comunicaciones en las que se utilizan mecanismos diseñados
para permitir el anonimato25. Las características técnicas del programa
informático han sido mantenidas como “secretas” por el gobierno de
176
EE.UU. Por lo tanto, sólo existe información limitada sobre sus
especificaciones técnicas a partir de las presentaciones del FBI cuando las
autoridades judiciales exigieron conocer, aunque sea parcialmente, el
funcionamiento del sistema26.
En el año 2013 tuvo difusión pública el caso “Freedom Hosting”. Los
acusados brindaban a sus clientes servicios de “alojamiento” a páginas de
internet con contenidos de pornografía infantil. Los usuarios que accedían
a estas páginas de pornografía infantil usaban TOR para ocultar su
verdadera dirección IP, lo que impedía a las autoridades rastrearlos. Los
investigadores del FBI intentaron obtener una orden judicial que les
permitiera introducir un programa malware de tecnovigilancia en los
servidores de “Freedom Hosting”. La medida solicitada permitiría enviar
subrepticiamente un programa malicioso a los dispositivos de todas las
personas que se conectaran a la página. El programa enviaría a un servidor
estatal las verdaderas direcciones IP desde las que se conectaban los
diferentes clientes. Sin embargo, la orden resultó difícil de obtener
jurídicamente, ya que las autoridades no podían identificar la jurisdicción
en que las máquinas que serían objeto de la maniobra estaban ubicadas.
Esta limitación generó controversias jurídicas y presión por parte del
gobierno para modificar las normas procesales.
Las autoridades de persecución penal de EE.UU. insistieron con la
necesidad de extender la posibilidad de uso de estas herramientas y, de
manera muy especial, generar habilitaciones normativas para que se pueda
autorizar su uso transfronterizo27 y sin necesidad de identificar de manera
concreta el dispositivo informático que es objeto de la medida.
Así, luego de un proceso de debate que comenzó con una iniciativa del
Departamento de Estado presentada en el año 2013 y que incluyó la
participación del Comité de reglas y procedimientos de la Conferencia
Judicial de EE.UU. que dictaminó favorablemente en el año 201428, la
Corte Suprema aprobó la modificación de la Regla 41 del procedimiento
penal federal en abril de 201629. Esta nueva norma empezó a regir
automáticamente el 1 de diciembre de 2016 al no ser objetada por el
Congreso30.
177
La nueva redacción de la Regla 41 autoriza a un juez de una jurisdicción
en la que ocurrió un delito a emitir una orden de acceso remoto que podría
alcanzar a sistemas informáticos en otras jurisdicciones en dos supuestos:
Cuando no se conozca el lugar en el que la información está alojada por
la utilización de algún software especial que permite la utilización de
internet de manera anónima y en los casos de ataques a sistemas
informáticos (18 U.S.C 1030 (a) 5) que afecten a computadoras ubicadas
geográficamente en cinco o más distritos.
En el año 2016, las autoridades lograron acceder a través de programas
maliciosos a alrededor de cuatro mil computadoras pertenecientes a una
red de pornografía infantil de un sitio denominado “Playpen31” (se estima
que el sitio tenía alrededor de 200.000 usuarios). La investigación de
“Playpen32” comenzó en septiembre del año 2014. Al sitio sólo resultaba
accesible por TOR, por personas que conocieran los números y letras
correspondientes a la dirección on line. En el marco de la investigación,
un juez de Virginia emitió una orden judicial que permitía infectar con un
programa malicioso a los dispositivos informáticos de cualquiera que
visitara la página de Playpen. De acuerdo con la orden judicial, cundo un
usuario ingresaba a la página con un usuario y contraseña, un programa
troyano (Network Investigative Technique –NIT33–) era enviado a la
computadora de la persona que había ingresado y enviaba a la autoridad
estatal a cargo de la investigación datos relativos al usuario de la
computadora y, más importante aún, la dirección IP real desde la que se
conectó. El caso generó gran controversia y pronunciamientos diversos en
relación a la validez jurisdiccional de la orden34. El uso de estas
herramientas con carácter transfronterizo puede generar también
problemas de derecho internacional y sobre la validez de la medida
alcanza a dispositivos fuera del territorio de EE.UU.35, cuestión que no
está resuelta en la modificación normativa36.
4.2. España
En España, el acceso remoto a sistemas informáticos como medida
procesal para la investigación en causas penales fue analizado en diversas
oportunidades históricas. Los primeros intentos legislativos no tuvieron
éxito y enfrentaron una fuerte resistencia de sectores de la prensa y la
sociedad civil. Finalmente, luego de un proceso de debate y en el marco
de una ley tendiente a regular de manera general las medidas de
178
investigación tecnológica37, se receptó el acceso remoto a sistemas
informáticos en la misma norma que regula el registro de dispositivos
informáticos de almacenamiento masivo (como forma de allanamiento
remoto, aunque el texto de la norma deja abierta la posibilidad de usos
diferentes de los programas). Advirtiendo correctamente el mayor alcance
y potencial vulneración de la intimidad personal38 de estos registros en
comparación al registro de datos realizado de manera tradicional, la norma
prevé mayores recaudos y garantías especiales para su aplicación. Así
prevé que la medida sólo podrá ser utilizada en la investigación de un
grupo limitado de delitos (numerus clausus) que se consideran de especial
gravedad a fin de garantizar la proporcionalidad de la medida39.
Asimismo, establece una regulación exhaustiva del contenido que debe
tener la resolución judicial que autoriza la medida previendo la necesidad
de que la resolución establezca diferentes recaudos acerca de la forma de
ejecución, incluyendo el software que se autoriza a utilizar y los recaudos
técnicos que se adoptaran para garantizar la cadena de custodia de los
datos obtenidos40.
4.3. Alemania
En Alemania, el tema tiene un extenso tratamiento tanto en el ámbito
académico41 como jurisprudencial y legislativo.
El primer precedente jurisprudencial de importancia es un fallo de la Corte
Federal del 31 de enero de 200742. Para el momento en que la Corte
adoptó esta decisión, parte de la doctrina había postulado que resultaba
posible utilizar legítimamente en el proceso penal estas técnicas de
“registros” a sistemas informáticos mediante accesos remotos
(básicamente, sostenían que era posible utilizar de manera analógica las
disposiciones que regulan en el Código de Proceso Penal alemán el
registro y allanamiento de lugares físicos (art. 102 del CPP alemán –
StPO–). En este fallo, la Corte estableció claramente lo contrario.
Resolvió que con las normas sobre registro y secuestros vigentes en aquel
momento en Alemania, no resultaba válida la utilización de software de
registro y secuestro de datos a distancia. La resolución descarta la
posibilidad de utilizar estas herramientas de acceso remoto a sistemas
informáticos sin una habilitación legal expresa. O sea, la Corte no se
179
pronuncia, en esta resolución, sobre la constitucionalidad o no de estos
medios en “abstracto”, sino que se limita a señalar que al no estar previstos
de manera expresa en el Código Procesal no pueden ser utilizados
válidamente43, descartando la posibilidad de usar la analogía con las
normas que regulan el allanamiento y secuestro de elementos físicos o la
habilitación legal para la intervención de comunicaciones.
Posteriormente, la Corte Federal Constitucional alemana44 emite un
precedente de fundamental importancia sobre el tema. La trascendencia
de esta resolución para el tema que analizo en el presente trabajo es que la
Corte reconoce un nuevo derecho fundamental constituido por la garantía
a la “confidencialidad e integridad de la información en sistemas
informáticos” como una derivación del derecho a la personalidad y la
dignidad. Este nuevo derecho fundamental se orienta a la protección de
los derechos de privacidad y personalidad de los ciudadanos en el ámbito
de los sistemas informáticos y de comunicaciones. Con este marco, la
resolución analiza la validez constitucional de los poderes que otorgaba
una modificación a la denominada “Ley de la Protección de la
Constitución”45. El nuevo texto normativo otorgaba facultades para la
observación y la investigación secreta en Internet, especialmente la
interceptación secreta de comunicaciones a través de Internet y el acceso
secreto a sistemas informáticos, tanto mediante programas que permiten
la vigilancia a distancia como autorizando el uso de dispositivos físicos
que permiten acceder y obtener datos de manera subrepticia del sistema
informático que se quiere investigar. La ley habilitaba la utilización de
programas espías o la infiltración de los sistemas mediante técnicas
informáticas. El Tribunal Constitucional analizó el tema en profundidad
atendiendo no sólo a las aristas jurídicas sino también a aquellas
cuestiones de índole tecnológica que resultaba importante comprender
para resolver los temas constitucionales planteados. Para ello celebro
audiencias públicas con especialistas del área jurídica, de tecnología
informática y hasta hackers.
Luego de este proceso de estudio que atrajo la atención de los especialistas
y la opinión pública en general, el Tribunal Constitucional Federal decidió
que el artículo de la Ley de Protección de la Constitución de NordrheinWestfalen que incluía estos medios de investigación era inconstitucional
(BVerfG, NJW 2008, 822)46. La decisión se basa en el reconocimiento
de este “nuevo” derecho fundamental, el derecho humano a la
confidencialidad y la integridad de los sistemas de tecnología de la
180
información. El fallo destaca el grado de intromisión a la intimidad que
implica penetrar o acceder a distancia a un dispositivo informático
poniéndolo incluso por encima de la intromisión a la intimidad de otras
medidas como el allanamiento tradicional de un domicilio.
Los accesos remotos fueron previstos también en la Ley alemana de
Defensa contra los Peligros del Terrorismo Internacional47 (limitada sólo
a estos supuestos especiales), que introdujo nuevas potestades de
investigación entre las que se encuentra el acceso secreto y remoto a
sistemas informáticos. La ley establece claramente que sólo se podrán
utilizar en casos de terrorismo internacional y organizaciones criminales
terroristas.
Recientemente, Alemania aprobó nuevas reformas en su normativa
procesal habilitando el uso de programas troyanos48.
La reforma habilita dos usos de las técnicas de acceso remoto. Una
destinada a la interceptación de comunicaciones que suceden a partir de
la orden que autoriza la medida49, y la otra especialmente destinada al
tema de este trabajo, el acceso remoto a sistemas informáticos con fines
de registro y secuestro de datos almacenados en el pasado.
Las nuevas normas habilitan al Estado a utilizar técnicas de acceso remoto
para acceder a los dispositivos informáticos de un sospechoso bajo
determinadas condiciones restrictivas. La normativa lo limita a
investigaciones de delitos graves que lista como numerus clausus50,
establece un sistema diferenciado de aprobación judicial con un doble
control, y establece la obligación de asegurar mediante mecanismos
técnicos que la información relativa a la vida privada no sea copiada. En
el caso de que de todas formas se obtenga este tipo de datos, prevé que no
podrá ser usada como evidencia y deberá ser suprimida del proceso51. La
modificación prevé también la obligación de informar a la persona que fue
objeto de la medida en un plazo que no supere los seis meses. En este
sentido, la norma procesal adopta una de las medidas previstas para los
casos de interceptación de comunicaciones considerando que se trata de
una obtención de prueba de carácter subrepticio52.
181
5. Antecedentes nacionales -
En nuestro país existen dos antecedentes legislativos que no llegaron a
generar mayor controversia y pasaron casi desapercibidos tanto para el
sector académico, organizaciones no gubernamentales dedicadas a la
temática, como para la opinión pública en general. El primer antecedente
es el proyecto de ley preparado por una comisión especial que tenía como
objetivo introducir normas procesales sobre evidencia digital en el Código
Procesal Penal de la Nación53. Este anteproyecto incorporó una norma de
“allanamiento remoto” (bastante rudimentaria) como variante del
allanamiento tradicional. El art. 2 del proyecto (que no tuvo tratamiento
parlamentario) preveía la reforma del art. 224 de CPPN agregando una
habilitación legal expresa para el registro de dispositivos informáticos
encontrados en el marco de allanamiento de espacios físicos54. El art. 3
del proyecto de ley proponía un agregado a este artículo en el que se
habilitaba expresamente la utilización de técnicas de acceso remoto de
acuerdo a los siguientes términos:
Art. 224 bis.- Si existieren motivos para presumir que un dispositivo de
almacenamiento informático contiene datos relativos a la investigación y
fuera posible el registro de tal dispositivo por medios técnicos y en forma
remota, así se ordenará con los mismos recaudos del artículo anterior. En
tal caso, su objeto deberá estar precisamente detallado, bajo pena de
nulidad.
Es evidente que esta norma resultaba claramente deficiente. De su lectura
parece que incluso se prefiere el acceso remoto antes que el allanamiento
tradicional (como regla y no como excepción como si se tratara de una
medida menos intrusiva). Al no advertir correctamente las diferencias que
presenta este tipo de medidas en términos de injerencia en el derecho a la
intimidad con un allanamiento de espacios, la propuesta de norma habilita
la medida sin más requisito de que “sea técnicamente posible” sin criterios
de proporcionalidad y subsidiariedad respecto de medidas menos
intrusivas y sin garantías especiales en cuanto a su ejecución55.
En una línea similar se inscribe el Código Procesal Penal de la provincia
de Neuquén vigente56, que prevé una norma para habilitar el registro y
secuestro de datos en equipos informáticos encontrados en el marco de un
182
allanamiento, y agrega, sin mayores condiciones ni requisitos especiales,
la posibilidad de los registros remotos:
Art. 153. Información digital. Cuando se hallaren dispositivos de
almacenamiento de datos informáticos que por las circunstancias del caso
hicieran presumir que contienen información útil a la investigación, se
procederá a su secuestro, y de no ser posible, se obtendrá una copia. O
podrá ordenarse la conservación de los datos contenidos en los mismos,
por un plazo que no podrá superar los noventa (90) días. Quien deba
cumplir esta orden deberá adoptar las medidas necesarias para mantenerla
en secreto.
También podrá disponerse el registro del dispositivo por medios técnicos
y en forma remota.
Según entiendo, esta norma ya vigente en la provincia de Neuquén no
prevé un sistema de garantías adecuado para regular este mecanismo
intrusivo. Del texto de la norma parece surgir que asimila los requisitos a
los previstos para el allanamiento. Si bien habilita la medida legalmente
bajo autorización judicial, la falta de claridad sobre los supuestos en que
puede ser aplicada y la posibilidad de afectación al principio de
proporcionalidad ponen en duda su legitimidad constitucional.
6. El acceso remoto a datos en el Proyecto de Reforma del Código
Procesal Penal de la Nación (CPPN, ley 27.063) -
El proyecto fue presentado por el PEN y, posteriormente, retomado con
modificaciones en su texto por los senadores del partido justicialista
Urtubey y Guastavino57. La intención es mejorar el texto del Código
Procesal Penal de la Nación (ley 27.063). Entre las propuestas, incorporó
la regulación de “medios especiales de investigación” para atender las
necesidades que plantea al proceso penal tradicional la investigación de
delitos complejos o de extrema gravedad, cuestión que no había recibido
especial atención en la redacción original58. Si bien la modificación al
CPPN ley 27.063 fue aprobada, el capítulo referido a los medios
especiales de investigación fue dejado de lado ya en la media sanción de
la Cámara de Senadores. El texto del proyecto, tal cual lo hacía la
183
propuesta original del Poder Ejecutivo, preveía como nuevo medio de
prueba la “vigilancia remota de equipos informáticos”, que habilitaba la
utilización de programas informáticos para acceso a sistemas
informáticos.
El título de “Medios especiales de investigación” estaba encabezado por
normas de alcance general para todas las medidas especiales de
investigación59, que preveían diversos límites y garantías para asegurar
la razonabilidad y proporcionalidad en el uso de estas técnicas
especiales60.
En lo que se refiere al tema del presente trabajo, el proyecto preveía una
norma especial bajo la nomenclatura de Vigilancia remota sobre equipos
informáticos. El nombre elegido para la medida parece indicar que no se
limita sólo al acceso a sistemas informáticos para el “registro y secuestro
de datos”, sino que habilita el uso de este tipo de programas con otras
finalidades como las descriptas el presente trabajo. El texto del art. 175
septies preveía: “Vigilancia remota sobre equipos informáticos. Podrá
autorizarse la utilización no ostensible de un software que permita o
facilite el acceso remoto al contenido de ordenadores, dispositivos
electrónicos, sistemas informáticos, bases de datos o instrumentos de
almacenamiento masivo de datos informáticos”61.
La norma despertó críticas tanto de representantes de la sociedad civil62
como de un grupo de legisladores que señalaban la potencial afectación
de garantías individuales y, especialmente, la necesidad de un proceso de
discusión mayor63. Ello determinó que el capítulo fuera dejado de lado
por la Cámara de Senadores priorizando que se aprobara el resto de las
normas procesales propuestas a fin de facilitar la implementación del
sistema acusatorio en nuestro país, proceso claramente retrasado en el
ámbito de la justicia federal64.
7. La posibilidad de utilizar técnicas de allanamiento remoto con las
normas procesales vigentes -
En este punto pretendo dar respuesta a un aspecto práctico de especial
importancia: ¿Es posible utilizar en nuestro país herramientas de acceso
184
remoto a datos para registrar o secuestrar elementos de prueba informática
con el marco normativo vigente? O sea, es válido que un juez ordene un
allanamiento remoto para registrar y secuestrar datos de un dispositivo o
sistema informático ¿Hay alguna norma procesal que lo habilite o existe
la posibilidad de aplicar por analogía alguno de los medios previstos en la
normativa procesal vigente?
Tal como vimos a lo largo del trabajo, la medida denominada comúnmente
“allanamiento remoto” se basa en la utilización por las autoridades de
persecución penal de un Estado de algún tipo de programa malicioso
(troyano, virus) con la finalidad de acceder de manera remota, revisar y
obtener (copiar o secuestrar) datos informáticos ubicados en un
dispositivo o sistema informático en el marco de un proceso penal. En
cualquiera de sus formas, requiere del engaño del sospechoso y la
vulneración de medidas de seguridad informática.
Es fácil imaginar supuestos concretos en los que resulte más eficiente para
la investigación realizar un “allanamiento remoto” en vez de utilizar las
vías tradicionales que implican allanar un domicilio (o efectuar una
requisa) para secuestrar los dispositivos de almacenamiento informáticos
y proceder posteriormente al registro y secuestro de datos de interés para
la investigación65. Supongamos que en una causa en la que se investiga
una maniobra de fraude contra la administración pública y posible
cohecho a funcionarios conocemos que en el sistema informático de un
contador están alojados archivos informáticos que contienen datos sobre
los autores, planillas sobre los sobreprecios acordados en una licitación y
documentos vinculados a transacciones bancarias realizadas para
concretar las maniobras.
El uso de técnicas de acceso remoto, por su carácter de medida subrepticia,
permitiría obtener la información y continuar la investigación, sin que los
imputados tomen conocimiento de la medida. Incluso puede suceder que
el uso de técnicas de acceso remoto no sea solamente una alternativa para
mejorar las posibilidades de la investigación, sino que sea la única forma
de que la medida de allanamiento sea exitosa. Supongamos que
conocemos que el sistema informático del contador cuenta con medidas
de seguridad informática que le permiten borrar rápidamente los datos
cuando advierten que el lugar donde está ubicado el sistema informático
185
puede ser objeto de un allanamiento o que los archivos buscados están
encriptados con claves que no podrán vulnerarse.
Sin embargo, entiendo que aun justificando la conveniencia o necesidad
de la medida, su viabilidad encuentra un escollo jurídico difícil de salvar:
las normas procesales vigentes que regulan el allanamiento y el registro y
secuestro en los diferentes CPP de nuestro país (con la excepción de
Neuquén, al que hice referencia en el punto 5) no habilitan esta forma de
intromisión en la garantía de intimidad. La aplicación por analogía de las
normas vigentes implicaría una violación al principio nulla coactio sine
lege, que tornaría nula la evidencia así obtenida. Es que, por sus
características, el registro y secuestro de datos a distancia requieren una
habilitación diferente por el tipo de afectación que significa para la
intimidad, que no puede cubrirse (ni siquiera bajo el “paragua” del
principio de libertad probatoria), con las regulaciones previstas para el
registro y secuestro realizados en el marco de un allanamiento. Resulta
evidente que las garantías y condiciones de ejecución de un allanamiento
de domicilio no son aplicables a las técnicas de acceso remoto. Las normas
de los Códigos Procesales Penales vigentes prevén condiciones (garantías
frente a la injerencia estatal en el ámbito de intimidad) que resultan de
imposible cumplimiento en un registro de datos a distancia. Aun cuando
la medida sea ordenada por un juez, incluso pensando en que el juez
controle personalmente su ejecución para dotar de mayores garantías a la
medida, la habilitación para la injerencia en la intimidad del domicilio y
para el secuestro de correspondencia y papeles privados exige, entre otros
requisitos, la notificación al poseedor o titular del domicilio allanado66,
sumado a requisitos horarios67 y condiciones especiales de ejecución
previstas para lugares especiales68 que son totalmente incompatibles con
la idea de un registro y secuestro de datos realizado a distancia por un
programa informático, instalado “subrepticiamente”, sin comunicación
alguna a la persona que es objeto de investigación, programa que una vez
instalado funciona de manera prácticamente automática y sin límites
físicos ni horarios. Por este motivo, con la normativa vigente, entiendo
que no existiría posibilidad de realizar registros y secuestros a distancia,
aun reconociendo su utilidad y hasta su necesidad ineludible en algunos
supuestos fácticos como el descripto más arriba. No son asimilables ni
aplicables analógicamente a un registro y secuestro de datos realizado a
distancia las normas procesales previstas para regular la habilitación legal
para el allanamiento de domicilio y el registro y secuestro de elementos
físicos69.
186
8. Una propuesta superadora de regulación procesal -
El objetivo de este punto es someter a debate una norma procesal que
habilite el uso de estos novedosos medios de investigación basados en
técnicas informáticas (variantes de programas maliciosos), limitado
solamente al registro y secuestro de datos a distancia. La propuesta
pretende llenar el vacío legislativo que existe sobre este tema y que, tal
como he señalado antes, entiendo que con el marco procesal penal vigente
en los CPP del país, impide un uso válido de estas herramientas. Parto de
la base de reconocer que los allanamientos remotos y el registro y
secuestro de datos a distancia son medios de prueba que pueden contribuir
a la eficiencia del sistema penal y en algunos supuestos hasta ser
herramientas indispensables para que una investigación sea viable. Al
mismo tiempo, prever un marco de requisitos que garanticen
adecuadamente la intimidad y el debido proceso debe ser un requisito
ineludible en su regulación.
Tal como hemos visto en el punto 2 del presente trabajo, este tipo de
programas permiten al Estado dos formas claramente diferenciables de
acceder a evidencia digital. Por un lado, como medio de investigación “en
línea”70, más parecido a medidas de tecnovigilancia71. Por el otro,
búsqueda de datos almacenados “previamente” que no están asociados a
una actividad actual o futura del investigado, sino a datos informáticos
almacenados antes de que se disponga la medida de investigación (tema
al que está dedicado el presente trabajo). O sea, el uso de estos programas
para obtener datos informáticos desvinculados de una actividad actual de
la persona, dispositivo de almacenamiento o sistema que es objeto de la
medida (investigación de actividad pasada y, por tanto, con características
más asimilables a un registro y secuestro de datos).
La norma propuesta como conclusión de este trabajo pretende fijar pautas
de “autorización” y “ejecución” de una medida de registro y secuestro
remoto (a distancia) de datos informáticos y regular mecanismos de
“control” procesal de los resultados que se obtienen utilizando estos
medios de investigación, previo a su incorporación al proceso penal como
elementos de prueba válidos.
187
En este sentido, entiendo que es posible regular la utilización de este tipo
de programas como una opción diferente de concretar un allanamiento con
fines de registrar sistemas informáticos y secuestrar datos. O sea, una
variante en la forma en que se ejecuta un “registro y secuestro de datos”,
sea como fuere que esté regulada en cada CPP72. La medida quedaría, de
esta forma, limitada al uso de estos programas informáticos con la sola
finalidad de obtener elementos de prueba almacenados en el sistema
informático ya existentes al momento en que se emite la orden judicial
que autoriza la medida. Este único objetivo habilitado por la norma debe
limitar también la duración y alcance de los elementos de prueba que se
pueden obtener. Aun con estas limitaciones, que impide que el programa
sea utilizado con fines de vigilancia continua sobre la actividad de una
persona en su entorno digital, entiendo que la utilización de técnicas de
acceso remoto para realizar el registro y secuestro de datos implica un
grado mayor de injerencia que la medida de incautación de datos realizada
de forma tradicional. Ello justifica la necesidad de una aplicación más
restrictiva por el Estado, que debe reflejarse en la regulación de los
supuestos en que se habilita, las condiciones y formas de ejecución, el
control de la ejecución de la medida y la revisión de la validez de los
elementos de prueba obtenidos.
Tal como hemos analizado a lo largo del presente trabajo, la diferencia
más evidente es el carácter subrepticio de la medida durante su ejecución,
que implica que el imputado y su defensa no conocerán que el Estado ha
accedido al sistema informático y, eventualmente, registrado y
secuestrado datos. Esto, por sí, implica una mayor injerencia en garantías
fundamentales de esta variante del registro y secuestro de datos, en
relación a la medida de incautación realizada de manera tradicional.
9. Normas propuestas como modelo - 73
Norma habilitante
El juez podrá autorizar que el registro y secuestro de datos se realice de
forma remota y sin el conocimiento74 del titular o usuario del dispositivo
o sistema que es objeto de investigación, mediante la utilización de
188
programas informáticos u otros mecanismos tecnológicos, siempre que la
autorización se emita en el marco de la investigación de un delito
concreto75 de especial gravedad76 y existan motivos suficientes que
acrediten que los datos necesarios para la investigación no pueden ser
obtenidos de una forma menos gravosa para los derechos del imputado o
el éxito de la investigación esté seriamente dificultado sin recurrir a este
medio de investigación excepcional77. El juez podrá autorizar también
esta medida siempre justificando la proporcionalidad de la autorización,
en aquellos casos en que el delito se cometa a través de medios
informáticos que tornen imposible otra forma de investigación78.
Rigen en cuanto son aplicables todos los límites y garantías referidos al
secuestro de cosas, documentos privados y correspondencia epistolar.
El fiscal deberá poner en conocimiento de la realización de la medida y
sus resultados a la persona física o jurídica titular del dispositivo o sistema
informático que haya sido objeto del acceso remoto y al imputado y su
defensor lo antes posible, sin entorpecer los resultados de la investigación
y siempre dentro de un plazo máximo de seis meses desde su
realización79.
El juez podrá autorizar la ampliación de la medida cuando existan
elementos que permitan sospechar que los datos buscados están
almacenados en otro dispositivo o sistema informático al que se tiene
acceso desde el sistema originariamente autorizado80.
Norma que regula el contenido de la autorización judicial
La autorización judicial deberá precisar: a) La individualización de los
dispositivos o sistemas informáticos que serán objeto del acceso remoto;
b) una descripción del objetivo probatorio concreto que se persigue con la
medida y los datos o archivos informáticos que se procura obtener; c) los
programas u otros mecanismos técnicos que se utilizarán para la ejecución
de la medida; d) la identificación de los mecanismos mediante los cuales
se almacenará la información obtenida que permita asegurar la integridad
de los datos y el resguardo de la cadena de custodia; e) la autoridad
encargada de la ejecución del registro, copia o secuestro de datos a
189
distancia, que actuará bajo el control que disponga el juez, y f) el plazo
máximo autorizado para su ejecución procurando que la medida se realice
en el menor tiempo posible81.
Norma que regula la limitación de utilización de datos vinculados a otros
delitos encontrados de manera casual
Los llamados encuentros casuales también deben tener una regulación que
atienda a las características diferenciales del registro y secuestro realizado
utilizando estas técnicas especiales de investigación.
Cuando en el marco de la ejecución de la medida se hallaren archivos o
datos informáticos de cualquier tipo, que pueden resultar útiles para la
investigación de un delito diferente al que motivó la autorización judicial,
ellos solamente podrán ser incautados, previa autorización judicial,
cuando el fiscal pueda acreditar que el hallazgo se produjo de manera
casual mediante el uso normal del programa o mecanismo técnico
utilizado, en el estricto cumplimiento de la búsqueda autorizada
judicialmente y de manera previa o conjunta a que se incautaran los datos
que justificaron la medida. El juez sólo autorizará la incautación de estos
elementos de prueba cuando se acrediten los requisitos previstos para la
autorización del registro y secuestro de datos a distancia previstos en los
artículos precedentes, y siempre que razonablemente el fiscal no hubiera
podido solicitarlos en su petición original.
Notas -
1 En esto difieren de las formas clásicas de registro y secuestro en el marco
de un allanamiento o requisa, medios en los que se prevé expresamente
diversas maneras de asegurar la notificación de la persona afectada por la
medida de investigación. A modo de ejemplo, CPPN, art. 228: “La orden
190
de allanamiento será notificada al que habite o posea el lugar donde deba
efectuarse o, cuando esté ausente, a su encargado o, a falta de éste, a
cualquier persona mayor de edad que se hallare en el lugar, prefiriendo a
los familiares del primero. Al notificado se le invitará a presenciar el
registro…”. En el mismo sentido, CPPCABA, art. 111. Esta es una de las
características que permite advertir la clara diferenciación entre el
allanamiento
remoto
y
el
presencial.
2 Por ejemplo, permite secuestrar datos de una computadora o un teléfono
celular sin que las autoridades los tengan nunca en su poder y ni siquiera
lo vean o sepan exactamente en qué lugar están en el momento en que se
ejecuta
la
medida.
3 Los programas “maliciosos” pueden ser utilizados por un Estado en el
marco de una investigación con diferentes finalidades: Búsqueda y copia
o secuestro de archivos o datos almacenados en soportes informáticos (a
esta función se refiere de manera especial el presente trabajo); grabar y
preservar datos de tráfico sobre las comunicaciones (por ejemplo, grabar
todaos los datos de conexión y las direcciones IP con las que se comunicó
una computadora); obtener claves de acceso a servidores remotos o de
encriptación de archivos y enviarlas remotamente a la autoridad que está
a cargo de la medida; grabar información procesada a través de la
computadora pero que no queda grabada de manera permanente en el
disco rígido (por ejemplo, las conversaciones a través de sistemas de
comunicación de voz por IP); activar mecanismos de vigilancia en tiempo
real como cámaras web o micrófonos e identificar la dirección IP desde la
que se produce la comunicación de un dispositivo en la que usaron
técnicas de anonimato como la red TOR. Para un análisis integral de los
problemas jurídicos del uso de programas maliciosos por el Estado y su
significado como prueba “híbrida” que reúne en una misma herramienta
la posibilidad de diferentes formas de investigación, cfr. Salt, Marcos,
Nuevos desafíos de la evidencia digital: acceso transfronterizo y técnicas
de acceso remoto a datos informáticos, Ad-Hoc, Buenos Aires, 2017. El
presente trabajo toma en lo fundamental los debates y las ideas
desarrolladas de manera más extensa en el libro citado al que remito.
4 Cfr. a modo de ejemplo, un estudio reciente sobre el uso de monedas
digitales en el pago de rescate en casos de ransomware, Bursztein, Elie;
McRoberts, Kylie e Invernizzi, Luca, “Tracking desktop ransomware
payments”, investigación de Google, 2018, disponible en
www.blackhat.com.
5 Las técnicas de encriptación cada vez más desarrolladas y la extensión
de su uso a diferentes aplicaciones constituyen una herramienta
fundamental para garantizar la seguridad de la información y la intimidad
191
y secreto de las comunicaciones. Al mismo tiempo, un escollo cada vez
más difícil para los organismos de persecución penal del Estado. El tema
ha generado debates en todos los países y discusiones jurisprudenciales.
Incluso tendencias normativas a facilitar la actividad de los Estados para
permitir el acceso a la información en el marco de las investigaciones
generando obligaciones al sector privado. Quizá la más actual, se produce
en el debate en Australia por una ley que obligaría al sector privado a
cooperar con el Estado para destrabar claves de encriptación. Ver el
informe de 9news del 14 de agosto de 2018 disponible en
www.9news.com.au.
6 La propuesta tuvo su origen en un Proyecto presentado por el Poder
Ejecutivo el 28 de septiembre del año 2016 PE165/16PL, “Mensaje n°
111/16: Proyecto de Ley modificando el Código Procesal Penal de la
Nación –ley 27.063–, respecto de la investigación y el juzgamiento de los
delitos de competencia de la justicia federal”. El proyecto del Poder
Ejecutivo modificando el texto del Código Procesal Penal federal (ley
27.063) que si bien está aprobada no está aún vigente. El texto de Proyecto
de Ley está disponible en la plataforma del programa Justicia 2020 del
gobierno argentino. Ver www.justicia2020.gob.ar. Posteriormente fue
tomado con modificaciones por el proyecto presentado por los senadores
del bloque justicialista Rodolfo Urtubey y Guastavino el 2 de marzo de
2018 –nº S-18/18–. Puede resultar de interés la discusión de los
legisladores y los argumentos del dictamen “desfavorable” respecto a las
medidas especiales de investigación –orden día 35/18 anexo, del 25 de
abril de 2018–. Textos disponibles en www.senado.gov.ar. Ver punto 6
del presente trabajo para un análisis de la regulación que proponía el
proyecto.
7 La negativa de la Cámara de Senadores no significa que el debate esté
agotado. Antes bien, entiendo que exige un trabajo de mejora de la
normativa propuesta y de búsqueda de consensos tanto sobre su necesidad
de un sistema penal eficiente como de las garantías necesarias para que la
sociedad no vea amenazado su derecho a la intimidad en el ámbito
informático. Como veremos, el proceso legislativo en países como
Alemania y España también estuvo signado por avances y retrocesos hasta
la aceptación de una regulación en el código procesal penal. Incluso hoy,
en los países que cuentan con una norma expresa de habilitación de su
uso, sigue siendo una medida constantemente controvertida.
8 La doctrina lo ha denominado “allanamiento remoto”, ya que se refiere
a un uso de este tipo de programas limitado “a registrar y secuestrar” datos
informáticos almacenados en un sistema o dispositivo informático (me
refiero a datos existentes al momento de la medida, o sea, generados en el
192
“pasado”, diferenciando la medida de cualquier vigilancia o intervención
de comunicaciones o archivos generados con posterioridad). El
allanamiento remoto permite buscar y obtener (ya sea mediante copia o
secuestro) todo tipo de datos o archivos almacenados en la memoria de un
dispositivo o sistema informático que es objeto de la medida de
investigación.
9 Supongamos que en una investigación de un secuestro extorsivo los
mensajes pidiendo rescate son enviados por mail utilizando técnicas que
impiden identificar la dirección IP utilizada (por ejemplo, mediante la red
TOR). Es posible, con las normas procesales vigentes, que el fiscal o el
juez dispongan el envío al secuestrador de un mail conteniendo un
programa malicioso para intentar determinar la dirección IP desde la que
se envían los mensajes ¿Qué norma del CPPN sería aplicable?
10 Para un análisis más exhaustivo del tema y comprensivo de las
diferentes posibilidades de uso de los programas maliciosos por el Estado
en el marco de las investigaciones penales, cfr. Salt, Nuevos desafíos de
la
evidencia
digital…
cit.
11 Por ejemplo, una persona que tiene acceso a una computadora de la
persona que es objeto de investigación –un empleado, investigador, etc.–
instala el programa malicioso utilizando un pendrive. O sea que carga el
virus mediante un acceso físico al dispositivo o sistema informático.
12 Por ejemplo, a través de un mail que contiene el código malicioso. Otro
supuesto que se ha utilizado especialmente para identificar computadoras
que utilizan técnicas de navegación anónima –como TOR– es que el
programa malicioso se infecte en las computadoras o dispositivos que
acceden a un determinado sitio (por ejemplo a un sitio de intercambio de
pornografía infantil o un foro de apoyo a actividades terroristas).
13 Por ejemplo, un empleado o algún agente estatal inserta un pendrive
con el programa en la computadora que va a ser objeto de registro u
observación.
14 En nuestro país, la medida podría encuadrar en un acceso ilegítimo a
un sistema informático ajeno. Conducta prevista en el CP, art. 153 bis:
“…el que a sabiendas accediere por cualquier medio, sin la debida
autorización o excediendo la que posea, a un sistema o dato informático
de acceso restringido”. El hecho de que el uso de programas maliciosos
por el Estado esté autorizado en algunos estados y en otros no, sumado a
la movilidad de los programas a través de internet que posibilita que un
programa usado con orden judicial en un país se traslade de manera
transfronteriza y obtenga información en otros países en los que la medida
no está prevista o incluso constituye un ilícito penal, genera importantes
problemas jurídicos que exceden los límites de este trabajo. A modo de
193
ejemplo, supongamos que un juez de EE.UU. en el marco de una
investigación penal, autoriza la utilización de un programa malicioso para
obtener las direcciones IP de las computadoras que se conectan a una red
de intercambio de pornografía infantil. Si el programa malicioso infecta
una computadora en la Argentina y de esta manera logra obtener datos
informáticos, ¿constituirá un acceso ilegítimo prohibido por el art. 153 bis
del
CP?
15
Ver
caso
propuesto
en
la
nota
anterior.
16 En este sentido, la ventaja que en general otorga el que el imputado no
conozca que está siendo investigado (y en esto tiene una similitud con la
intervención de comunicaciones), se contrapone con la desventaja que
puede generar en términos de garantizar la seguridad de la evidencia
(cadena de custodia), el no contar con el acceso al soporte físico que
permitiría un estudio forense más preciso e, incluso, la posibilidad de
resguardo seguro de la evidencia para que resulte un “acto reproducible”
en
términos
de
la
legislación
procesal.
17 Según creo, este proceso terminará con un “cambio de paradigma” en
términos de la prueba en el proceso penal: La evidencia digital pasará a
ser la prueba principal y la prueba física a la que estamos acostumbrados
(fundamentalmente la prueba testimonial) actuará como evidencia
complementaria o confirmatoria de elementos de prueba digital. Ello
acrecienta la necesidad de incorporar a los códigos procesales normas
pergeñadas para la prueba digital abandonando la perniciosa tendencia a
aplicar las normas de la evidencia física por analogía sobre una aplicación
errada
del
principio
de
libertad
probatoria.
18 Computadoras, discos, GPS de un automóvil, consolas de juegos,
teléfonos
celulares,
etc.
19 La importancia de esta distinción es que una orden judicial para
habilitar el secuestro de dispositivos informáticos no implica la
habilitación para registrar y secuestrar los datos contenidos en él. Antes
bien, si no fue previsto en la orden original se requiere una nueva
autorización judicial. Ello ha llevado a la nulidad de registro de datos
ordenados por la fiscalía sin la correspondiente orden judicial previa. Así
lo aclara expresamente el CPP de España en el art. 588 sexies a) que regula
el secuestro de dispositivos informáticos: “…2. La simple incautación de
cualquiera de los dispositivos a los que se refiere el apartado anterior,
practicada durante el transcurso de la diligencia de registro domiciliario,
no legitima el acceso a su contenido, sin perjuicio de que dicho acceso
pueda ser autorizado ulteriormente por el juez competente”.
20 Esta es precisamente una de las principales diferencias entre los medios
de registro y secuestro de cosas materiales y de datos informáticos. De
194
hecho, es clara la falta de diferenciación entre las normas del registro y las
del peritaje lo que genera innumerables problemas que exceden el objeto
de este trabajo. Ver el trabajo de Kerr, Orin, “Searches and Seizures in a
Digital World”, publicado en Harvard Law Review, nº 119, 2005, pp. 531585, y en la doctrina local, Rubinska, Julián, “El hallazgo casual en la
prueba digital. Estudio de derecho comparado y jurisprudencial, Editorial
Estudio,
Buenos
Aires,
2017.
21 Para un análisis más pormenorizado del estado de la discusión en el
derecho comparado, tanto a nivel de los organismos internacionales como
del derecho procesal vigente y la jurisprudencia en países centrales, cfr.
Salt, Nuevos desafíos de la evidencia digital… cit., pp. 73-113, trabajo del
que he tomado la información que sintetizo en este punto.
22 Cfr. especialmente los trabajos de Brener, Susan, “Remote computer
search and the use of virtual force”, 81 Mississippi Law Journal, 2012;
“Law Dissonance and Remote Computer Searches”, cit., p. 4. Señala en
este último trabajo: “…esto significa que los investigadores de Estados
Unidos pueden, de manera remota y subrepticia, explorar los contenidos
de las computadoras de los ciudadanos y utilizar lo que encuentren como
evidencia en un proceso penal, aun cuando la búsqueda dinámica difiera
fuertemente de los registros que tuvieron en cuenta los redactores de la
cuarta enmienda…” (traducción propia). Un tema importante que trata la
autora en este trabajo, especialmente teniendo en cuenta la estructura y
características del sistema federal argentino que delega la regulación del
sistema procesal a las diferentes provincias, es el de la discordancia que
puede darse entre los diferentes regímenes procesales de diferentes
jurisdicciones dentro del mismo país. Así Brener resalta que discordancias
entre los diferentes estados y el Estado federal: (i) La Corte Federal ha
resuelto que este tipo de registros es válido en la medida en que se
cumplan con los requisitos de la Cuarta enmienda; (ii) doce Cortes
estaduales han resuelto en el mismo sentido que resultan válidos siempre
y cuando cumpla con los estándares de la Cuarta enmienda de la
Constitución Federal y, además, con los requisitos propios de la
Constitución estadual y (iii) dieciséis Cortes supremas estaduales han
establecido de manera categórica que los registros remotos de
computadoras resultan ilegales frente a las normas de su constitución
local. El trabajo trata de determinar de qué manera influyen estas
diferencias cuando el acceso remoto significa también un acceso
interjurisdiccional entre estados con estándares diferentes. (Véase un
análisis de este tema con ribetes internacionales en el artículo siguiente,
pp.
183
y
ss.).
23 United States v Scarfo, decisión de agosto del año 2001, ver texto del
195
fallo
en
http://caselaw.findlaw.com.
24 Corresponde a su denominación en inglés, Computer and Internet
Protocol
Address
Verifier.
25 Para una descripción de las características técnicas y los datos que
permite obtener el programa espía, cfr. Keizer, Gregg, “Insider info on the
FBIs spyware”, Computerworld, 30 de julio de 2007, disponible en
www.pcworld.com. Cfr. también, del mismo autor, “El spyware utilizado
por el FBI para detener a un extorsionador”, PC World, México, 20 de
abril de 2009. El autor describe la utilización del programa en un caso:
“FBI obtuvo permiso para emplear un programa llamado Computer &
Internet Protocol Address Verifier (CIPAV) para identificar la
computadora de Kelly como el que accedió a las páginas web creadas por
las operadoras para comunicarse con el extorsionador. CIPAV permite,
según los agentes del FBI, ‘que cualquier computadora,
independientemente de dónde esté, envíe mensajes que contienen la
dirección IP activa de la computadora y/o la dirección MAC, así como
otras variables y determinada información de registro, a una computadora
que está controlada por el FBI’. Sin embargo, no se especifica si el CIPAV
es también capaz de capturar contraseñas o de inyectar código en la
computadora comprometida al que accede, tal y como hacen la mayoría
de los troyanos. ‘La naturaleza exacta de los comandos de CIPAV, de sus
procesos, posibilidades y su configuración es material clasificado y
protegido
por
las
leyes’
sentencia
este
documento.
”Sea como fuere, lo cierto es que en el caso de Kelly el FBI fue autorizado
a utilizar CIPAV y, un año después, Kelly fue encontrado culpable de
extorsión y condenado a pagar uno 378.000 dólares a Verizon por los
daños
causados…”.
26 Así quedó evidenciado que el programa permite obtener de manera
remota datos tales como la dirección IP, dirección MAC, lista de puertos
TCP y UDP abiertos, lista de programas en ejecución, tipo de sistema
operativo utilizado y su versión y número de serie, navegador de Internet
utilizado y su versión, usuario registrado en el sistema operativo y el
nombre de empresas registradas, en su caso el nombre del usuario que ha
iniciado la sesión y la última URL visitada. Según lo informado por el
FBI, el programa informático no copia el contenido de las
comunicaciones, lo que implicaría una afectación menor a la expectativa
de
privacidad.
27 Más allá de los límites territoriales que delimitan la jurisdicción del
juez
que
ordena
la
medida.
28 Preliminary Draft of Proposed Amendments to the Federal Rules of
Appellate, Bankruptcy, civil, and Criminal Procedure, preparado por el
196
Committee on Rules of Practice and Procedure of the Judicial Conference
of the United States, agosto 2014, pp. 339 y ss.
29 Cfr. la norma con sus modificaciones y notas, en idioma original en
www.law.cornell.edu.
30 El Poder Legislativo tenía 180 días para rechazar o modificar la norma
propuesta por la Corte Suprema antes de que entre en efecto.
31 Por sus características el caso tiene similitudes con el caso “Freedom
Hosting” antes relatado, aunque en este supuesto con la vigencia de la
nueva Regla 41. Un análisis interesante de todas las características
técnicas del caso en: Cox, Joseph, “The FBI’s ‘Unprecedented’ Hacking
Campaign Targeted Over a Thousand Computers”, publicado en
Motherboard, enero de 2016, disponible en https://motherboard.vice.com.
32 Véase sobre la operación y sus discusiones jurídicas el trabajo de Siino,
Nicola, “The FBI’s ‘Operation Pacifier’ Attempted to Catch Child
Pornography Viewers But Courts Inquire Into the Validity of the Search
Warrant”,
2016,
disponible
en
https://sites.suffolk.edu.
33 De acuerdo al informe sobre el caso de la Electronic Frontier
Foudation, el término NIT fue utilizado por el FBI para intentar desviar la
atención de que se trataba de la utilización de un programa malicioso. Ver
el informe “The Play pen Cases: Frequently Asked Questions”, disponible
en
www.eff.org/es.
34 Los debates, que exceden el objetivo de este trabajo, abarcan
cuestiones éticas y jurídicas. Desde un punto de vista ético se discutió
sobre el rol del Estado que, en aras de la investigación, mantuvo en
funcionamiento la página por un período de tiempo permitiendo que
continuara el ilícito. Jurídicamente, fueron analizadas cuestiones diversas
como la validez de la orden extraterritorial, el carácter de “dato” privado
que significa la IP de un usuario, o si el envío del programa implica un
registro domiciliario y debe tener las mismas garantías. Ver Kerr, Orin,
“Government hacking and the Playpen search warrant”, The Washington
Post, 27 de septiembre de 2016, y “Remotely accessing an IP address
inside a target computer is a search”, The Washington Post, 7 de octubre
de 2016. Resulta interesante la decisión de la Corte de Apelaciones del
Octavo Circuito (United States Court of Appeals for the Eigth Circuit) nº
16-3976 en el caso United States v. Steven Shane Horton. Disponible en
http://media.c
a8.uscour
ts.gov.
35 En el caso se explicitó que un grupo de direcciones IP investigadas
pertenecían a Austria. Cfr. sobre el tema, Paganini, Pierluigi, “Operation
Pacifier is the massive hacking campaign against computers world wide
launched by the FBI in early 2015 to track criminals on the dark web”,
agosto de 2016, disponible en http://securi tyaffa irs.co.
197
36 El tema puede tener importancia práctica en nuestro país. Supongamos
que EE.UU. comunica a la Argentina mediante alguno de los mecanismos
de cooperación existentes que ha detectado una dirección IP
correspondiente a un usuario de nuestro país desde la que se ha cometido
un delito. ¿Sería válida esta prueba si hubiera sido obtenida mediante estas
técnicas? ¿Constituiría un delito por parte de las autoridades de EE.UU.
el acceso a un sistema informático en la argentina?
37 Ley Orgánica 13/2015, de 5 de octubre, de modificación de la Ley de
Enjuiciamiento Criminal para el fortalecimiento de las garantías
procesales y la regulación de las medidas de investigación tecnológica,
publicada en el Boletín Oficial del Estado nº 239, 6 de octubre de 2015.
38 Ver preámbulo BOE nº 239, p. 90.197: “…Por lo que afecta al registro
remoto (diligencia ya presente en buena parte de las legislaciones
europeas) el intenso grado de injerencia que implica su adopción justifica
que incluso se refuerce el ámbito objetivo de la medida, para lo que se han
acotado con un listado numerus clausus los delitos que la pueden habilitar,
y
a
que
se
limite
la
duración
temporal…”.
39 Art. 588 septies a). “Presupuestos. 1. El juez competente podrá
autorizar la utilización de datos de identificación y códigos, así como la
instalación de un software, que permitan, de forma remota y telemática, el
examen a distancia y sin conocimiento de su titular o usuario del contenido
de un ordenador, dispositivo electrónico, sistema informático,
instrumento de almacenamiento masivo de datos informáticos o base de
datos, siempre que persiga la investigación de alguno de los siguientes
delitos: a) Delitos cometidos en el seno de organizaciones criminales. b)
Delitos de terrorismo. c) Delitos cometidos contra menores o personas con
capacidad modificada judicialmente. d) Delitos contra la Constitución, de
traición y relativos a la defensa nacional. e) Delitos cometidos a través de
instrumentos informáticos o de cualquier otra tecnología de la
información o la telecomunicación o servicio de comunicación”.
40 Art. 588 septies a) 2: “La resolución judicial que autorice el registro
deberá especificar: a) Los ordenadores, dispositivos electrónicos, sistemas
informáticos o parte de los mismos, medios informáticos de
almacenamiento de datos o bases de datos, datos u otros contenidos
digitales objeto de la medida. b) El alcance de la misma, la forma en la
que se procederá al acceso y aprehensión de los datos o archivos
informáticos relevantes para la causa y el software mediante el que se
ejecutará el control de la información. c) Los agentes autorizados para la
ejecución de la medida. d) La autorización, en su caso, para la realización
y conservación de copias de los datos informáticos. e) Las medidas
precisas para la preservación de la integridad de los datos almacenados,
198
así como para la inaccesibilidad o supresión de dichos datos del sistema
informático
al
que
se
ha
tenido
acceso”.
41 Cfr. Hofmann, Manfred, “Die Online-Durchsuchung – staatliches
Hacken oder zulässige Ermittlungsmaßnahme?” (Registros en Línea,
piratería gubernamental o medida de investigación legítima), en NStZ
2005, S. 121 ff.; Gercke, Marco, “Heimliche Online-Durchsuchung:
Anspruchund Wirklichkeit” (Vigilancia secreta en línea: expectativas y
realidades), publicada en CR 2007, S. 245; Juez Ulf Buermeyer, Berlin,
“Online-Durchsuchung.
Technischer
Hintergrund
des
verdecktenhoheitlichen Zugriffs auf Computersysteme” (Las búsquedas
en línea. Antecedentes técnicos del procesode acceso por parte del Estado
a los sistemas informáticos), publicado en Online zeitschrift für
Höchstrichterliche Rechtsprechung zum Strafrecht HRRS, nº 4, 2007, pp.
155 y ss. Y “Online-Durchsuchung. Verfassungs rechtliche Grenzen des
verdecktenhoheitlichen Zugriffs auf Computersysteme” (Las búsquedas
en línea. Límites constitucionales al acceso a sistemas informáticos por
parte del Estado), publicado en HRRS, nº 8, 2007, pp. 329 y ss.
42 Bundesgerichtshof. Corte Federal de Justicia de Karlshrue. Cfr.
www.bundesgerichtshof.de,
BGH,
NJW,
2007,
930.
43 Cabe destacar que el caso en el que la Corte emitió esta resolución se
refería a una investigación por terrorismo (delito considerado
especialmente grave en todas las legislaciones). La solicitud del fiscal
pretendía realizar un registro y secuestro de datos de una computadora sin
que sea necesario un allanamiento del domicilio en que la computadora se
encontrara físicamente aplicando por analogía las normas del registro y
secuestro
y
de
intervención
de
comunicaciones.
44 Corte Federal Constitucional alemana, 27 de febrero de 2008 BVerfG,
NJW
2008,
822.
45 En su idioma original, “Verfassungsschutzgesetz”. La modificación de
la ley se sancionó el 30 de diciembre de 2006.
46 El texto original en alemán disponible en www.dejure.org, NJW 2008,
822 Cfr. El reporte de prensa de la Corte constitucional 22/2008 del 27 de
febrero de 2008, en su idioma original y en ingles: Federal Constitutional
Court –Press Office–, “Previsions in the North-Rhine Westphalia
Constitution Protection Act (Verfassungsschutzgesetz NordrheinWestfalen) on online searches and o there connaissance of the Internet null
and void”, disponible en www.bundesverfassungsgericht.de. El texto
completo del fallo en inglés disponible en www.bunde sverfass ungs
gericht.de.
47
Ley
sancionada
el
25
de
diciembre
de
2008.
48 El 24 de agosto de 2017 entró en vigor la enmienda al Código Procesal
199
Penal alemán que amplió las facultades de los organismos encargados de
hacer cumplir la ley para realizar búsquedas en línea y vigilar las
telecomunicaciones (Gesetz zur effektiveren und praxis tauglicheren
Ausgestaltung des Strafverfahrens [Ley para hacer procedimientos
penales más efectivos y prácticos], sancionada por el parlamento el 17 de
agosto
de
2017.
49 La modificación a la norma procesal habilita ahora de manera expresa
la posibilidad de usar medios de acceso remoto para interceptar
comunicaciones cuando se producen usando técnicas de encriptación. Ello
permitiría, por ejemplo, interceptar comunicaciones orales usando
programas como whatsap o telegram, en los que la comunicación no puede
ser interceptada, salvo en el dispositivo de origen o el de destino, ya que
durante el proceso de envío de paquetes de datos de un equipo a otro está
protegida por técnicas de encriptación. Rigen las mismas normas de la
interceptación tradicional de comunicaciones, o sea, que la medida se
restringe a los supuestos en que una interceptación hubiera sido posible si
no estuviera encriptado. Cabe aclarar que los datos relativos a
comunicaciones sucedidas previamente no pueden ser obtenidas mediante
esta habilitación legal, sino solamente usando la norma prevista para el
registro y secuestro de datos. O sea que la norma sólo se aplica a la
obtención de paquetes de datos vinculados a comunicaciones presentes. Si
se refiere a comunicaciones pasadas que pueden haber dejado registros de
datos en un sistema informático, rigen las normas de registro y secuestro.
50 La definición de los delitos para los cuales habilita la medida ha sido
criticada por sectores de la doctrina y organizaciones preocupadas de la
protección de la intimidad y los datos personales. Especialmente han
resaltado que abarca conductas no alcanzadas por la decisión
jurisprudencial del Tribunal Constitucional a la que hicimos referencia
anteriormente, que fija un criterio sumamente restrictivo.
51 Cfr. art. 100 d, StPO. Ejemplo de análisis ex post de la prueba obtenida
para
determinar
su
posible
incorporación
al
proceso.
52 En el caso de la intercepción de comunicaciones, el plazo de
notificación
al
acusado
es
dentro
del
año.
53 Proyecto de Ley de Reforma puntual del Código Procesal Penal de la
Nación. Modificación del Título III “Medios de prueba”, presentado en
octubre del año 2013, elaborado por la Comisión Técnica Asesora en
Materia de Cibercrimen creada en el ámbito de la Jefatura de Gabinete de
Ministros y el Ministerio de Justicia con el objetivo de proponer normas
procesales referidas al tratamiento de las pruebas digitales y la adecuación
de la legislación nacional a los postulados de la Convención de Budapest
(Jefatura de Gabinete de Ministros y el Ministerio de Justicia y Derechos
200
Humanos, por resolución conjunta 866/2011 y 1500/2011). La comisión
fue continuadora de una anterior encargada de la redacción de un proyecto
de ley en materia de delitos informáticos y la adecuación de la legislación
argentina a las recomendaciones y convenciones internacionales
(resoluciones MJyDH nº 164 y MRECIyC nº 339 del 10 de marzo de
2005). Cabe mencionar que participé activamente del proceso de
elaboración de la norma como miembro de ambas comisiones citadas.
54 “…En el caso de que en la diligencia se hallaran dispositivos de
almacenamiento informático y hubiere motivos suficientes para presumir
que estos pudieren contener datos relativos a la investigación, el juez
ordenará que se obtenga una copia forense de tal dispositivo. Para el caso
en que fuera imposible, ordenará el secuestro del dispositivo o, en su caso,
que se conserven los datos en él contenidos de conformidad con las
disposiciones contenidas en el art. 232 ter, tercer párrafo. El registro de él
o los dispositivos hallados no podrá extenderse más allá del objeto de la
orden
respectiva,
bajo
pena
de
nulidad”.
55 La crítica me alcanza a mí también como miembro integrante de la
comisión redactora. Lo cierto es que para la época de elaboración del
proyecto no había profundizado aún lo suficiente tanto sobre las
especificaciones técnicas de estos medios de investigación como sobre sus
implicancias jurídicas, estudios que formaron parte de la preparación de
esta
tesis.
56
Ley
2784
del
año
2011.
57
Ver
nota
7.
58 Tal como he señalado en anteriores trabajos, entiendo que resultaba
conveniente y de una mejor técnica legislativa tratar estos medios de
investigación en el capítulo especial dedicado a los delitos complejos. Así
se simplificaría la interpretación del análisis de “proporcionalidad” que
exigen tanto estos medios de investigación especiales como las
excepciones que se prevén en el capítulo dedicado a los denominados
delitos complejos. Tal como queda ahora el texto de la ley, no queda claro
este doble sistema de medios de investigación para delitos de “especial
gravedad” y el contenido del capítulo de delitos complejos, que subsiste
de
manera
separada
en
el
mismo
CPPN.
59 El proyecto contenía un catálogo de medios de investigación
tecnológica que incluía además vigilancia acústica, vigilancia de las
comunicaciones y vigilancia a través de dispositivos de seguimiento y de
localización.
60 Art. 175 bis. “Necesidad. Razonabilidad. Proporcionalidad. Las
herramientas y facultades establecidas en este Título para la investigación
de las conductas delictivas serán de aplicación bajo estricta observancia
201
de los principios de necesidad, razonabilidad y proporcionalidad”. El art.
175 concreta qué debe valorar el juez para el otorgamiento de la medida:
“…La autorización estará supeditada a un examen realizado conforme los
principios del art. 175 bis, en el que el juez deberá: a) Comprobar que la
medida a adoptarse esté relacionada con la investigación de un delito
concreto de especial gravedad, b) Evaluar la verosimilitud de la sospecha
de que alguien, como autor o partícipe, haya cometido, o intentado
cometer, el delito objeto de la investigación; c) Descartar que no existen
otras medidas menos gravosas para el investigado que resulten igualmente
útiles para el esclarecimiento de los hechos o para averiguar el paradero
de los imputados, d) Acreditar la existencia de una probabilidad
suficientemente motivada de que una o varias de las medidas a adoptar
proporcionarán elementos de prueba significativos para el avance de la
investigación; e) Ponderar que el beneficio para el interés público que
espera obtenerse guarde adecuada relación de proporcionalidad con la
afectación
de
los
derechos
e
intereses
involucrados”.
61 El texto del proyecto de PE establecía mayores garantías y precisaba
mejor los alcances de la medida: “Podrá autorizarse la utilización no
ostensible de un software que permita o facilite el acceso remoto al
contenido de ordenadores, dispositivos electrónicos, sistemas
informáticos, bases de datos o instrumentos de almacenamiento masivo
de datos informáticos. El juez deberá exigir al fiscal que precise los datos
o archivos informáticos que se procura obtener con la medida y la forma
en la que se procederá a su acceso y captación; la identificación del
software mediante el cual se ejecutará el control de la información; la
individualización de los ordenadores, dispositivos electrónicos, sistemas
informáticos, bases de datos o instrumentos de almacenamiento masivo
de datos informáticos que serán objeto de la vigilancia; y la duración
estimada de la medida. El fiscal deberá solicitar al juez la ampliación de
la medida de registro si advirtiera que los datos buscados están
almacenados en otro dispositivo informático al que se tiene acceso desde
el
sistema
originariamente
autorizado”.
62 Ver carta enviada por un grupo de organizaciones de la sociedad civil
–Asociación por los Derechos Civiles (ADC); Asociación Civil por la
Igualdad y la Justicia (ACIJ); Asociación Pensamiento Penal (APP);
Centro de Estudios Legales y Sociales (CELS), e Instituto de Estudios
Comparados en Ciencias Penales y Sociales (INECIP)– al Senado el 17
de abril de 2018 disponible en www.cels.org.ar y, especialmente, el
informe de la ADC, “Código Procesal Penal Federal. Reforma Espía.
Comentarios a la regulación de nuevas técnicas de vigilancia en el
proyecto de reforma”, abril de 2018: “El aspecto problemático de la
202
iniciativa es que no contempla todas las garantías adecuadas para evitar
un abuso de herramientas que en otros países han dado lugar a casos de
espionaje invasivo y sistemático. De este modo, los derechos humanos de
las personas pueden verse seriamente amenazados por este proyecto, si no
se
toman
los
recaudos
necesarios
para
protegerlos…”.
63 “El art. 30 de la reforma agrega a la primera parte del código vigente
un título sobre técnicas especiales de investigación, que legaliza la
utilización de variadas medidas de vigilancia acústica, de comunicaciones,
vigilancia remota sobre equipos informáticos y vigilancia a través de
dispositivos de seguimiento y localización, medidas todas que implican
una injerencia arbitraria o abusiva en la vida privada de las personas, en
los términos en los que lo prevé el art. 11.2 de la Convención Americana
de Derechos Humanos (…). A ello se le suma, que entre los distintos
incisos del art. 30 del proyecto, se permite mantener esas medidas lesivas,
durante un año antes de que el juez de revisión ‘deba controlar los motivos
que fundamenten su continuidad’, lo cual se observa claramente abusivo
y debe ser necesariamente sometido a consideración de especialistas y a
debate público. No se puede soslayar, además, que se trata de un tema
extremadamente sensible en nuestro tiempo (…). En este sentido, este
tema y su incorporación en el ordenamiento ritual, exige un análisis y un
debate minucioso antes que se consolide en una norma jurídica, habida
cuenta los bienes jurídicos en juego…”. Del Dictamen de Minoría de la
Comisión de Legislación Penal, disponible en www.senado.gov.ar.
64 Cfr. una crónica periodística de la discusión en el recinto y el resultado
final
en
www.ambito.com.
65 Ya sea que la medida de búsqueda y secuestro de datos se realice en el
lugar del allanamiento o requisa, o posteriormente en laboratorio en el
marco de una pericia informática sobre los dispositivos informáticos
secuestrados.
66 Una condición que prevén todos los CPP vigentes es la obligación de
informar de la medida de intrusión domiciliaria a quien posee o es titular
del domicilio. Los CPP prevén que la autoridad realice todos los esfuerzos
necesarios para anoticiar a quien se ve afectado en su ámbito de intimidad,
que deberá poder leer la orden escrita y podrá presenciar la ejecución de
la medida. Se prevé también que todo lo sucedido quede plasmado en actas
formales. Estas normas tienden a garantizar tanto la intimidad como el
derecho de defensa. A modo de ejemplo, CPPN, leyes 23.984, art. 228;
27.063,
art.
138;
CPP
CABA,
art.
111.
67 A modo de ejemplo, CPPN ley 27.063, art. 136, inc. d: “…en su caso,
los motivos que fundamentan la necesidad de efectuar la diligencia fuera
del
horario
diurno”.
203
68 Por ejemplo, la sede del Poder Legislativo o un estudio jurídico. A
modo de ejemplo, CPPCABA, art. 110: “Si el lugar fuera sede de la
Legislatura o del Congreso Nacional, deberá requerirse la autorización del
Presidente de la Legislatura o de la Cámara del Congreso Nacional donde
deba
practicarse
el
allanamiento”.
69 Una solución diferente podría recibir el caso de programas o técnicas
utilizadas para obtener solamente los datos de conexión de una
comunicación determinada que se produjo utilizando técnicas de
anonimato para la comisión de conductas ilícitas. Por ejemplo, un caso de
grooming (CP, art. 131) o amenazas generadas desde conexiones
utilizando sistemas de anonimato como TOR. El envío por las autoridades
de persecución penal de algún programa que permita obtener la dirección
IP real u otros datos del sistema sin acceder a contenido de información ni
copiar o secuestrar datos, dependerá de la naturaleza que le asignemos a
la dirección IP como dato. El debate sobre este tema está aún abierto y no
ha sido tratado por nuestra jurisprudencia. Ver el análisis del caso Playpen
en
EE.UU.
en
el
punto
4
del
presente
trabajo.
70 Implica vigilar en tiempo real la actividad actual y futura del imputado
en su entorno virtual (en términos probatorios, permite obtener datos tales
como páginas abiertas o búsquedas de información por parte del
sospechoso, confección o envíos de archivos en el momento en que
suceden, obtención de claves o contraseñas, para acceder a información o
cifrar archivos, utilizar las cámaras y micrófonos de los dispositivos
informáticos para conocer qué sucede en un lugar determinado,
monitorear comunicaciones escritas o escuchar o ver comunicaciones de
audio
y
voz
en
el
momento
en
que
suceden).
71 Por este motivo, algún sector de la doctrina y la jurisprudencia en el
derecho comparado ha intentado asimilarlo o utilizar como norma
habilitante para el uso de estos programas con estos fines, las previsiones
de
la
intervención
de
comunicaciones.
72 Ya sea que la medida esté prevista en la misma norma que regula el
registro y secuestro de elementos físicos, o en códigos con mejor técnica
legislativa, que regulan un supuesto especial para el registro y secuestro
de
datos.
73 Entiendo que las normas sugeridas pueden servir como modelo para
sistemas procesales de corte acusatorio tanto a nivel federal como de la
justicia
de
CABA
y
provinciales.
74 Carácter subrepticio al momento de la realización de la medida.
75 Esta parte de la norma pretende aclarar que la medida solamente puede
autorizarse en el marco de la investigación de un hecho delictivo concreto
previamente determinado y no como una investigación tecnológica
204
prospectiva. Este límite adquiere especial importancia con el crecimiento
en el mercado de técnicas de investigación y rastrillaje informático que
permiten obtener gran cantidad de datos utilizando programas en redes
abiertas e, incluso, con técnicas de inteligencia artificial. A modo de
ejemplo, los novedosos desarrollos que permiten detectar en redes p2p
posibles violaciones a la propiedad intelectual que pueden en algunos
casos
significar
accesos
remotos
a
datos.
76 Trato de acentuar de esta manera la idea de proporcionalidad. Es
posible pensar en sistemas más estrictos o que acoten la discrecionalidad
en la apreciación o ponderación del juez fijando legalmente criterios
rígidos, ya sea sobre la base de la escala penal de los delitos investigados
o estableciendo un numerus clausus de delitos en los que se autoriza la
utilización
de
la
medida.
77 El párrafo tiende a afianzar la idea de excepcionalidad de la medida y
la obligación de acreditar su necesidad en el caso concreto.
78 En este supuesto, la habilitación está justificada por una idea de
“necesidad” que proviene no solamente de la gravedad del delito
investigado, sino también de su forma de comisión a través de
mecanismos tecnológicos que hacen imposibles otras formas de
investigación tradicionales. Un análisis de proporcionalidad “doble” en el
que debe valorarse la imposibilidad de vías alternativas de investigación
por las características del medio comisivo empleado y la ponderación de
la gravedad del delito investigado, siguiendo los criterios tradicionales
sobre el tema desarrollados por la jurisprudencia de la CSJN y los
organismos de DD.HH., adaptados a esta nueva realidad tecnológica.
79 Este párrafo es una modificación al artículo propuesto en la tesis
original. Cfr. Salt, Nuevos desafíos de la evidencia digital… cit., p. 180.
Responde a inquietudes surgidas a partir de la nueva legislación alemana
(ver punto 4 del presente trabajo) y las observaciones de las
organizaciones de la sociedad civil al proyecto rechazado por la Cámara
de
Senadores
(ver
nota
62).
80 El párrafo está destinado a habilitar que sea posible extender el registro
y secuestro remoto cuando los datos están alojados externamente al
dispositivo que es objeto de la medida pero que están conectados al
sistema
original.
81 Este último aspecto resulta de fundamental importancia para
diferenciar esta medida que procura la copia o incautación de archivos
determinados de la utilización de programas maliciosos con la finalidad
más amplia de mantener una vigilancia en el tiempo de un sistema
informático. Si la intención es la incautación de datos determinados, la
medida debe agotarse en el tiempo necesario para obtenerlos. Es posible
205
que en algunos supuestos pueda ser un proceso rápido que se inicie y
culmine rápidamente y hasta en presencia del juez.
El uso de drones sobre domicilios en la investigación penal
Maximiliano Hairabedián
“¿Podemos cabalgar impunes los campos ajenos,
descubrir los senderos íntimos, encontrar
las flores desairadas?”.
José Vicente Muscará, Espacios vulnerados.
1. Introducción -
La irrupción y masificación del uso de drones con distintas finalidades
(recreativas, periodísticas, administrativas, investigativas, de control
sanitario, ambiental o laboral1, militares, defensivas o agresivas2,
criminales, científicas, etc.) viene generando dificultades jurídicas de
diversa naturaleza. Las que más sobresalen son la responsabilidad civil3
por los daños que causan4 y los conflictos con derechos constitucionales5.
Dentro del último aspecto se ubica la problemática del uso de estos
artefactos con fines de investigación penal, principalmente cuando recae
en sitios protegidos constitucionalmente, como es el domicilio.
Las posibilidades de utilización de drones para la averiguación y
adquisición de conocimiento en hechos ilícitos presentan amplias y
dinámicas modalidades. Las más comunes son la búsqueda de personas y
cosas relacionadas con el delito, la obtención de pruebas y el apoyo en
allanamientos. A su vez, puede recaer en distintas clases de predios:
urbanos, rurales, comerciales, particulares o públicos.
El principal escollo para analizar la validez probatoria de estas técnicas es
la falta de regulación normativa específica de su empleo en el proceso
penal, como sucede en Argentina. En tal contexto se impone analizar si
206
hay colisión con los derechos constitucionales en juego (propiedad,
intimidad y eventualmente otros6), y en ese caso si hay fundamentos
legales que le den sustento. Lo primero obedece a que si no se da
contraposición constitucional, hay libertad de medios de investigación. Y
de haber contraposición, la limitación o restricción del derecho debe tener
previsión legal (CADH, art. 30)7. De allí que la forma de la indagación,
las condiciones de implementación y el lugar en que se la realice serán
determinantes de la validez.
La utilización de drones con fines procesales es una variante de la
investigación aérea, por lo tanto comparten una base argumental común a
otros métodos de la misma familia (p. ej., la observación con aeronaves
tripuladas o satelital –v. gr. Google Earth–). Entonces, el desarrollo
jurisprudencial o doctrinario existente sobre este género puede ser un buen
punto de partida para resolver determinados conflictos que se suscitan.
2. Algunos problemas que plantea el uso de drones -
Ya adelantamos que la doctrina está alertando sobre los riesgos que
entrañan los drones para el derecho a la intimidad8. Al respecto, se
advierte que el uso de esta tecnología con fines de vigilancia personal
podría afectar aspectos abarcados por la teoría de la privacidad, como los
derechos al secreto, la autonomía, el anonimato9.
También se ha observado con razón que la cuestión no puede ser
fácilmente resuelta con los precedentes convencionales10. Aunque esta
tarea se ha intentado, señalándose que la policía no puede emplear equipos
de vigilancia sofisticados sin una orden judicial, y que aun con una
autorización el espectro de una “orden genérica” presenta límites11. El
mismo autor contrasta la práctica haciendo un repaso de casos anteriores
que versan sobre similares cuestiones y resueltos con fundamentos que
pueden resultar aplicables y concluye: si los drones captan visualmente un
sospechoso mientras reporta su historial de tiempo y ubicación, pueden
proveer el tipo de evidencia posicional de largo término que “Jones”12
consideró inadmisible; si los drones son pequeños, pueden ser capaces de
proveer información visual simple desde puntos de ventaja inaccesibles a
un oficial de las fuerzas del orden, lo que podría ir en contra de “Riley”13;
si son grandes y equipados con sensores multimodales (visión nocturna,
207
detección térmica), probablemente ofendan los fundamentos del fallo
“Kyllo” (cuyos fundamentos sintetizamos más adelante al tratar la
detección térmica). Si están equipados con “narices electrónicas”, los
olores que capten pueden disparar una reevaluación del razonamiento que
apuntala “Cabellas” (sic)14. Si los drones de cualquier tamaño tienen
radares de imágenes ultrainvasivos para ver a través de las paredes, aun
su uso con una orden puede hacer surgir temas de la “plain view doctrine”
de difícil resolución, previamente establecidos por “Hicks”15.
3. Propiedades abiertas -
Supongamos que policías que están a cargo de una pesquisa por
narcotráfico cuentan con escuchas reveladoras de la espera de una
aeronave conteniendo un contrabando de drogas, y por el cruce de las
antenas sospechan que aterrizará en el extenso campo alambrado de uno
de los investigados. O, más simple aún, tienen información de que hay una
plantación de marihuana. Entonces, sin orden jurisdiccional, sobrevuelan
las tierras con un dron, cuyas cámaras de observación captan imágenes de
una pista de aterrizaje clandestina, o de cultivos ilegales.
El campo está protegido por el derecho de propiedad, a punto tal que su
dueño puede admitir o excluir a terceros. El cerramiento perimetral
(alambres, tranqueras) evidencia el interés en limitar o restringir la
circulación e inclusive puede ser indicador de la preservación de la
intimidad16.
La característica abierta del inmueble sujeto a investigación, como así
también el tipo de actividad que se realiza y el lugar desde donde se lo
hace, son relevantes en el análisis de la repercusión que la pesquisa tiene
sobre los derechos involucrados. Si la actividad aérea recae en un campo
abierto como en el ejemplo, o en sitios donde no despliegan su vida
privada las personas (p. ej., galpones desocupados), no hay afectación a la
intimidad17. Tampoco se afecta el derecho de propiedad si no hay ingreso
físico y de superficie. Si bien el anterior Código Civil (art. 2518) seguía
la histórica ficción de que la propiedad inmueble se extendía en línea
perpendicular hacia el infinito y más allá18, por lo que el propietario era
dueño exclusivo del espacio aéreo, tal disposición ya había sido limitada
por el Código Aeronáutico, en cuanto nadie puede, en razón de un derecho
208
de propiedad, oponerse al paso de una aeronave (art. 6). El nuevo Código
Civil y Comercial, en su art. 1945, establece que el dominio de una cosa
inmueble se extiende al subsuelo y al espacio aéreo, en la medida en que
su aprovechamiento sea posible, excepto lo dispuesto por normas
especiales19. En Estados Unidos se dio un proceso similar. De Inglaterra
heredaron la regla de la propiedad vertical sobre el aire, pero por la
actividad aeronáutica en 1926 se declaró de dominio público el “navigable
airspace”. Un buen estudio que desarrolla la evolución histórica y las
regulaciones actuales narra que en 1946 la Corte Suprema, en “U.S. vs.
Causby”, resolvió el caso de un criador de pollos que vivía cerca de un
aeropuerto y los aviones que sobrevolaban su propiedad espantaban a los
animales de forma tal que morían. Si bien la Corte falló a favor del
demandante, en su opinión mayoritaria el juez Douglas dictaminó que la
doctrina o adcoelum no tenía cabida en el mundo moderno, que el
Congreso había declarado el espacio aéreo “vía pública” para la aviación
y los propietarios de viviendas carecían generalmente de los derechos para
excluir aeronaves en ese espacio20.
En consecuencia, no habiendo ataque a la propiedad ni afectación de la
intimidad, la práctica investigativa reseñada en el ejemplo del comienzo
aparece válida. Cuando se investiga un delito grave, la intromisión es de
muy bajo nivel y constituye un medio idóneo y necesario para adquirir el
conocimiento, aparece razonable y proporcionada, lo que refuerza su
justificación. En cambio, es más discutible la procedencia de la
intromisión, sin orden judicial y en ausencia de sospecha firme, frente a
un delito leve (por ejemplo, el uso del drone para verificar si en el campo
observado se encuentra una gallina sustraída).
4. Inmuebles comerciales e industriales -
Avanzando con la intensidad del derecho a la intimidad en relación al tipo
y uso del inmueble sujeto a observación, en un punto intermedio se sitúan
los terrenos afectados al uso comercial. A nivel comparado, no ha sido
pacífica la protección21. En el orden nacional, la propia ley procesal
reconoce que gozan de protección constitucional, cuando exige orden
judicial para su registro. Bajo el título “allanamiento de otros locales”, el
art. 226 del Código Procesal Penal federal sólo exime de las restricciones
horarias establecidas para el ingreso a moradas particulares, cuando el
registro se realice en “edificios públicos y oficinas administrativas, los
209
establecimientos de reunión o de recreo, el local de las asociaciones y
cualquier otro lugar cerrado no destinado a habitación”.
En consecuencia, la investigación con drones sobre este tipo de
edificaciones, por regla, no es admisible sin orden judicial22. Las
excepciones pueden ser predios abandonados o bien aquellos para los que
se prevé legalmente el ingreso físico y tradicional sin autorización
jurisdiccional. En este sentido, las leyes de policía de seguridad,
administrativa o preventiva facultan la inspección de talleres, chacaritas o
desarmaderos, compraventas, por lo cual si está permitido lo más (el
registro físico sin sospecha previa) es razonable admitir lo menos (la
observación aérea). De todas formas, cuando se trata de buscar elementos
de origen delictivo con pruebas de su presencia en el lugar, lo más lógico
y correcto será el allanamiento clásico23.
5. Residencias -
5.1. Investigaciones externas
Las casas particulares históricamente gozan del máximo nivel de
protección constitucional, puesto que es el reducto más importante de la
vida privada. La morada comprende el lugar habitado y sus dependencias
cerradas, es decir, aquellos espacios que, sin ser parte del sitio habitado en
sí, lo complementan en su unidad y conjunto, tales como garajes y patios
traseros cerrados24, terrazas25, jardines cercados26, cobertizos y
zaguanes con conexión a la vivienda27.
La jurisprudencia norteamericana considera que la cuestión de la
necesidad de orden de allanamiento para el terreno circundante a una casa
debe resolverse con particular referencia a cuatro factores: a) la
proximidad del área respecto de la casa; b) la naturaleza de los usos a los
que está afectada; c) si el área está incluida dentro de un perímetro
cercando a la casa, y d) los pasos tomados por el residente para proteger
el área de la observación por parte de personas que pasan28. Y en cuanto
a las tierras adyacentes a los complejos de vivienda, la doctrina considera
que tienen más probabilidad de ser vistas como áreas públicas, pero se
debe considerar también el grado de escrutinio involucrado, de forma tal
210
que la observación casual de lo que cualquier visitante está posibilitado de
ver puede no constituir un registro, mientras que el examen detallado, aun
en un área frecuentemente usada por el público, bien puede constituirlo29.
Por eso, la Corte de Estados Unidos consideró una intromisión indebida
la tarea de los oficiales de policía que ante un dato anónimo sobre la
presencia de estupefacientes en una casa, sin advertir movimientos
sospechosos, pasearon un perro adiestrado por el patio abierto circundante
que “goza de protección por el hecho de formar parte de la vivienda
misma, y los detectives consiguieron esa evidencia por una intrusión física
y por haber ocupado el área para desarrollar una conducta, que no contaba
con el permiso explícito ni implícito del propietario”30.
En España, el Tribunal Supremo convalidó la observación de un patio
“perceptible directamente desde el exterior”, porque “los agentes de
policía que lo visualizaron directamente y observaron a quienes se
encontraban en él procedentes de la calle, no hacían más que lo que
cualquiera podía hacer; contemplaban y miraban lo que cualquiera podía
mirar y observar ante la ausencia de obstáculos que perturbaran,
impidieran o –simplemente– dificultaran la curiosidad de los demás”31.
Ahora bien, para dilucidar la legalidad y validez de una observación de
una casa desde el exterior, deben tenerse en cuenta: a) los medios
empleados, tanto su previsión legal, capacidad ampliatoria de los sentidos
humanos, como su eficacia para lesionar indiscriminadamente la
intimidad; b) la licitud de la ubicación física del artificio utilizado y de la
persona que realizó la operación (si se encontraba en un lugar de acceso
público o autorizado); c) la exteriorización de la materia observada. Una
apreciación armónica de estos parámetros puede permitir evaluar la
necesidad de orden judicial según los distintos casos. Así, no será
necesaria una orden para la simple observación del sector externo (p. ej.
desde un automóvil la policía mira cómo llegan supuestos compradores
de droga), aun cuando se realice con artefactos ampliatorios de la
visión32, o se aprovechen los orificios y aberturas que presenta la morada
y que dan a la vía pública33. Tampoco se requiere dicha autorización para
la simple observación visual del interior de un sitio privado desde un lugar
al que se tiene acceso legalmente (v. gr., espiar en la vía pública el interior
de una casa a través del vidrio translúcido de una ventana sin cortinas; u
observar lo que sucede en un bar sentado en una de sus mesas34), porque
en estos casos la presencia del observador en el lugar no está prohibida
por el orden jurídico, y siempre y cuando no se empleen mecanismos para
211
vencer obstáculos a la visión, y no se sorprenda la legítima expectativa de
privacidad del morador (el que fracciona drogas con la ventana abierta y
sin cortinas, no puede pretender evitar ser visto)35.
La doctrina estadounidense analiza que no constituye un registro que un
policía vea una propiedad desde una calle pública, desde la casa de un
vecino, o la parte del terreno que constituye el normal modo de ingreso y
egreso de la casa, en tanto que sí lo constituye el hecho de que un oficial
se desvíe de tal camino para espiar por la ventana, porque ciertamente hay
una expectativa justificada de privacidad en no ser visto u oído por las
ventanas desde puntos que no son ordinariamente utilizados por el público
u otros residentes36.
Si para saber lo que ocurre dentro de una morada –aun sin entrar en ella–
es necesario valerse de artificios tecnológicos que den un conocimiento
ampliado de lo que acontece muros adentro, y con ello se logra trasponer
las defensas de la intimidad doméstica, se impone la misma autorización
jurisdiccional que hace falta para el ingreso físico, ya sea que utilice un
medio visual o auditivo (como las escuchas electrónicas a distancia)37,
siempre que sea necesario vencer, mediante la técnica, un obstáculo
predispuesto por el morador para salvaguardar su intimidad38 (v. gr.,
vidrios refractarios o polarizados). Es que las técnicas bajo análisis pueden
tener un amplio poder vulnerante de la vida privada y al valerse de
adelantos tecnológicos, derriban las normales expectativas de privacidad
de la persona.
En España, el Tribunal Supremo se expidió en contra de la observación
domiciliaria con prismáticos hacia el interior del domicilio. Agentes que
montaban un dispositivo de vigilancia en una pesquisa por venta de
estupefacientes accedieron al departamento de un policía, desde el que
tenían visión frontal hacia el piso ocupado por el investigado, y valiéndose
de los prismáticos observaron a través de uno de los dos ventanales que
daban a la calle, que carecía de obstáculo que dificultase o impidiese ver
el interior. Así vieron cómo los sujetos vigilados manipulaban una
sustancia de color marrón y la envolvían en un plástico negro. Al salir del
edificio los involucrados fueron detenidos en posesión de dos bellotas y
media, dos trozos de resina de cannabis, cocaína y heroína, siendo
condenados por tenencia con fines de comercio a la pena de cuatro años y
tres años de prisión respectivamente. Ante los planteos defensivos, el
212
tribunal de juicio había concluido que no existió intromisión ilegítima en
el ámbito de la intimidad, pues “...la observación del interior de la morada
se produce a través de aquello que los moradores han permitido ver a
través de la ventana”. Pero el Tribunal Supremo tuvo otro criterio.
Consideró que es cierto que “ningún derecho fundamental vulnera el
agente que percibe con sus ojos lo que está al alcance de cualquiera”, pero
“la tutela constitucional protege tanto frente a la irrupción inconsentida
del intruso en el escenario doméstico como respecto de la observación
clandestina de lo que acontece en su interior, si para ello es preciso valerse
de un artilugio técnico de grabación o aproximación de las imágenes,
porque el Estado no puede adentrarse sin autorización judicial en el
espacio de exclusión que cada ciudadano dibuja frente a terceros. Y se
vulnera esa prohibición cuando sin autorización judicial y para sortear los
obstáculos propios de la tarea de fiscalización, se recurre a un utensilio
óptico que permite ampliar las imágenes y salvar la distancia entre el
observante y lo observado”. Cuando los instrumentos “convierten la
lejanía en proximidad, no puede ser neutralizada con el argumento de que
el propio morador no ha colocado obstáculos que impidan la visión
exterior”, y “el domicilio como recinto constitucionalmente protegido no
deja de ser domicilio cuando las cortinas no se hallan debidamente
cerradas”39. El propio Tribunal Supremo reconoce el cambio frente a un
precedente anterior. En la sentencia del 15/4/97 había tenido un criterio
permisivo en un hecho de significativas coincidencias al sostener que no
se requería autorización judicial para la observación por una ventana,
porque esta es necesaria “cuando sea imprescindible vencer un obstáculo
que haya sido predispuesto para salvaguardar la intimidad”; y cuando,
“por el contrario, tal obstáculo no existe, como en el caso de una ventana
que permite ver la vida que se desarrolla en el interior de un domicilio no
es necesaria una autorización judicial para ver lo que el titular de la
vivienda no quiere ocultar a los demás”.
5.2. Uso de drones sobre moradas
Aplicando los parámetros antes señalados, intentaremos ensayar algunas
respuestas al problema que plantea el uso de drones sobre residencias
particulares. Es útil sumar como criterio de análisis el tipo de accesorios
con los que esté equipado el artefacto. Porque no es tanto el dron en sí
mismo lo que puede afectar la intimidad, sino los instrumentos que posea
(cámaras, visores nocturnos, micrófonos, etc.). Si un dron estuviera
desprovisto de herramientas extras de acciones (p. ej., armas) o sensores
213
que permiten tener percepciones (ver, oír, oler, grabar, filmar, registrar,
etc.), no pasaría de ser un juguete sofisticado y casi inofensivo.
Por el concepto de domicilio desarrollado puede advertirse que, sin orden
judicial, no podrán ser utilizados para la observación de interiores, patios
cerrados, terrazas y áreas protegidas de la visión pública. Por el contrario,
si los lugares y detalles son legítimamente apreciables prescindiendo del
dron, no hay mayor problema con su empleo (por ejemplo, ver quiénes
entran y salen de una residencia40). En definitiva, cuando el dron se usa
para ver lo que no se podría ver sin él, estamos en problemas, salvo que
un juez lo haya autorizado.
La utilización de estos artefactos voladores sobre áreas protegidas de las
viviendas es legítima cuando ha mediado autorización judicial fundada,
ya sea expresamente para la captación exclusiva con el dron (sin ingreso
físico), o si el juez ordenó el registro clásico y el procedimiento es
apoyado con su auxilio (p. ej., para tener el control de personas que puedan
huir o desprenderse de pruebas, para filmación del allanamiento o bien
iluminación de la escena). En el primer caso, cuántos más accesorios
tecnológicos tenga el dispositivo para entrometerse en la intimidad (zoom,
rayos, micrófonos, rastreadores de celulares, etc.), más exigencias deberá
tener la orden del juez, principalmente considerando a la gravedad del
delito, cuadro probatorio y necesidad, aspectos que hacen a la
proporcionalidad y justificación.
Respecto a las herramientas que por medio de rayos u otros medios
remotos pasan los muros y transmiten el gráfico más o menos difuso de
figuras correspondientes a las personas y cosas que están dentro de un
domicilio41, también se requiere la intervención judicial, porque, en
definitiva, se trata de información sobre la vida privada.
Particular atención merece la cuestión de los drones equipados sólo con
cierto tipo de sensores que permiten descubrir y revelar
discriminadamente señales o emanaciones indicativas de una actividad
delictiva concreta, como sucede con los detectores de radiaciones. Por
ejemplo, en lugares donde las condiciones naturales no favorecen el
cultivo de ciertas plantas al aire libre (p. ej., la marihuana), o bien es
riesgoso hacerlo en sitios abiertos, los productores pueden usar el sistema
214
de viveros o invernaderos cerrados, que necesitan lámparas especiales
(como las de bronceado en soláriums) para reemplazar la luz solar. Una
táctica de investigación consiste en testearlo, desde afuera del inmueble,
con instrumentos de captación térmica o radial. Si ésta fuera la única
herramienta del dron parece legítima su utilización. Usándolo fuera del
límite de la casa o por encima del espacio aéreo utilizable por el dueño,
no afecta el derecho de propiedad. Además, no ofrece riesgo para la
privacidad porque sólo permite advertir rayos (salvo que rebuscadamente
se argumente que también sería una forma de meterse arbitrariamente en
la vida ajena averiguando si alguien se broncea con lámparas en su casa,
cuestión que generalmente no les interesa a los policías antinarcóticos).
En definitiva, si la técnica sólo permite detectar variaciones de
temperatura internas derivadas de las radiaciones que se emiten y llegan
al exterior, o determinados rayos o emanaciones (p. ej., de explosivos,
estupefacientes o precursores químicos), no hay afectación a una
expectativa razonable de privacidad y por ende es válido que se la emplee
aun sin orden judicial. Una posición contraria ha sostenido la Corte
Suprema de Estados Unidos42, cuando en fallo dividido consideró
violatoria del derecho a la intimidad la práctica aludida. En el caso la
policía había empleado un aparato de detección de radiación térmica, cuya
actividad permitió inferir que probablemente el morador estaba utilizando
lámparas especiales para el cultivo artificial de marihuana; y con ese
resultado como fundamento, un juez ordenó el allanamiento
confirmándose la hipótesis de la investigación, al secuestrarse el
estupefaciente buscado y los artefactos para su producción en ámbito no
natural. Los fundamentos fueron más bien preventivos respecto a las
nuevas tecnologías por los riesgos que implican para la inviolabilidad del
domicilio; no se concluyó que hubiera existido una afectación, sino el
miedo a que ocurra. Para el voto mayoritario, “quitar la protección de esta
mínima expectativa sería permitir a la policía tecnológica erosionar la
privacidad garantizada por la Cuarta Enmienda”, porque obtener cierta
información por medio de la tecnología del interior de la casa y que no
podría haber sido obtenida de otro modo sin la “intrusión física dentro de
un área protegida” “constituye un registro, al menos donde la tecnología
en cuestión no es en general de uso público”, en consecuencia es
irrazonable hacerlo sin la orden de allanamiento. Concluyeron que, de lo
contrario, “dejaríamos al dueño de casa a merced del avance tecnológico,
incluso imaginando tecnología que podría discernir toda la actividad
humana en el hogar” y advirtieron que “mientras la tecnología usada en el
caso era relativamente precaria, la regla que adoptamos debe tener en
cuenta sistemas más sofisticados que están ya en uso o en desarrollo”43.
215
Retomando las modalidades de uso de drones, en el caso del segundo
supuesto (apoyo del allanamiento tradicional) no es necesario que la orden
jurisdiccional haya habilitado expresamente el uso del aparato, toda vez
que al haber dispuesto la invasión completa (por ingreso físico con
copamiento) de la inviolabilidad domiciliaria, la intimidad queda
legalmente desguarnecida y el uso del dron no significa un aumento o plus
en el nivel de intromisión. Podría argumentarse en contra de esta postura
que su empleo puede afectar viviendas aledañas no alcanzadas por la
orden judicial, pero cabe responder que en general la irrupción en una
vivienda para su registro implica la toma de posición en techos, tanques y
puntos de altura para el control de lo que ocurre, con lo cual también
pueden verse los locales colindantes.
Restaría ver si la falta de previsión legal no impide su utilización aun con
autorización judicial, en virtud del principio de taxatividad de medidas
invasivas establecido en el art. 30 del Pacto de San José de Costa Rica.
Teniendo en cuenta que el acceso al domicilio está previsto de manera
plena en la ley procesal por medio de la medida coercitiva de
allanamiento, se cumple la exigencia del art. 18 de la Constitución
Nacional en orden a que “una ley determinará en qué casos y con qué
justificativos podrá procederse a su allanamiento y ocupación”. Distinto
sería el caso de otros usos, como la captación de conversaciones mediante
micrófonos que pueden portar estos aparatos, cuestión que pertenece más
al terreno de la intervención de comunicaciones orales directas, que
excede este trabajo.
6. El déficit de regulación legal local -
A nivel internacional viene regulándose desde hace tiempo la cuestión de
las aeronaves no tripuladas. Por ejemplo, la circular 328/2011 de la OACI
sobre UAS (Unmanned Aerial System) los considera un nuevo
componente del sistema aeronáutico, por lo que, ya sean pilotadas a
distancia, plenamente autónomas o una combinación de ambos, están
sujetas a las disposiciones del art. 8 del Convenio sobre Aviación Civil
Internacional44.
216
Hay países que ya cuentan con una regulación procesal penal. En España
se incorporó el art. 588 quinquies a la ley de enjuiciamiento, por el cual
se permite a la policía obtener y grabar por cualquier medio técnico
imágenes de la persona investigada cuando se encuentre en un lugar o
espacio público, si fuera necesario para facilitar su identificación, para
localizar los instrumentos o efectos del delito u obtener datos relevantes
para el esclarecimiento de los hechos. La medida podrá ser llevada a cabo
aun cuando afecte a personas diferentes del investigado, siempre que de
otro modo se reduzca de forma relevante la utilidad de la vigilancia o
existan indicios fundados de la relación de dichas personas con el
investigado y los hechos objeto de la investigación. En comentario a esa
regulación, se ha señalado que “se hace necesario distinguir si la
utilización de tales medios se realiza en espacios abiertos o, por el
contrario, se lleva a cabo en espacios cerrados o en domicilios. Respecto
a la primera posibilidad, su utilización en lugares abiertos o públicos, el
Tribunal Supremo permite el uso de dispositivos de seguimiento GPS sin
necesidad de autorización judicial (STS 156/2008, de 8 de abril. Número
de Recurso: 1574/2007; STS 997/2001, de 1 de junio), por lo que, aplicado
dicho criterio, el seguimiento podría tener lugar mediante la utilización de
drones teledirigidos mientras que el Tribunal Constitucional no se
pronuncie en sentido contrario”45.
Las respuestas ensayadas precedentemente en este trabajo navegan en la
falta de un canal normativo específico en el orden nacional, con las
dificultades que eso genera. En Argentina, si bien no se ha previsto
legislativamente el uso de drones con fines investigativos en el proceso
penal, se ha dado una reglamentación centrada en otros aspectos cuya
suscinta exposición puede ser de utilidad para enriquecer la discusión. La
resolución n° 20 de la Dirección Nacional de Datos Personales (B.O.
27/5/15) se basa en la ley 25.326 sobre datos personales. Considera a los
drones o VANT dentro de esa normativa y como reconoce que podrían
implicar un importante riesgo para la privacidad y el derecho a la
autodeterminación informativa, impone una serie de condiciones y
requisitos a su uso. Así, prevé que en la medida en que los medios
tecnológicos utilizados para la recolección no impliquen una intromisión
desproporcionada en la privacidad del titular del dato, no se requerirá su
consentimiento en distintos casos que prevé la normativa, entre otros
(además de emergencias, siniestros, usos privados, deportivos, etc.): a)
cuando los datos se recolecten con motivo de la realización de un acto
público o hecho sobre el que pueda presumirse la existencia de un interés
general para su conocimiento y difusión al público; (…) c) Cuando la
217
recolección de los datos la realice el Estado Nacional en el ejercicio
(legítimo) de sus funciones.
Además, la ley de datos personales da otra mínima base normativa para el
campo penal, al establecer la injerencia judicial en la materia. El art. 10,
sobre el deber de confidencialidad, prevé que el obligado sea relevado del
secreto por resolución judicial y cuando medien razones fundadas
relativas a la seguridad pública, la defensa nacional o la salud pública. En
tanto que el art. 12 permite la transferencia si tiene por objeto la
cooperación internacional entre organismos de inteligencia para la lucha
contra el crimen organizado, el terrorismo y el narcotráfico, o bien por
razones de colaboración judicial internacional.
Por otra parte, la res. n° 527/2015, que contiene el Reglamento Provisional
de los Vehículos Aéreos no Tripulados (VANT) de la Administración
Nacional de Aviación Civil (ANAC), establece que no se considera uso
recreativo o deportivo el uso de estos vehículos para: 1) la fotografía o
filmación no consentida de terceros o de sus bienes o pertenencias; 2) la
observación, intromisión o molestia en la vida y actividades de terceros;
3) la realización de actividades semejantes al trabajo aéreo.
Las insuficientes reglamentaciones en materia penal hasta el momento han
servido para analizar contextos de responsabilidad culposa por las lesiones
que se causan con el uso indebido, imprudente o imperito de estos
equipos46, pero no como marco para su uso con fines probatorios.
7. Conclusiones -
El uso de drones sobre domicilios con fines de investigación penal puede
afectar el derecho de propiedad (cuando se utiliza sobre el espacio aéreo
utilizable o aprovechable por el dueño) o el de intimidad (cuando
constituye una interferencia arbitraria en la vida privada de los residentes).
A falta de regulación legal, la determinación de esta última afectación es
dificultosa en la casuística, pero puede analizarse mediante parámetros
indicadores tales como el equipamiento del dron, la naturaleza del sitio
escrutado y la intensidad de la información obtenida.
218
La ausencia de normativa específica de uso procesal no es impedimento
para que un juez ordene la indagación domiciliaria con drones mediante
la orden fundada de registro del domicilio prevista en las legislaciones
procesales, porque el registro no se limita al ingreso físico. Cuando se lo
emplea como elemento de apoyo de un allanamiento dispuesto
judicialmente, no es necesaria una estipulación expresa de uso, ya que la
intimidad doméstica ha sido desguarnecida por mandato judicial.
Notas 1 Antacli, Graciela C. - Marrella, Norma, “Drones, una tecnología
revolucionaria en la inspección del trabajo”, RDLSS 2016-4, p. 325.
2 En Estados Unidos “la Policía de Dakota del Norte será la primera en
dotar a sus drones con armas ‘no letales’ como gas pimienta, cañones de
sonido, armas de shock eléctrico y todo lo que no conduzca directamente
a la muerte. El Proyecto de ley 1382 originalmente no permitía ningún
tipo de armas en los drones, pero fue corregido para permitir el uso de
armas no letales contra sospechosos. La Policía, de todas maneras,
requerirá una orden que establezca exactamente dónde y por cuánto
tiempo se utilizará un avión no tripulado” (La Voz del Interior, Córdoba,
27/8/15). Sobre el uso para operaciones clandestinas de inteligencia
asesinando blancos considerados enemigos o terroristas, véase
McDonnell, Thomas M., “Rule of Law in the Age of the Drone: Requiring
Transparency and Disqualifying Clandestine Actors- the CIA and the
Joint Special Operations Command”, University of Miami Law Review,
vol. 72, pp. 34 y ss., 2017. También Desautels Stein, Justin, “The Judge
and the Drone”, Arizona Law Review, vol. 56, pp. 117 y ss, 2014.
3 Garzón García, José, “Uso de drones y responsabilidad civil: su
aseguramiento”, El Dial, DC2533, 18/5/18. Por eso en diciembre de 2016
la Superintendencia de Seguros de la Nación dictó la res. 40.250 sobre el
Seguro de Responsabilidad Civil por los Daños a Terceros para Vehículos
Aéreos
Pilotados
a
Distancia.
219
4 Se ha ejemplificado con daños a otros drones; daños o interferencias con
aeronaves; daños a personas o cosas sobre la superficie; interferencia o
invasión de sitios con acceso restringido (v. gr., aeropuertos); violación de
derechos por obtención de fotos o videos; violación de la intimidad o de
privacidad, etc. (Sobrino, Waldo, “Seguro de drones”, La Ley, 16/3/2018,
p.
1).
5 Aunque todavía son escasos los estudios sobre la afectación a la
privacidad mediante drones con motivo de un proceso penal, la doctrina
viene siendo prolífica en el análisis frente al derecho a la intimidad en
general (Vaninetti, Hugo, “Los drones y el derecho a la intimidad e
imagen”, ADLA, 18/2015, p. 3; Koerner, Matthew, “Drones and the
Fourth Amendment: Redefining Expectations of Privacy”, Duke Law
Journal nº 64, 2015, pp. 1129 y ss.; Todorova, Iva, “The Sky Is the Limit:
UAVs by Private Actors and the Implications to Common-Law Privacy”,
FIU Law Review nº 2, vol. 10, art. 22, 2015; Rehfuss, Abigail, “The
domestic use of drones and the fourth amendment”, Albany Government
Law Review, vol. 8, pp. 314 y ss., 2015; Scharf, Rebecca L., “Game of
Drones: Rolling the Dice with Unmanned Aerial Vehicles and Privacy”,
Scholarly Works, 2017, 1006, entre otros). En el ámbito extrapenal, cada
vez son más los casos de ataque a la privacidad que se denuncian, como
el de un grupo de mujeres que fueron filmadas por un dron mientras
tomaban sol desnudas en un barco en una zona aislada de Mallorca (San
Miguel Rodríguez, Isabel, “Relevancia jurídico penal de la captación de
imágenes por drones”, 7/7/17, http://noticias.jurid icas.com).
6 Sobre la vinculación del derecho a la intimidad con otros derechos
(como los de libertad de culto, expresión, prensa, petición y reunión,
previstos en la primera enmienda a la Constitución norteamericana), se ha
señalado que hay un fundamento constitucional común y están
entrelazados, por lo que la Primera Enmienda en sí está en conflicto, ya
que una mayor injerencia del registro conduce a más cantidades de
expresión involucradas, pudiendo enfriar las libertades de asociación y
desarrollo (Blitz, Marc Jonathan – Grimsley, James – Henderson, Stephen
E. – Thai, Joseph, “Regulating Drones Under the First and Fourth
Amendments”, vol. 57 W&M Law Review nº 1, 2015, pp. 141 y 142).
7 La casación federal tiene dicho que “toda medida de restricción que
importa una afectación de los derechos fundamentales debe ser sometida
al test de orden internacional y constitucional que informa la teoría general
de los límites o conjunto de requisitos formales y materiales para las
restricciones de derechos, que operan a modo de límites a la capacidad
limitadora, y que deben ser sorteados; a saber, entre otros: la habilitación
constitucional, la reserva de ley, la causalización, la judicialidad, la
220
adecuación, la necesidad, la proporcionalidad y la compatibilidad con el
orden democrático” (CFCP, Sala II, reg. nº 1788, 5/11/15, “Hinricksen”,
citando
a
“Díaz”,
reg.
nº
19.518
del
25/11/11).
8 El mayor interés en la protección de la privacidad surge por la capacidad
de los drones de operar como una ponderosa herramienta de vigilancia
autónoma. Justamente por los distintos accesorios permite obtener
información detallada sobre los individuos; equipados con cámaras, GPS
de rastreo, objetivos, filmadora de videos, infrarrojos, pueden obtener
imágenes y hacer transferencias tecnológicas veloces, todo sin el
conocimiento de la persona (Schlag, Chris, “The New Privacy Battle:
How the Expanding Use of Drones Continues to Erode Our Concept of
Privacy and Privacy Rights”, Journal of Technology Law & Policy, vol.
XIII, 2013). Por eso propicia que la legislación requiera orden judicial
basada
en
causa
probable
para
su
utilización.
9 Thompson, Richard M., “Domestic Drones and Privacy”, Congressional
Research Service, 30/3/15). Señala Thompson que el paradigma funciona
de distintas maneras, por ejemplo, cuando consentimos que la aplicación
para un smartphone rastree nuestra localización, podemos decidir la
compensación de nuestra privacidad con el valor del servicio que
recibiremos en contraprestación. Sin embargo, con los drones y la
vigilancia aérea esta teoría se desintegra. Se pregunta: ¿Cómo esperamos
ejercer el control sobre quiénes nos ven a nosotros o nuestra actividad?
¿Debería existir diferencia si la persona nos ve desde una aeronave
tradicional
o
si
lo
hace
desde
un
dron?
10 Talai, Andrew, “Drones and Jones: The Fourth Amendment and Police
Discretion in the Digital Age”, California Law Review 102, 2014, p. 729.
11 Takahashi, Timothy T., “Drones and privacy”, The Columbia Science
& Technology Law Review, Vol. XIV, 7/4/2012, pp. 100-105.
12 Se refiere al fallo de 2012 de la Corte Suprema de Estados Unidos
reprobando los seguimientos sin orden judicial mediante GPS. Para
Takahashi si un dron está marcando visualmente a un sospechoso,
esencialmente está proveyendo a su operador con información parecida a
la
que
proporciona
un
GPS.
13 Por “Florida vs. Riley” (488 US 445 1989), en el cual la Corte aplicó
el test del precedente “Katz” (expectativa razonable de privacidad) para
sostener que la observación visual sin orden judicial de un invernadero
parcialmente abierto, practicada por un policía en una vista panorámica
desde un helicóptero circulando a 400 pies, no violaba la cuarta enmienda;
pero al mismo tiempo la mayoría advirtió que se hubiese requerido una
orden si la vigilancia ocurría en una altitud baja, donde la aeronave podría
haber estado volando de manera contraria a la ley o la regulación.
221
14 Se puede referir al caso “Illinois vs. Caballes” ( 543 US 405 2005), en
el cual se convalidó el empleo –sin que medie una sospecha razonable–
de un perro policía detector de drogas durante un control por infracción
de tránsito, porque no prolongó la duración ni comprometió un interés
legítimo de privacidad, ya que sólo puede detectar la presencia de la
sustancia ilícita. Citando el precedente “Place” (462 US 707), el fallo tuvo
en cuenta que no expone elementos distintos al que constituye el traslado
ilícito y que de otra manera permanecerían escondidos de la vista pública.
15 En alusión a “Arizona vs. Hicks” (480 US. 321 1987), cuando se
consideró una extralimitación la actividad policial realizada dentro de un
domicilio en exceso del fin perseguido inicialmente (habían entrado por
los disparos de un francotirador y no sólo secuestraron las armas y
municiones, sino que además manipularon partes de un equipo de audio
controlando su numeración, chequeando que era robado). Si bien en
Estados Unidos se conoce como “plain view doctrine” la teoría que
permite a la policía secuestrar elementos flagrantemente delictivos que
encuentre accidental e imprevistamente durante un registro domiciliario
legítimo, en el caso no surgía probable a simple vista el carácter delictivo
del estéreo y su indagación no guardaba relación con el objetivo inicial de
la irrupción. Para el autor cuando se usa tecnología altamente sofisticada
dotada de sensores remotos en una inspección sin orden, se vuelve
inevitable que la policía traspase el límite del precedente “Hicks”. Porque
usando tecnología que permite “ver a través de las paredes”, desdibuja la
frontera entre el acto previamente permitido de “mirar un objeto
sospechoso a simple o plena vista” y el no permitido de “moverlo” para el
propósito de la inspección. Remata que la tentación de una “redada
policial” (en nuestra jerga llamada “excursión de pesca”) es grande
(Takahashi, Timothy T., “Drones and privacy”, The Columbia Science &
Technology Law Review, Vol. XIV, 7/4/2012, pp. 106-107.).
16 Recuerdo un cartel colocado en una tranquera que advertía “Prohibidas
las visitas”. Por eso se ha sostenido que “es nuestro respeto por la libertad
de los dueños de las tierras para usar en alguna de las referidas formas
(466 U.S. 170, 193) sus ‘terrenos’ delimitados con carteles de ‘no
ingresar’, lo que explica parcialmente la seriedad con la que el derecho
positivo toma en cuenta las invasiones deliberadas a tales espacios, y
refuerza sustancialmente la posición de los propietarios de tierras en
cuanto a que sus expectativas de privacidad son razonables” (CS EE.UU.,
“Oliver”,
466
U.S.
170
1984).
17 La jurisprudencia norteamericana avaló el descubrimiento de una
plantación de marihuana desde una aeronave detectada por un policía
especialista tras recibir un dato anónimo; con la confirmación se expidió
222
la orden de allanamiento (“California vs. Ciraolo” 476 US 207 1986). La
decisión fue controvertida, y tomada por una apretada mayoría, porque el
sitio estaba protegido por cercos que impedían la visión desde la superficie
y el sector del cultivo estaba próximo a la residencia del imputado.
Sostuvieron que el mero hecho de que un individuo haya tomado medidas
para restringir la visual de sus actividades no impide la observación
policial desde un punto en el que tiene derecho a estar y desde el que se
puede ver claramente, puesto que tuvieron lugar dentro del espacio aéreo
públicamente navegable y de una manera no invasiva. “La Cuarta
Enmienda simplemente no requiere que la policía viaje por las rutas aéreas
públicas a 1000 pies para obtener una orden de registro a fin de observar
lo que es visible a ojo desnudo”. En cambio, para la minoría, la situación
no era analogable a la actividad aérea común porque los viajeros de vuelos
comerciales, como así también los aviones privados usados para negocios
o razones personales, normalmente obtienen como mucho un vistazo
fugaz, anónimo e indiscriminado del paisaje y edificaciones sobre las que
pasan. El riesgo de que un pasajero pueda observar actividades privadas y
conectarlas con personas en particular es simplemente tan trivial como
pretender
una
protección
en
contra”.
18 En un artículo en el que se analiza el derecho a repeler una invasión
doméstica con un dron derribándolo, anota que “el principio cuius est
solum, eius est coelum (de quien es el suelo, es el cielo), tiene su origen
en el Derecho romano y que ya se recogía en la Partida VII de Alfonso X
el Sabio” (López, Javier, “Tiro al dron, ¿derecho o delito?”, 9/5/16,
https://confi
legal.com).
19 Claro está que las actividades investigativas con drones se hacen
volando a muy baja altura en comparación con otras aeronaves, lo que
constituye otro factor de dificultad en el análisis. La doctrina comparada
reconoce la necesidad de dar mayor precisión en los derechos del espacio
aéreo a baja altitud para fijar los casos de exclusión de drones. Se ha
señalado que antes del advenimiento de los drones no había presión ni
necesidad de definir el alcance de los intereses de propiedad en baja altitud
y, desafortunadamente, a medida que crece una bandada de drones
domésticos listos para el despegue, las ambiguas leyes sobre derechos del
espacio aéreo amenazan ahora con impedir el crecimiento de una nueva
industria importante, quedando al medio de estas presiones los principios
de microeconomía y propiedad (Rule, Troy A., “Airspace in an age of
drones”, Boston University Law Review, vol. 95, pp. 207 y 208, 2015).
20 El magistrado hizo hincapié en que un propietario es dueño del espacio
superior a la superficie que pueda ocupar o usar y que las invasiones en
ese espacio son de la misma categoría que las terrestres (Ortiz Mussenden,
223
Rubén -Gómez, Héctor L. - Gómez, Santiago - Torres Báez, Josué, “La
privacidad y los aparatos voladores a control remoto recreacionales
drones”, Facultad de Derecho, Universidad Interamericana de Puerto
Rico,
2017,
www.informatica-juridica.com.
21 “Una oficina o local comercial carecen de la protección que otorgan
los apartados 1 y 2 del art. 18 CE al no constituir, de modo evidente, un
espacio de privacidad necesario para el libre desarrollo de la personalidad,
de ahí que no puedan considerárselos incluidos dentro del ámbito de
protección de la inviolabilidad del domicilio –SSTS 27/7/01, 3/10/95,
27/10/93–” (TSE., S. 1219, 17/10/05). En cambio, la jurisprudencia
constitucional de otros países acertadamente reconoce el fuerte impacto
de los derechos de propiedad (CSCostaRica, Sala III, S. 980, 17/9/10) e
intimidad. En Estados Unidos los tribunales declaran que “un hombre de
negocios, al igual que el ocupante de una residencia, goza del derecho
constitucional de estar en su empresa libre de ingresos oficiales
irrazonables bajo su propiedad comercial privada” (“See vs. Seattle”, 387
US
541
–1967–).
22 En “Dow Chemical Co. vs. US” (476 US 227 –1986–), la Corte de
Estados Unidos, en fallo dividido, entendió que el uso de cámaras desde
un avión no fue invasivo a la intimidad individual ya que el lugar
inspeccionado era una planta industrial. La empresa había denegado a la
Agencia de Protección Ambiental una inspección de seguimiento in situ
de sus instalaciones y en respuesta hizo la observación aérea. Dow
Chemical demandó alegando violación a la Cuarta Enmienda. Luego de
fallos opuestos en instancias inferiores, la Corte consideró que las áreas
abiertas de un complejo industrial son más comparables a un “campo
abierto” en el que un individuo no puede legítimamente exigir privacidad;
y el hecho de que la EPA tomara fotografías desde el espacio aéreo público
con el equipo estándar empleado por los cartógrafos para hacer mapas,
confirmaba que el área no estaba sujeta a una estricta protección contra la
observación. Burger advirtió que usando equipamiento de vigilancia
altamente sofisticado deber ser proscripta la ausencia de orden.
23 Cafferata Nores, José I. – Hairabedián, Maximiliano, La prueba en el
proceso penal, 6ª ed., Lexis Nexis, Buenos Aires, 2008. En esta línea se
ha resuelto que si bien el art. 13, segundo párrafo, de la ley 25.761 tipifica
y establece una pena por el solo hecho de no cumplir con los deberes
administrativos establecidos por la mencionada ley, para quienes su
actividad principal, secundaria o accesoria sea el desarmadero y/o
comercialización, transporte o almacenamiento de repuestos usados, no
puede utilizarse este recurso con fines penales. “Si por vía del registro
domiciliario en el marco de un procedimiento administrativo se pretendió
224
legitimar lo que en realidad era un allanamiento con fines punitivos, se
concluye que en el caso se habilitó mediante una decisión del poder
ejecutivo –decretos reglamentarios de la ley 25.761 que otorgan
competencias específicas a la DNRNPA–, la intromisión a la privacidad
de los particulares con fines de iniciar un proceso penal y recabar prueba
acusatoria” (CNCC, Sala V, 9/9/11, “S., E. G.”). Un buen comentario de
la citada ley nacional 25.761 y del decreto reglamentario 744/04 puede
consultarse en Agost Carreño, Oscar, Análisis práctico del régimen
jurídico automotor, Advocatus, Córdoba, 2011, pp. 206 y ss.
24 Por ser lugares dependientes de la voluntad de su titular a efectos de la
privacidad y de la exclusión de terceros (TCE, 27/9/99, S 171). En el
mismo sentido se han expedido los tribunales locales respecto a la cochera
(CNFCC, Sala I, 3/9/07, “Mizraji”, La Ley, 2/11/07, p. 6).
25 Al no constituir una causal de allanamiento sin orden ni haber mediado
razones de urgencias atendibles, se consideró inválido el allanamiento de
la terraza de una vivienda vecina (CNCP, Sala II, 13/11/09, “Salinas”). En
la misma línea, se dijo que “la terraza debe considerarse incluida en el
ámbito de privacidad referenciado, para el caso de que exista directa
conexión con el departamento habitado. Se argumentó que para llegar a la
terraza había que pasar por el departamento allanado (CNCC, Sala VII,
24/9/10,
“A.,
E.”).
26 Núñez, Código Procesal Penal de Córdoba Comentado, Lerner,
Córdoba, 1986, pp. 203 y 204, especificando que el lugar habitado abarca
lo que el art. 150 del Código Penal distingue: la morada propiamente dicha
(donde la persona desenvuelve habitualmente su vida íntima) y el recinto
habitado (albergue eventual o momentáneo de las personas).
27 Cierta jurisprudencia ha considerado que no están comprendidos en el
concepto de domicilio los pasillos, palieres, halls, azoteas, cocheras y
jardines cuando no es “interna la conexión con el recinto de la morada”
(CFed. Apel. La Plata, Sala III, 5/3/98, JA, 1999-III-669, cit. por Funes Plo, Código Procesal Penal de la Nación, dirigido por Almeyra, t. II, p.
238).
28 La Fave, Wayne R. - Israel, Jerold H., Criminal procedure, 2ª ed., West
Publishing
Co.,
Minessota,
1992,
pp.
130
y
ss.
29
Ibidem.
30 “Florida vs. Jardines” (2013), traducción de Pablo Bernardini,
Actualidad
Jurídica
nº
207,
Córdoba,
marzo
2015.
31 TSE, S. 18/2/99, criterio que aparece ratificado en la sent. 1709 del
20/4/16.
32 “Nada se opone a que los funcionarios de Policía hagan labores de
seguimiento y observación de personas sospechosas, sin tomar ninguna
225
otra medida restrictiva de derechos, mediante la percepción visual y
directa de las acciones que realiza en la vía pública o en cualquier otro
espacio abierto. No existe inconveniente para que pueda transferir esas
percepciones a un instrumento mecánico de grabación de imágenes que
complemente y tome constancia de lo que sucede ante la presencia de los
agentes de la autoridad. La captación de imágenes se encuentra autorizada
por la ley en el curso de una investigación criminal siempre que se limiten
a la grabación de lo que ocurre en espacios públicos fuera del recinto
inviolable del domicilio donde tiene lugar el ejercicio de la intimidad. Y
en la S 1207/1999, de 23 de julio, en un recurso en el que fue alegada la
nulidad de la prueba consistente en la filmación en video realizada por la
Policía se expresa que la jurisprudencia de esta Sala (cfr. S 188/199, de 15
feb.) ha estimado legítima y no vulneradora de derechos fundamentales la
actividad de filmación de escenas presuntamente delictivas, que sucedían
en vías o espacios públicos, y ha considerado que únicamente se necesita
autorización judicial para la captación clandestina de imágenes o de
sonidos en domicilios o lugares privados (así se ha reconocido por esta
Sala, en las SS de 6 may. 1993, 7 feb., 6 abr. y 21 may. 1994, 18 dic. 1995,
27 Feb. 1996, 5 may. 1997 y 968/98 de 17 jul. entre otras)” (TS español,
Sala II, Sent. nº 354 del 13/3/03, La Ley España, Actualidad Penal nº 27
del
30/7/03).
33 En esta línea, no fue cuestionada la práctica de mirar por el hueco de
una persiana, en un caso que de esta manera se constató que estaban
desarmando un vehículo adentro del local –aunque se invalidó el
allanamiento físico posterior por haber sido hecho por orden verbal del
fiscal– (CNCC, Sala VI, 8/10/09, “Dickel”, La Ley, Supl. Penal, marzo
2010, p. 76). De todas formas reconozco que la solución es polémica,
porque bien puede argumentarse que nadie se imagina que lo están
mirando por el hueco de la cerradura, o que una humilde vivienda de
maderas y chapas llena de rendijas está sujeta al escrutinio público.
Inclusive, en contra se ha pronunciado la doctrina norteamericana, que
refiriéndose al leading case sobre privacidad (“Katz”), afirma que no
debería leerse como el permiso irrestricto de espiar a través de los agujeros
de puertas y marcos (La Fave - Israel, Criminal procedure, cit., p. 130).
34 La jurisprudencia ha convalidado la observación de ventas de droga en
un bar (TSE, S. 6886, res. 1121, 5/11/09); y las averiguaciones sobre
prostitución en una whiskería a la que policías ingresaron disimulando su
condición, puesto que al ser un lugar abierto al público no era necesaria
orden judicial, en tanto que la medida quedó limitada a los espacios
destinados a la clientela en general, no involucrando intromisión alguna
en un ámbito de privacidad. Se agregó que “el actuar no puede ser
226
encuadrado como el de un agente encubierto, calidad que supone
infiltrarse en forma subrepticia en una organización delictiva y participar
de las actividades que ella realiza” (CNCC, Sala VII, “P. P. de V.
s/nulidad”,
Diario
Judicial,
18/10/11).
35 “Observar la finca que habitaba el imputado y en la confección de un
croquis, sin haber procedido a la realización de cualquier otro acto que
afectase alguna garantía constitucional, resulta ajustado a derecho porque
no exceden las tareas de inteligencia autorizadas por el art. 183 del CPPN.
Resultan válidas las filmaciones realizadas desde el exterior de la vivienda
del imputado por personal policial en el marco propio de sus tareas de
inteligencia y en las que se registraron movimientos típicamente
reveladores de los actos de comercio del material estupefaciente, si a partir
de ellas se procedió a la inmediata puesta en conocimiento del juez
competente” (CNCP, Sala IV, 12/5/05 en “Barrios”). También en la
misma línea, el Tribunal Supremo español sostuvo en el pasado (más
recientemente ha cambiado el criterio, según se expondrá más adelante)
que “la filmación de ventanas de edificios desde los que sus moradores
desarrollaban actividades delictivas se ha estimado válida (...) (porque) en
principio la autorización judicial siempre será necesaria cuando sea
imprescindible vencer un obstáculo que haya sido predispuesto para
salvaguardar la intimidad, no siendo en cambio preciso el Placet judicial
para ver lo que el titular de la vivienda no quiere ocultar a los demás” (S.
1733 del 14/2/02, Pensamiento Penal y Criminológico nº 7, Mediterránea,
2003; idénticamente la S. 354 del 13/3/03, LL España, Actualidad Penal
nº 27 del 30/7/03). Asimismo, convalidó la observación externa en la que
se pudo ver en el interior de la vivienda –porque tenía la puerta abierta–
“pequeños envoltorios, dinero y un bolso encima de la mesa, viendo
además cómo la acusada recibía dinero de una persona a cambio de unas
papelinas que fueron posteriormente intervenidas” (TSE, Sala II, S. 605,
15/3/07).
36 La Fave - Israel, Criminal procedure, cit., p. 130. Señalan que en un
caso en que un policía se trepó a una ventana que daba a un alojamiento
conjunto, parándose sobre una silla para poder mirar el interior de la pieza
del imputado, la Corte rechazó el resultado, aunque sin demasiadas
consideraciones sobre los argumentos de la fiscalía a favor de la
valoración. También consideran que es válido observar el terreno que un
vecino podría ver fácilmente, pero ya sería un registro recurrir a esfuerzos
extraordinarios para superar los intentos razonables de mantener la
privacidad del terreno circundante de la casa (p. 131).
37 Cafferata Nores - Tarditti, Código Procesal Penal comentado,
Mediterránea,
2003,
t.
I,
p.
518.
227
38 En igual sentido la jurisprudencia española (TC, Sent. nº 22 del
17/2/84; TS, Sent. 1733, 14/2/02, Pensamiento Penal y Criminológico nº
7,
Mediterránea,
2003).
39 TSE, S. 1709, 20/4/16. Agregó que la expectativa de intimidad no
desaparece por el hecho de que el titular o usuario de la vivienda no
refuerce los elementos de exclusión asociados a cualquier inmueble.
“Interpretar que unas persianas no bajadas o unas cortinas no corridas por
el morador transmiten una autorización implícita para la observación del
interior del inmueble, encierra el riesgo de debilitar de forma irreparable
el contenido material del derecho a la inviolabilidad domiciliaria”.
Concluye así que “la protección constitucional frente a la incursión en un
domicilio debe abarcar, ahora más que nunca, tanto la entrada física del
intruso como la intromisión virtual. La revolución tecnológica ofrece
sofisticados instrumentos de intrusión que obligan a una interpretación
funcional del art. 18.2 de la CE. La existencia de drones, cuya tripulación
a distancia permite una ilimitada capacidad de intromisión en recintos
domiciliarios abiertos, es sólo uno de los múltiples ejemplos
imaginables”.
40 La Corte Suprema de Estados Unidos tiene dicho que el tránsito
personal por vías públicas no goza de expectativa de privacidad en sus
movimientos (U.S. vs. Knotts, 460 U.S. 276, 281–1983–). Ejemplo
práctico es la investigación en la que terminó detenido “Reynaldo el
paraguayo” y varios miembros de su banda en González Catán, a raíz de
tareas de inteligencia previas que incluyeron cámaras ocultas y espionaje
desde un dron, dadas las dificultades investigativas (amenazaban con
armas a los vecinos para que no delataran). “Las cámaras ocultas y el dron
espía pudieron comprobar que ‘Reynaldo’ no sólo era apoyado por otros
integrantes de la banda, sino que también contaba con un grupo de los
denominados ‘satélites’, que vigilaban los bunkers de venta de droga para
evitar ser descubiertos por la policía” (Infobae, 7/5/16).
41 Como sucede con el “Walabot”, aplicación con “sensores que convierte
a cualquier teléfono inteligente en un instrumento capaz de recrear
imágenes 3D traspasando muros y otros obstáculos” (Balbi, Muriel,
“Tecnología israelí para ver a través de las paredes”, Infobae, 8/9/17).
42 “Kyllo vs. U.S.”, 11/6/01, traducido en Pensamiento Penal y
Criminológico nº 7, Mediterránea, Córdoba, 2003, y Hairabedián,
Maximiliano, Jurisprudencia penal comparada, Mediterránea, 2004.
43 Voto del juez Scalia. En cambio, para la disidencia representada en el
voto de Stevens, “las observaciones fueron hechas con un equitativo y
primitivo aparato captador de imágenes térmicas que reunieron datos
expuestos sobre el exterior del hogar del peticionante pero no invadió
228
ningún interés de privacidad constitucionalmente protegido. Todo lo que
hizo la cámara infrarroja en este caso fue medir pasivamente el calor
emitido desde las superficies exteriores de la casa del peticionante, todo
lo que aquellas mediciones mostraron fueron relativas diferencias en
niveles de emisión, indicando vagamente que algunas áreas del techo y
paredes exteriores estaban más calientes que otras. Aun cuando las
imágenes de los registros infrarrojos aparecen, ningún detalle con respecto
al
interior
del
hogar
del
peticionante
fue
revelado”.
44 Se ha señalado que “dentro de este contexto, si bien en nuestro país los
VANT pueden ser englobados dentro del concepto que establece el art. 36
del Código Aeronáutico, cuando considera aeronaves a ‘los aparatos o
mecanismos que puedan circular en el espacio aéreo y que sean aptos para
transportar personas o cosas, aún prevé, sin embargo, para ser
consideradas como tales, que toda aeronave debe tener a bordo un piloto
habilitado para conducirla, investido de las funciones de comandante’ (art.
79), siendo que en los VANT no hay piloto sino un operador en tierra”
(Vaninetti, Hugo A., “Responsabilidad jurídica por daños ocasionados por
drones”,
SJA,
30/11/16,
p.
6,
JA,
2016-IV).
45 Amer Martín, Alicia, “El derecho a la intimidad y la prueba obtenida
mediante
drones”,
22/6/16,
http://noticias.juridicas.com.
46 Se pueden citar los procesamientos confirmados en apelación por la
CNCC, Sala I, 20/3/17, “F., S.”, y Sala VII, 24/4/17, “B. A., S.”.
Los registros domiciliarios con análisis de dispositivos de
almacenamiento de datos en el lugar
Qué ocurre en las investigaciones de delitos que involucran la
integridad sexual de menores
Realidad judicial y la implicancia de la adhesión de la República
Argentina al Convenio de Budapest sobre Ciberdelincuencia
Necesidad de reformas procesales
229
Joana Fusalba
Javier Martín López Zavaleta
1. Introducción -
El 24 de junio de 2008, se promulgó la ley 26.388, cuyo objeto fue
redefinir los términos “documento”, “firma”, “suscripción”, “instrumento
privado” y “certificado”, que resultaban obsoletos frente a las
innovaciones tecnológicas. También, buscó brindar una respuesta punitiva
a ciertas conductas que, hasta aquel momento, resultaban atípicas o eran
perseguidas forzando figuras ya existentes a través de la analogía –
prohibida en nuestro ordenamiento jurídico en virtud del principio de
máxima taxatividad legal e interpretativa de las normas penales–.
Esta modificación en la ley sustantiva significó dotar de protección a la
integridad de los datos y sistemas informáticos, brindar resguardo a las
comunicaciones electrónicas, contemplar modalidades de índole
informática dentro del delito de estafa y ampliar las conductas dentro de
los ya existentes delitos atinentes a la pornografía infantil.
Aquellas modificaciones al Código de Fondo no tuvieron aún su correlato
en los ordenamientos procesales vigentes1, puesto que no contamos con
normas que contemplen el tratamiento de la evidencia digital y datos, los
análisis informáticos forenses, la posibilidad de realizar registro de
dispositivos de manera remota, los allanamiento con análisis en el lugar,
la conservación y retención de los datos de tráfico y/o contenido, etc. Esta
situación genera un problema, ya que como ocurría con el derecho
sustantivo, se recurre a la aplicación analógica de normas procesales, que
si bien no se encuentra vedada por el ordenamiento jurídico, puede dar
lugar a procesos con diversas interpretaciones que conllevan resoluciones
judiciales distintas afectando la uniformidad del derecho procesal.
Sin embargo, no se debe perder de vista que el Congreso Nacional, el 22
de noviembre de 2017, sancionó la ley 27.411 mediante la cual la
República Argentina se adhirió al Convenio sobre la Ciberdelincuencia
(Convenio de Budapest), cuya entrada en vigor será el 1 de octubre de
20182.
230
Con este trascendental hito, nuestro país se compromete a ajustar su
normativa en cuestiones relativas al derecho sustantivo, derecho procesal
penal, cooperación internacional y asistencia mutua. Al respecto, resulta
de utilidad conocer el informe explicativo de la Convención3, que expone
que su finalidad en relación al derecho procesal penal es dotar a los países
miembros de las herramientas necesarias para la investigación y el
procesamiento de los delitos informáticos, como también los que sean
cometidos mediante el uso de un sistema informático o las pruebas
vinculadas en formato electrónico.
Dentro del Capítulo II, en la Sección II, entre los arts. 14 y 21, se regulan
diversas medidas procesales4. En concreto, el art. 16 contempla la
conservación rápida de datos informáticos almacenados por medio de un
sistema informático, mientras que el art. 17 –con el objeto de garantizar la
conservación de los datos de tráfico, en aplicación del anterior artículo–
regula la conservación y revelación parcial rápidas de datos relativos al
tráfico. Ambas medidas deben ser entendidas como una manera de
asegurar ciertos datos que debido a su volatilidad se pueden perder o
modificar; justamente, a eso refiere el término “conservar”, es decir, algo
con lo que cuenta determinada persona o empresa y se debe mantener5.
Seguidamente, el art. 18 trata lo que se denomina “orden de presentación”,
en virtud de la cual se establece a una persona o a un proveedor de
servicios, que se encuentren en el territorio del país, que comunique, según
el caso, los datos informáticos o datos de abonado6 que tenga en su
posesión o control.
Por su parte, el art. 20 brinda las pautas generales de la obtención en
tiempo real de datos sobre el tráfico asociados a comunicaciones
específicas transmitidas en el territorio por medio de un sistema
informático, mientras que el art. 21 abarca la interceptación en tiempo real
de los datos sobre el contenido de determinadas comunicaciones
transmitidas, en el territorio, por medio de un sistema informático. A
diferencia de lo expuesto anteriormente, en relación al término
“conservar”, en este caso, tanto los datos de tráfico como de contenido son
captados en el momento en que se está llevando a cabo la transmisión, es
decir, en tiempo real7.
231
Por último, en cuanto al registro y confiscación, el art. 19 establece que se
podrá registrar o acceder de modo similar a todo sistema informático o
parte del mismo, así como a los datos informáticos en él almacenados, y
a todo dispositivo de almacenamiento informático que permita almacenar
datos informáticos en el territorio del país miembro. Asimismo, contempla
la posibilidad de extender el registro o acceso de un modo similar, cuando
existan motivos para creer que los datos buscados se hallan almacenados
en otro sistema informático o en una parte del mismo situado en su
territorio y que son legítimamente accesibles a partir del sistema inicial o
se encuentran disponibles por medio de tal sistema.
Además, considera la facultad de confiscar u obtener de modo similar los
datos que fueran hallados en virtud del registro o acceso efectuado;
realizar y conservar una copia de tales datos informáticos; preservar la
integridad de los datos informáticos almacenados pertinentes, y, en su
caso, hacer inaccesibles o suprimir dichos datos informáticos del sistema
informático que fuera consultado.
Este artículo se centrará particularmente en los registros domiciliarios con
análisis de dispositivos electrónicos en el lugar, dividiendo la temática en
cinco partes: 1) El registro domiciliario y el análisis de dispositivos en el
lugar; 2) Sobre el procedimiento en el lugar enfocado en los delitos de
grooming y los atinentes a la pornografía infantil; 3) Sobre la intervención
de la defensa; 4) Ventajas y desventajas del procedimiento; 5) Reflexiones
finales.
2. El registro domiciliario y el análisis de dispositivos en el lugar -
Tal como se mencionó anteriormente, no existe en nuestro país normativa
procesal alguna que considere la posibilidad de llevar a cabo un análisis
en los dispositivos electrónicos al momento de realizar el allanamiento.
Esta situación obliga a los operadores judiciales a realizar interpretaciones
de la ley formal, con el objeto de favorecer la investigación o bien
232
minimizar el impacto que la medida pueda causar en los sujetos
involucrados.
Todo proceso acusatorio fija los parámetros y las causales para solicitar y
ordenar el allanamiento de un inmueble; concretamente, establece que
ante un pedido fundamentado del fiscal, el juez podrá decretar por auto el
ingreso o el registro de un lugar, siempre y cuando existan motivos para
presumir que allí se encuentran cosas pertenecientes al hecho o que se
podrá realizar la aprehensión del encausado/a o de alguna persona
requerida, o fuere necesario el ingreso a la finca para aplicar alguna
medida precautoria.
La materialización de la medida quedará a cargo del titular de la acción,
que podrá realizarla personalmente, como también delegarla en
funcionarios del Ministerio Público Fiscal o de las fuerzas de seguridad
que considere.
Por ello, dentro de la práctica judicial, el/la fiscal, al solicitar un
allanamiento con análisis de dispositivos electrónicos en el lugar, como
primera medida, procede a relatar cuáles son las razones por las que en
determinado inmueble se encontrarían datos de interés para la
investigación. En segundo lugar, solicita al juez/a que autorice, dentro del
registro domiciliario, el análisis de los elementos que eventualmente se
identifiquen en el lugar con el objeto de constatar cuáles son útiles para la
investigación y su posterior secuestro. En dicho requerimiento se debería
plasmar la manera en que se llevará a cabo el análisis, el personal
interviniente –debe ser calificado para la función específica–, los
procedimientos a realizar, el instrumental forense certificado a utilizar y
qué datos se intentarán recolectar.
Ante el pedido del fiscal de realizar un allanamiento en las condiciones
señaladas, el juez es quien deberá resolver la procedencia o no del registro,
atendiendo a los criterios de razonabilidad, necesidad, idoneidad y
proporcionalidad.
233
Sentado lo anterior, se pueden mencionar al menos tres supuestos en que
la fiscalía –conforme al caso concreto y las circunstancias del hecho–
podría optar por el análisis en el lugar del hecho bajo ciertas modalidades:
1) Casos en que se verifique que la prueba existe en alguno de los
dispositivos, con necesidad en todos los casos de secuestrar el soporte de
almacenamiento. Un ejemplo serían las investigaciones de grooming y/o
pornografía infantil –este supuesto se desarrollará con mayor análisis en
el próximo punto–.
2) Casos en que existen gran cantidad de dispositivos o que por las
características del lugar sea conveniente llevarlo a cabo de esa manera.
Aquí entran los casos de edificios públicos, oficinas administrativas,
empresas, comercios o establecimientos afines.
En determinadas ocasiones, por tareas de investigación previa, se
encuentra individualizada la ubicación de la terminal utilizada para la
comisión del delito, es decir, su puesto de trabajo. En consecuencia, el
registro con el examen de la información en el lugar tendrá como objeto
verificar si en aquella terminal se encuentra el material de interés para la
investigación.
Por otro lado, existen otras circunstancias en las cuales sólo se conoce el
lugar donde se podrían encontrar elementos de interés para la pesquisa,
sin embargo, no es posible determinar qué dispositivo electrónico fue el
utilizado por el posible autor. En estos casos, se analizan todos los efectos
electrónicos que se hallen en el sitio, con el objeto de constatar cuál es el
que contiene el material probatorio, a través de las técnicas forenses
correspondientes.
Con este tipo de procedimiento, en cualquiera de sus variantes, lo que se
busca es minimizar el impacto que generaría el secuestro de todos los
dispositivos electrónicos. Al respecto, se debe señalar que las
herramientas tecnológicas para cualquier empresa, oficina, comercio,
representan no sólo un costo monetario sino que también implican un
valor en términos de producción y calidad de prestación de servicio. En
definitiva, la elección de este tipo de procedimiento procura evitar afectar
234
los derechos de los sujetos que no se encuentran involucrados con la
investigación.
3) Casos en que se requiera la prueba concreta, con la exclusiva finalidad
de extraerla sin necesidad de secuestrar el dispositivo electrónico que la
almacena. En el supuesto en que se hallen los dispositivos buscados, se
deberá proceder mediante el hardware y el software correspondientes a
realizar una copia de la información garantizando en todo momento la
autenticidad e integridad de la misma por parte de personal certificado en
este tipo de procedimiento.
En todos los casos, además del registro con análisis en el lugar –dadas las
características de los dispositivos que se pretenden analizar–, se debe
solicitar la requisa personal de quienes se encuentren en el lugar, toda vez
que pueden portar en sus prendas o adheridos a su cuerpo diversos
dispositivos electrónicos susceptibles de ser analizados, como pendrives,
celulares, memorias extraíbles, etc., para determinar si son de interés o no.
3. Sobre el procedimiento en el lugar enfocado en los delitos de
grooming y los atinentes a la pornografía infantil -
En primer lugar, es preciso señalar que la modificación del art. 128 del
Código Penal8 contempla, entre otras, la conducta de quien genere tráfico
de material pornográfico infantil utilizando las tecnologías de la
información y la comunicación (TIC).
En este sentido, la primera parte del artículo mencionado sanciona a todo
aquel que produjere, financiare, ofreciere, comerciare, publicare,
facilitare, divulgare o distribuyere, por cualquier medio –incluye lo
digital–, toda representación de un menor de dieciocho años dedicado a
actividades sexuales explícitas o toda representación de sus partes
genitales con fines predominantemente sexuales. Es decir, es susceptible
de ser perseguido penalmente todo aquel que utilizando un medio de
transmisión de datos genere el tráfico de imágenes y/o videos que
involucren menores de edad en situación de desnudez o bien manteniendo
relaciones sexuales de manera explícita.
235
También existe una penalidad para quien tenga en su poder material
pornográfico infantil con fines inequívocos de distribuirlo o
comercializarlo. Asimismo, la modificación del art. 128 CP, además de
tener un aumento significativo de todas las penas y una agravante en razón
de que la víctima sea menor de 13 años, introduce una nueva figura típica
que es la simple tenencia del material descrito anteriormente, el cual se
debe tener conocimiento previamente de que se tiene y puede ser
almacenado en cualquier tipo de dispositivo electrónico, como también
resguardado de manera impresa.
Por su parte, el delito de grooming se encuentra tipificado en el art. 131
CP y castiga a todo aquel que establezca por cualquier medio de
transmisión de datos un contacto con un menor de edad con el propósito
de cometer alguno de los delitos contra la integridad sexual.
Al respecto, se ha reconocido que la generalidad de los casos de grooming
posee cuatro etapas: 1) Contacto: por medio del cual una persona se hace
pasar por un niño a través de un perfil falso y contacta a la víctima menor
de edad. 2) Vínculo: en esta etapa se establece un vínculo con el menor,
explorando sus gustos e intereses, generando empatía y un clima donde el
menor se sienta contenido y a gusto con su nuevo amigo digital. 3) Giro
erótico: el groomer, aprovechándose de la relación creada con la víctima,
empieza a entrometerse en cuestiones íntimas. Aquí empieza la solicitud
de imágenes y/o videos con cierto contenido sexual. 4) Amenaza,
extorsión y/o chantaje: en esta cuarta etapa el groomer empieza a
amenazar a la víctima con develar toda la información suministrada en
confianza, publicar imágenes y/o videos comprometedores o forzarla a
tener un encuentro personal.
Resulta importante destacar que, si bien generalmente se dan estas cuatro
etapas, también existen casos en que el groomer contacta al menor con sus
datos filiatorios verdaderos o finge desarrollar determinadas actividades
comerciales que pudieran resultar de interés para la víctima menor de edad
(ser el representante de modelos y/o deportistas). En estos casos, también
hay grooming ya que no es una condición del tipo penal el hacerse pasar
por un menor.
236
Ambos tipos penales se relacionan en su objeto de protección, que es la
integridad sexual de los menores de edad, y en su medio de comisión,
siendo el uso de cualquier medio de transmisión de datos para llevarlo a
cabo.
Un aspecto interesante a plantear entre los dos tipos penales es cuando el
groomer deja de serlo para convertirse en un productor de pornografía
infantil. Para responder este interrogante debemos recurrir a una de las
definiciones de la Real Academia Española del vocablo “producir”,
entendiéndose como “Fabricar, elaborar cosas útiles”.
En este orden de ideas, quien le solicita a un menor de 18 años que tome
una imagen de su cuerpo desnudo posando de determinada manera, o se
filme en las mismas condiciones realizando determinada acción, puede
entenderse que está realizando la acción de producir pornografía infantil
en los términos del art. 128 CP, aprovechándose de la inexperiencia e
inmadurez del niño, niña o adolescente, ya que mediante su acción está
indicando al menor que realice determinadas conductas con el objeto de
obtener un producto final que son las representaciones descritas en la
figura penal referida. En otras palabras, todas las acciones del sujeto
activo están destinadas a elaborar, fabricar –dar nacimiento– al material
ilícito vedado por el legislador.
Explicados los dos tipos penales, es necesario centrarnos en el objeto de
estudio y la razón por la cual el análisis debe tener como objeto verificar
la existencia de la prueba y, en caso positivo, proceder en todos los
supuestos al secuestro del dispositivo electrónico que la almacene.
Una vez permitido el ingreso al inmueble, los agentes intervinientes en el
procedimiento tendrán que separar todos los dispositivos con capacidad
de producción, almacenamiento y transmisión de datos. Asimismo,
precisar en qué lugar de la finca fueron hallados y tomar vistas
fotográficas de los elementos. Luego de ser identificados los dispositivos,
se detallan las precisiones técnicas tales como marca, modelo, números de
serie, capacidad de almacenamiento y todo dato que identifique a ese
dispositivo como único.
237
Completado lo anterior, se procede al análisis de los efectos incautados,
en todos los casos se procurará aplicar los procedimientos adecuados con
el objeto de que los datos contenidos en los distintos dispositivos no sean
modificados y/o alterados. Ello dependerá del tipo de elemento y del
sistema operativo que posea. En esta línea, en el caso de ordenadores de
escritorios, notebooks, discos externos y/o tecnológica similar, se efectúa
un bloqueo de escritura. A grandes rasgos, la función del bloqueo de
escritura sería como trabajar en modo “sólo lectura”, brindando la
capacidad de adquirir los datos almacenados sin riesgo de alterarlos, de
esta manera, se garantiza la integridad y autenticidad del análisis. Por otro
lado, en caso de que los elementos sean teléfonos celulares, tablets o
equipos de tecnología similar, se utilizará un sistema de extracción forense
que tenga como finalidad extraer toda la evidencia sin que sea susceptible
de adulteración.
Efectuado el bloqueo de escritura y/o empleados los sistemas de
extracción forense correspondientes, los softwares utilizados y las formas
para realizar el análisis quedarán supeditados al tipo de dispositivo y
requerimientos específicos sobre qué tipo de información se debe
recolectar.
La información que se puede recoger a partir del análisis es muy amplia:
historial de los navegadores de Internet, actividad en las redes sociales,
cuentas configuradas en los dispositivos, conversaciones llevadas a cabo
por diversos programas, presencia de programas P2P, archivos y
documentos almacenados, imágenes y/o videos ilícitos, mensajes
recibidos, listado de llamadas entrantes y salientes, agenda de contacto,
etc.
Al momento en que se encuentre algún tipo de dato de interés mientras
está siendo procesada la información de los dispositivos, por ejemplo una
imagen/video o el usuario de la red social que fuera denunciado, se puede
interrumpir el análisis dejando constancia del dato hallado y continuar con
el dispositivo que sigue en el marco del allanamiento efectuado. Resulta
de vital importancia que el procedimiento sea llevado a cabo por
especialistas informáticos y frente a los testigos de actuación de la medida,
a quienes se les debe explicar exhaustivamente el procedimiento.
238
En esta inteligencia, una vez localizado un dato de interés para la
investigación, resultará necesario en todos los casos el secuestro del
dispositivo electrónico que arrojó resultado positivo. Las razones del
secuestro de los dispositivos radican, en primer lugar, en que se está
realizando sólo un análisis superficial para verificar qué efectos son útiles
para la investigación; el análisis exhaustivo de la información tendrá lugar
en un laboratorio forense con todo el equipamiento suficiente para
procesar los datos en profundidad e incluso para encontrar nuevos datos
en la misma línea de investigación. En segundo lugar, los dispositivos
electrónicos, desde el momento en que su resultado da positivo, pasan a
ser elementos probatorios necesarios para la averiguación de la verdad y
concreción del derecho material. En tercer lugar, no se debe perder de
vista que los delitos de grooming y pornografía infantil son justamente los
que afectan la integridad sexual de menores, por lo que no resulta posible,
bajo ninguna circunstancia, que se dejen a disposición del posible autor
los elementos que ya cargan con una presunción de ilicitud.
Por último, tanto en el análisis de los dispositivos como en el secuestro,
los agentes intervinientes tienen que garantizar la cadena de custodia.
Respecto del análisis, teniendo en cuenta lo volátil y susceptible de
manipulación de la información digital, se tiene que documentar toda
acción realizada utilizando todas las herramientas para evitar su
alteración. Del mismo modo, respecto al secuestro, tiene que realizarse de
una manera cautelosa procurando no dañar ninguno de los elementos
incautados, debiendo evitar portar y utilizar elementos que puedan
producir magnetismo en los dispositivos electrónicos.
4. Sobre la intervención de la defensa -
Tal como fuera expresado, en general los sujetos procesales que
intervienen en la ejecución de un registro domiciliario son el/la fiscal y
el/la juez/a. El/la fiscal es quien fundamenta y solicita al juez/a la
realización de un allanamiento en determinado inmueble, siendo este
último el encargado de disponer si autoriza al titular de la acción a
materializar la medida. La defensa del encausado no posee ningún tipo de
participación en la solicitud ni en la ejecución del registro domiciliario, su
239
conocimiento sería un riesgo para la investigación ya que el sospechoso
podría deshacerse de toda probanza que dé cuenta del ilícito.
En este sentido, resulta adecuada la lógica legislativa que excluye
expresamente a los registros domiciliarios, cuando regula el tratamiento
de los actos definitivos e irreproducibles y la obligación de notificar a las
partes –querella y defensa– las medidas que se llevarán a cabo.
En relación al concepto de estos actos, Navarro y Daray señalan: “la
producción de aquellos actos de prueba insusceptibles materialmente, por
su naturaleza y características, o por las especiales circunstancias de su
cumplimiento, de volverse a producir en iguales condiciones, de forma tal
de no conculcar, de otro modo, su defensa”. Los mencionados autores
consideran incorrecta la denominación “definitivo e irreproducible” y
optan por identificarlos “como aquellos de imposible reproducción o,
sencillamente, irrepetibles”9.
Sentado lo anterior, en los allanamientos con análisis de los dispositivos
en el lugar no debe darse intervención a la defensa del encausado. En
primer lugar, no deja de ser un registro domiciliario, en el que se encuentra
excluida la notificación a la defensa de su materialización. Sumado a ello,
el análisis de la información contenida en los dispositivos electrónicos
sería, en realidad, un relevamiento de los datos informáticos que almacena
y no un “análisis” propiamente dicho. Es decir, es un examen superficial
que indicará mediante mínimas tareas forenses qué elemento resulta de
interés y debe ser secuestrado para que luego, en un laboratorio forense,
se pueda analizar de manera exhaustiva. Tal como se mencionó, cuando
el procesamiento de la información da positivo, el personal interviniente
deja constancia de lo que se encontró y continúa con otro dispositivo
electrónico.
Finalmente, el relevamiento de datos que se realice en oportunidad del
registro domiciliario no constituye un acto definitivo ni irreproducible; la
defensa del encausado tendrá la posibilidad de hacerse de una copia
forense de toda la información que contengan los dispositivos,
oportunidad donde podrá controlar la legitimidad del secuestro
oportunamente realizado.
240
5. Ventajas y desventajas del procedimiento -
La conveniencia de realizar los registros domiciliarios con un análisis en
el lugar dependerá de lo que sea útil y necesario para cada investigación
en concreto.
En determinadas ocasiones, cuando el autor se encuentra individualizado,
suele ser perjudicial para la investigación realizar el examen de la
información únicamente en los dispositivos que se identifiquen como
propios de este, ya que no es posible conocer con exactitud el dominio de
los mismos. De esta manera, el personal interviniente en la medida deberá
confiar en que el encausado le está entregando los dispositivos
electrónicos de su propiedad. Por ello, resulta conveniente que el análisis
se realice sobre la totalidad de los dispositivos que se hallen en el
inmueble, siendo esta la única manera de determinar cuáles son de interés
para la investigación.
Relacionado con lo anterior, resulta una ventaja que el examen en el lugar
permita conocer cuáles son los efectos que poseen valor probatorio y
cuáles no. De este modo, el posterior trabajo de los especialistas forenses
en el laboratorio se centrará en analizar exhaustivamente los elementos
positivos, lo que implica descomprimir el área de los dispositivos
negativos e invertir todos los recursos en la calidad y excelencia del
informe.
Por otro lado, cuando se cuente con la información previa de que en el
lugar a registrar se hallarán diversos dispositivos electrónicos, por ejemplo
los casos de entes gubernamentales, empresas o locales comerciales,
resultará beneficioso realizar el allanamiento con el análisis en el lugar.
De esta forma se podrá establecer cuáles son los dispositivos con valor
probatorio para la investigación, como también se limitará lo lesivo que
resultaría para una entidad el secuestro de todos sus elementos necesarios
para llevar a cabo la tarea diaria. Incluso en ocasiones es imposible, por el
volumen de datos almacenados y el tamaño del propio hardware, proceder
al secuestro. Además, se ahorran los recursos de cualquier laboratorio
forense, que colapsaría con el volumen de dispositivos a secuestrar.
241
En este orden de ideas, como se especificó anteriormente, el personal
interviniente, una vez que ingresa al domicilio a registrar, identifica los
dispositivos, los individualiza conforme a sus especificaciones técnicas,
luego de ello, comienza con las tareas forenses de procesar la información.
Dichas diligencias demandan tiempo e incluso depende en cierta medida
de la velocidad de procesamiento del dispositivo que está siendo
analizado, en especial, la aplicación del distinto software para recolectar
lo consignado en la orden de allanamiento. Por ello, debe evaluarse lo
conveniente y la necesidad de la medida teniendo especial consideración
por quienes participan en ella: especialistas informáticos, agentes
policiales, testigos de actuación, los propios afectados.
Por último, ningún examen de información en el lugar del allanamiento
será tan efectivo como el análisis realizado en un laboratorio forense, por
lo que, al realizar este tipo de procedimientos, pueden llegar a quedar
afuera elementos que si se hubiesen analizado en un laboratorio serían
positivos.
6. Reflexiones finales -
La necesidad y utilidad de realizar los análisis de los soportes electrónicos
en busca de datos y/o elementos de prueba para las investigaciones, en el
momento en que se practican los registros de los inmuebles, dependerá de
cada paso particular.
En los casos en que se investiguen los delitos de grooming o de
pornografía infantil o cualquier otro ilícito que atente contra la integridad
sexual de personas menores de edad, se deberá proceder en todos los casos
al secuestro de la totalidad de los dispositivos que se encuentren en el lugar
y que hubieren sido objeto del análisis forense con resultado positivo.
El secuestro en estos casos se transforma en indispensable, por un lado, a
los fines probatorios, puesto que dichos elementos deberán ser materia de
análisis exhaustivo en los laboratorios forenses, en aras de obtener mayor
cantidad de elementos de prueba que se sumarán a los obtenidos en el
242
examen preliminar realizado en el lugar del registro domiciliario. En
aquella oportunidad, la defensa del encausado podrá hacerse de una copia
forense, es decir, toda la información que se encuentra almacenada en los
distintos dispositivos electrónicos secuestrados y con la que trabajará el
laboratorio forense. De esta manera, se garantiza en el proceso el derecho
a la defensa y la igualdad de armas al brindar a la defensa la posibilidad
de contar con toda la información en la cual se sustentará la probable
acusación.
Además de ello, el retiro inmediato de dichos dispositivos se justifica por
la circunstancia de que, al contener material ilícito, no resultaría lógico
continuar dejando en manos de las personas implicadas todo aquel
material cuya mera tenencia constituye delito.
Por su parte, los análisis que se realicen en el momento de practicarse el
registro domiciliario resultarán de importancia en los casos en que se
encuentre gran cantidad de dispositivos y/o cuando en los inmuebles se
desarrollaren actividades comerciales y/o cualquier otro tipo de actividad
que surgiera como ajena a la investigación que se lleve adelante. Al elegir
el procedimiento, se debe tener en cuenta si es idóneo y proporcional para
el fin perseguido, como así también si resulta razonable teniendo en cuenta
los derechos que pueden verse afectados. Además, es preciso evaluar la
necesidad de llevarlo a cabo, atendiendo a la existencia o no medios menos
lesivos para obtener las probanzas que se pretenden recolectar.
Resulta necesario concluir además que, de acuerdo a la Convención de
Budapest, este tipo de procedimiento debería ser incluido expresamente
en la normativa procesal; concretamente, el art. 19 del Convenio trata los
lineamientos generales que se deben tener en cuenta en relación a qué
tratamiento brindar a los datos informáticos, ya sean de un sistema
informático o parte de él, como también contempla el régimen de todo
dispositivo de almacenamiento informático que permita almacenar datos
informáticos.
Por ello, resulta necesaria una modificación en la normativa procesal, con
el objeto de incorporar al ordenamiento tanto el examen de los soportes
electrónicos en ocasión de un allanamiento de morada, como también la
243
posibilidad de acceder a los dispositivos de manera remota, por ejemplo,
a través de la instalación de un software malicioso.
Además, que la República Argentina se haya adherido al mencionado
Convenio también implicará adoptar medidas legislativas que contemplen
las otras técnicas de investigación de los delitos informáticos, los que se
llevan a cabo utilizando herramientas informáticas y cualquier delito que
involucre prueba electrónica. En efecto, se tratan otras medidas como la
conservación rápida de datos informáticos almacenados y de los datos
relativos al tráfico; la orden de presentación; la obtención en tiempo real
de datos de tráfico; la interceptación de datos relativos al contenido.
En suma, la regulación del análisis en el lugar del allanamiento es un
hecho, y quedará en manos de los legisladores correspondientes el
tratamiento que se le dará de acuerdo a las posibilidades técnicas, la
práctica judicial y las previsiones de la Convención de Budapest.
Notas -
1 Sin perjuicio de lo expuesto, se destaca que el Código de Procedimiento
Penal de la provincia de Neuquén, en un esfuerzo por adaptarse a la era
digital, a partir del 14/1/14 contempla medidas de investigación
tecnológica.
2 Para consulta acerca de Estados partes, fecha de firma, ratificación y
entrada
en
vigor:
www.coe.int.
3 Informe Explicativo, Convenio sobre la Ciberdelncuencia, ver punto 16.
Disponible
en
https://rm-coe-int.ebook.21.edu.ar/.
4 Para entender la terminología utilizada en las diversas medidas de
investigación, se debe tener en cuenta las definiciones especificadas en el
art. 1 de la Convención, cuando establece que a los efectos del presente
Convenio: a) Por “sistema informático” se entenderá todo dispositivo
aislado o conjunto de dispositivos interconectados o relacionados entre sí,
244
cuya función, o la de alguno de sus elementos, sea el tratamiento
automatizado de datos en ejecución de un programa; b) por “datos
informáticos” se entenderá toda representación de hechos, información o
conceptos expresados de cualquier forma que se preste a tratamiento
informático, incluidos los programas diseñados para que un sistema
informático ejecute una función; c) por “proveedor de servicios” se
entenderá: i) Toda entidad pública o privada que ofrezca a los usuarios de
sus servicios la posibilidad de comunicar a través de un sistema
informático, y ii) cualquier otra entidad que procese o almacene datos
informáticos para dicho servicio de comunicación o para los usuarios del
mismo; d) por “datos relativos al tráfico” se entenderá todos los datos
relativos a una comunicación realizada por medio de un sistema
informático, generados por este último en tanto que elemento de la cadena
de comunicación, y que indiquen el origen, el destino, la ruta, la hora, la
fecha, el tamaño y la duración de la comunicación o el tipo de servicio
subyacente.
Disponible
en:
https://www.oas.org.
5 Informe Explicativo, Convenio sobre la Ciberdelincuencia, ver puntos
149, 150, 151 y 152. Disponible en https://rm-coe-int.ebook.21.edu.ar/.
6 La definición de “dato de abonado” la brinda el art. 18, en su punto 3, al
disponer que a los efectos del presente artículo se entenderá por “datos
relativos a los abonados” cualquier información, en forma de datos
informáticos o de cualquier otro modo, que posea un proveedor de
servicios y que se refiera a los abonados de sus servicios, diferentes de los
datos relativos al tráfico o al contenido, y que permitan determinar: a) El
tipo de servicio de comunicación utilizado, las disposiciones técnicas
adoptadas al respecto y el periodo de servicio; b) la identidad, la dirección
postal o situación geográfica y el número de teléfono del abonado, así
como cualquier otro número de acceso y los datos relativos a la
facturación y al pago, disponibles en virtud de un contrato o de un acuerdo
de prestación de servicios; c) cualquier otra información relativa al lugar
en que se encuentren los equipos de comunicación, disponible en virtud
de un contrato o de un acuerdo de prestación de servicio. Disponible en:
www.oas.org.
7 Informe Explicativo, Convenio sobre la Ciberdelncuencia, ver punto
208.
Disponible
en
https://rm-coe-int.ebook.21.edu.ar/.
8 Art. 128 modificado por la ley 27.436, publicada en el Boletín Oficial el
23/4/18,
nº
33.856
p.
3.
9 Navarro, Guillermo Rafael – Daray, Roberto Raúl, Código Procesal
Penal de la Nación, Pensamiento Jurídico Editora, Buenos Aires, 1996 t.
I, pp. 432-433.
245
Delitos informáticos y cibercrimen
Técnicas y tendencias de investigación penal y su afectación a los
Derechos Constitucionales
Marcelo Temperini
1. Introducción -
La delincuencia evoluciona. Los delincuentes cada vez se organizan
mejor, cada vez se sienten más seguros utilizando las nuevas –o ya no tan
nuevas– tecnologías de la información y las comunicaciones. Ya no se
llaman por teléfono para organizarse sobre el nuevo comercio que piensan
atracar, sino que ahora se escriben por Whatsapp o, peor aún, se llaman
por Whatsapp. Algunas bandas ya utilizan Telegram o Signal para estar
comunicadas. Los delincuentes relacionados al comercio y distribución de
pornografía infantil envían contenidos a través de proxys anónimos y usan
contenedores virtuales cifrados para almacenar su colección privada.
La delincuencia se complejiza, se expande y continúa evolucionando. Las
preguntas, pensando en el otro lado del mostrador y que motivan la
elaboración de este artículo, son: ¿La justicia también evolucionó lo
suficiente como para estar preparados para la detección, identificación y
captura de los ciberdelincuentes? ¿Los métodos de investigación
utilizados por el Estado responden a estas nuevas realidades de la
delincuencia? Y por último y quizá más importante: ¿Cuál es el nivel de
afectación de los derechos en la utilización de estos nuevos métodos de
investigación?
En este contexto, el presente trabajo pretende, a modo de conclusión,
elaborar un listado de algunas de las técnicas más conocidas o utilizadas
por la Justicia y las fuerzas de seguridad en relación a la investigación de
delitos informáticos (entendidos en su concepto amplio). No existe una
pretensión intelectual de hacer un abordaje profundo sobre cada una de
246
estas medidas y técnicas, toda vez que su desarrollo implicaría una
extensión que excede la búsqueda de este trabajo. La finalidad más bien
consiste en la construcción de un decálogo o listado de las distintas
técnicas más utilizadas, a modo introductorio, para aquellos lectores que
recién se inician en el mundo de la investigación del ciberdelito.
Metodológicamente, iniciaremos con un abordaje jurídico sobre la tensión
existente entre la eficacia en los métodos de investigación y la posible (o
muy posible) afectación de derechos constitucionales que implica su
utilización. En el marco de esta construcción jurídica se buscará realizar
un escalonamiento o categorización de los distintos tipos de información
que pueden ser obtenidos a través de la ejecución de diferentes medidas y
técnicas de investigación. Al finalizar dicho análisis, listaremos las
medidas de investigación más utilizadas, posicionando en un extremo
aquellas menos invasivas –o más respetuosas– de las garantías
constitucionales, avanzando hasta las medidas y técnicas más agresivas y
cuestionables –pero quizá más eficaces– desde un punto de vista jurídico.
2. Tecnología e investigación penal -
De acuerdo a Federico Fumis, las nuevas tecnologías han representado un
profundo cambio, en tanto posibilitaron la incorporación de nuevos
métodos investigativos y medios probatorios al proceso, y –al mismo
tiempo– permitieron potenciar la capacidad de viejos métodos y medios
que, apoyados en los avances técnicos, resultan cada vez más eficaces. Sin
embargo, no podemos avanzar en el desarrollo del tema sin dejar sentado
que estos nuevos medios tecnológicos –junto con sus ventajas y
posibilidades de éxito– traen aparejada la posibilidad cierta de lesionar
derechos y garantías constitucionales con gran facilidad y de un modo
prácticamente invisible.
Como afirma Fumis: “El descubrimiento de la verdad en el proceso penal
se encuentra sometido a importantes limitaciones, como por ejemplo la
prohibición de utilizar formas de investigación y pruebas que resulten
violatorias de garantías consagradas en normas constitucionales y
legales”1.
247
El aspecto de fondo visibiliza una tensión (tan histórica como el derecho
mismo) entre la eficacia de la investigación y el avance sobre los derechos
y garantías constitucionales de la persona que está siendo investigada.
Tensión que, a nuestro criterio, se encuentra profundamente agravada por
las nuevas tecnologías, toda vez que, a diferencia de las medidas de
investigación penal tradicionales, las nuevas tecnologías permiten avanzar
sobre una esfera íntima de la persona de una forma mucho más
“transparente” y rápida, haciendo que esta falta de tangibilidad de las
barreras
que
delimitan
estos
bienes
jurídicos
tutelados
constitucionalmente, puedan superarse con extrema facilidad en cuestión
de segundos y, en muchos casos, sin dejar mayores rastros.
En consecuencia, cada vez es más cotidiano encontrar ejemplos de
medidas de investigación penal que, por no contar con los requisitos
jurídicos mínimos necesarios, podrían tornarse procesalmente
inaprovechables por no respetar adecuadamente los derechos y las
garantías procesales de las personas afectadas.
3. La afectación de garantías constitucionales -
En el catálogo de derechos y garantías que pueden ser afectados a través
de las distintas medidas de investigación, analizaremos la situación
constitucional en Argentina y España (a modo comparativo).
Entre estos países podemos encontrar distintos derechos, como el secreto
de las comunicaciones, derecho a la intimidad, derecho a la protección de
los datos personales, e incluso el flamante derecho a la protección del
propio entorno virtual, del cual nos ocuparemos en este capítulo.
En la Constitución española, su art. 18 contiene la mayoría de los derechos
que estamos analizando aquí:
1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a
la propia imagen.
248
2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en
él sin consentimiento del titular o resolución judicial, salvo en caso de
flagrante delito.
3. Se garantiza el secreto de las comunicaciones y, en especial, de las
postales, telegráficas y telefónicas, salvo resolución judicial.
4. La ley limitará el uso de la informática para garantizar el honor y la
intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus
derechos.
En cuanto al alcance de lo que debe entenderse por “secreto de las
comunicaciones”, a través de una sentencia2 del Tribunal Constitucional
se ha reconocido que el mismo “garantiza a los interlocutores o
comunicantes la confidencialidad de la comunicación telefónica que
comprende el secreto de la existencia de la comunicación misma y el
contenido de lo comunicado, así como la confidencialidad de las
circunstancias o datos externos de la conexión telefónica: su momento,
duración y destino; y ello con independencia del carácter público o
privado de la red de transmisión de la comunicación y del medio de
transmisión –eléctrico, electromagnético u óptico, etc.– de la misma”.
Bajo esta interpretación, coincidente con una importante Sentencia del año
19843 y la sentencia de otro reconocido fallo, como el caso “Malone”4,
se sostuvo el criterio de interpretación amplia entendiendo que “el
concepto de secreto de la comunicación cubre no sólo el contenido de la
comunicación, sino también la identidad subjetiva de los interlocutores”,
y de esta forma el Tribunal otorgó el amparo al recurrente porque la
entrega por la compañía telefónica a la Policía de los listados de llamadas
del investigado no contaba con la preceptiva autorización judicial.
La protección de los datos personales a la cual hace referencia el inc. 4 del
art. 18 citado posee un amplio desarrollo normativo y doctrinario,
expandido aún más a través de la flamante normativa del Reglamento
General de Protección de Datos5, que entró en vigencia el 25 de mayo de
2018, incorporando y profundizando aún más los derechos a la privacidad
de los usuarios de servicios de comunicación.
249
Quizá la protección jurídica más novedosa es este “nuevo” derecho
constitucional denominado “derecho a la protección del entorno virtual”.
Así lo ha dicho el Tribunal Supremo español en la sentencia 204/20166,
donde se afirmó: “Es por ello por lo que el legislador otorga un tratamiento
unitario a los datos contenidos en los ordenadores y teléfonos móviles,
reveladores del perfil personal del investigado, configurando un derecho
constitucional de nueva generación que es el derecho a la protección del
propio entorno virtual”.
Precisando aún más esta nueva protección de índole genérica a este tipo
de información, sentencia: “Y es que, más allá del tratamiento
constitucional fragmentado de todos y cada uno de los derechos que
convergen en el momento del sacrificio, existe un derecho al propio
entorno virtual. En él se integraría, sin perder su genuina sustantividad
como manifestación de derechos constitucionales de nomen iuris propio,
toda la información en formato electrónico que, a través del uso de las
nuevas tecnologías, ya sea de forma consciente o inconsciente, con
voluntariedad o sin ella, va generando el usuario, hasta el punto de dejar
un rastro susceptible de seguimiento por los poderes públicos. Surge
entonces la necesidad de dispensar una protección jurisdiccional frente a
la necesidad del Estado de invadir, en las tareas de investigación y castigo
de los delitos, ese entorno digital”.
Por el lado de Argentina, desde un punto de vista constitucional, no existe
un catálogo tan claro como hemos visto en España, aunque podemos
encontrar igualmente estos derechos en los arts. 18, 19 y 43 de la
Constitución Nacional de Argentina.
En el fallo “Halabi”7, la Corte Suprema de Justicia de la Nación (CSJN)
declaró la inconstitucionalidad de la ley 25.873 y su decreto
reglamentario, en el cual se pretendía regular la retención de datos. En el
fallo, y con relación a la interpretación sobre la protección constitucional
de las comunicaciones, la CSJN expresó: “En relación con los aspectos
reseñados resulta opor-tuno señalar que las comunicaciones a las que se
refiere la ley 25.873 y todo lo que los individuos transmiten por las vías
pertinentes integran la esfera de intimidad personal y se en-cuentran
alcanzadas por las previsiones de los arts. 18 y 19 de la Constitución
250
Nacional. El derecho a la intimidad y la garantía consecuente contra su
lesión actúa contra toda ‘inje-rencia’ o ‘intromisión’ ‘arbitraria’ o
‘abusiva’ en la ‘vida privada’ de los afectados (conf. art. 12 de la
Declaración Uni-versal de Derechos Humanos y art. 11, inc. 2°, de la
Convención Americana sobre Derechos Humanos, tratados, ambos, con
jerar-quía constitucional en los términos del art. 75, inc. 22, de la
Constitución Nacional y art. 1071 bis del Código Civil)”.
En relación al caso concreto que se discutía en “Halabi”, también de
interés para el marco de este trabajo en relación a la posibilidad de guarda
de los datos de las comunicaciones, la Corte afirmó: “Es evidente que lo
que las normas cuestionadas han establecido no es otra cosa que una
restricción que afecta a una de las facetas del ámbito de la autonomía
individual que constituye el derecho a la intimidad, por cuanto sus
previsiones no distinguen ni precisan de modo suficiente las
oportunidades ni las situaciones en las que operarán las interceptaciones,
toda vez que no especifican el tratamiento del tráfico de información de
Internet en cuyo contexto es indiscutible que los datos de navegación
anudan a los contenidos”, reconociendo de esta forma una afectación al
derecho de la intimidad sobre los usuarios.
Adicionalmente a este reconocimiento constitucional, existe un refuerzo
sobre la protección del secreto de las comunicaciones dentro de la Ley
Nacional de Inteligencia de Argentina 25.520, donde reconoce la
inviolabilidad de las comunicaciones:
Art. 5° - Las comunicaciones telefónicas, postales, de telégrafo o facsímil
o cualquier otro sistema de envío de objetos o transmisión de imágenes,
voces o paquetes de datos, así como cualquier tipo de información,
archivos, registros y/o documentos privados o de entrada o lectura no
autorizada o no accesible al público, son inviolables en todo el ámbito de
la República Argentina, excepto cuando mediare orden o dispensa judicial
en sentido contrario.
Similar regulación tiene la Ley Nacional de Telecomunicaciones 19.728,
en cuyos arts. 18 y 19, establece:
251
Art. 18. - La correspondencia de telecomunicaciones es inviolable. Su
interceptación solo procederá a requerimiento de juez competente.
Art. 19. - La inviolabilidad de la correspondencia de telecomunicaciones
importa la prohibición de abrir, sustraer, interceptar, interferir, cambiar su
texto, desviar su curso, publicar, usar, tratar de conocer o facilitar que otra
persona que no sea su destinatario conozca la existencia o el contenido de
cualquier comunicación confiada a los prestadores del servicio y la de dar
ocasión de cometer tales actos.
4. La regla de los tres escalones -
Como ya hemos adelantado en la introducción, como resultado final de
este trabajo buscaremos construir un catálogo de medidas de investigación
penal, organizadas de acuerdo al nivel de injerencia o afectación a los
derechos constitucionales. En este contexto, consideramos necesario
hacer un desarrollo previo sobre una categorización sobre los datos,
aceptada a nivel internacional, y que denominaremos –con cierta finalidad
pedagógica– como “la regla de los 3 escalones”.
A través de la misma, se pretende aclarar las distintas categorías de
información a la cual es posible acceder en el contexto de una
investigación penal y, sobre todo, qué nivel de afectación a los derechos
implica cada una de ellas.
Sin embargo, como en toda buena construcción, nuestra escalera no podrá
estar flotando en el aire, sino que deberá estar apoyada sobre una base
firme, sobre algún piso que –en nuestra elaboración teórica– serán
aquellos datos para cuyo acceso no se considere que existe una afectación
indebida a los derechos.
Esta primera base estará apuntalada sobre un criterio –en principio,
ampliamente aceptado por la jurisprudencia– que interpreta como válida
la incorporación como elemento de prueba, en el marco de una
investigación penal, de aquellos datos que sean considerados públicos, es
252
decir, cuyo acceso sea posible de forma irrestricta y sin vulnerar ninguna
barrera técnica o jurídica.
Un claro ejemplo de esta primera categoría de información será aquella
que es posible obtener a través de la utilización de las difundidas técnicas
de OSINT (Open Source Intelligence), las cuales precisamente apuntan a
la búsqueda, identificación y procesamiento de información sobre fuentes
abiertas, es decir, sobre aquellas que pueden obtenerse de forma pública
y, por lo tanto –en principio–, no existe afectación alguna sobre la
privacidad del titular de esos datos.
Dentro de la jurisprudencia, un caso en Argentina8 logró condenar a una
persona por homicidio agravado gracias a que, a través de su perfil de
Facebook, se logró identificar al criminal. Se trató de un caso de homicidio
sobre un hombre que fue asesinado mientras dormía en la vía pública por
dos personas que lo rociaron con combustible y luego lo prendieron fuego.
Los vecinos del lugar señalaron que uno de los autores de apodaba
“Chucky”. Gracias a la mención de ese nombre, los investigadores del
caso lograron dar con el principal sospechoso, Alexis Bejarano, quien
tenía un perfil público en Facebook. Se hizo una rueda de reconocimiento
y una de las testigos no dudó de que se trató de uno de los autores.
Ante dicha situación, la defensa del condenado interpuso una queja que
sostenía que había que equiparar a la prueba informática por la que se
obtuvo el perfil de Facebook del encartado, con la correspondencia
epistolar. La defensa aseguró que debía existir orden judicial para obtener
la información del correo electrónico y las redes sociales.
Sin embargo, el Tribunal sostuvo que la red social Facebook es un sitio
web que se encuentra disponible para cualquier usuario de la red y se
utiliza para que sus usuarios puedan intercambiar comunicación fluida y
compartir contenido de forma sencilla a través de Internet. A partir de sus
características públicas la página de Facebook propiedad del imputado
“no goza de la protección de la privacidad como la clásica vía postal”.
Según la Casación Federal, si bien para el funcionamiento y utilización de
la red social “se requiere indispensablemente de un prestador del servicio,
el nombre de usuario y clave de acceso destinados a impedir que terceros
extraños se entrometan en los datos y contenidos que se emiten y reciben”,
253
en el caso el perfil del condenado “era público y casi toda la información
que compartía podía ser vista por cualquier persona que accediera a través
de internet a la página”. “La página de Facebook no puede ser considerada
la ‘correspondencia epistolar’ que protege la Constitución Nacional, razón
por la cual el modo en que fue obtenida e incluso su incorporación como
prueba al juicio, mal puede violar la garantía contenida en el art. 18 de la
CN”, señalaron los camaristas.
Hacia el final de la sentencia se afirma: “A partir de lo expuesto, entiendo
que el procedimiento por el cual se obtuvo e incorporó como prueba la
página de Facebook mediante la cual se pudo corroborar que el sujeto
apodado ‘Chucky’ se correspondía con el nombre y fotografía que
figuraban en ese perfil de la red social fue realizado conforme a las
disposiciones legales vigentes sin afectar la garantía que prohíbe
intromisiones arbitrarias en la intimidad y privacidad del imputado y por
ello propongo rechazar el presente agravio”.
Es decir, queda claro, en base a este último párrafo, el criterio adoptado,
donde se entiende que las garantías constitucionales que prohíben la
intromisión arbitraria en la intimidad y privacidad del imputado no se
encuentran afectadas cuando se trata de información disponible de forma
pública e irrestricta.
A modo de comentario final, aclaramos que distinto hubiese sido el
análisis jurídico si se hubiese tratado de una imagen publicada con alguna
limitación sobre la privacidad (amigos o amigos de mis amigos).
4.1. El primer escalón: los datos de abonado
Superada la explicación sobre la base de los datos públicos, es momento
de avanzar hacia nuestro primer escalón: los datos de identificación de
usuario, o también denominados “datos de abonado”, o en el caso de redes
sociales, más conocidos como BSI (Basic Subscriber Information).
En este primer escalón encontraremos distintos tipos de información
identificatoria relacionada al titular de la cuenta o del servicio consultado.
254
A nivel internacional contamos con una definición en el Convenio de
Cibercrimen de Budapest9, quizás uno de los instrumentos jurídicos más
importantes en la materia a nivel penal y procesal penal. En el art. 18
donde se regula la “orden de presentación”, en su inc. 3, se define:
“A los efectos del presente artículo, por «datos relativos a los abonados»
se entenderá toda información, en forma de datos informáticos o de
cualquier otra forma, que posea un proveedor de servicios y esté
relacionada con los abonados a dichos servicios, excluidos los datos sobre
el tráfico o sobre el contenido, y que permita determinar:
”a) El tipo de servicio de comunicaciones utilizado, las disposiciones
técnicas adoptadas al respecto y el periodo de servicio;
”b) la identidad, la dirección postal o geográfica y el número de teléfono
del abonado, así como cualquier otro número de acceso o información
sobre facturación y pago que se encuentre disponible sobre la base de un
contrato o de un acuerdo de prestación de servicios;
”c) cualquier otra información relativa al lugar en que se encuentren los
equipos de comunicaciones, disponible sobre la base de un contrato o de
un acuerdo de servicios”.
En la base de la definición, existe una conceptualización casi por
exclusión, al decir que es toda información (generalmente datos
personales) que posea un proveedor de servicios, relacionada con el
abonado del servicio, que no sean ni datos de tráfico ni datos de contenido.
Por otro lado, en una guía publicada entre la documentación oficial de
Naciones Unidas10, se detallan algunos de los datos de suscriptor que
podrán estar disponibles para la consulta judicial:
- Nombre de la cuenta, nombre de usuario o de acceso.
- Nombre y apellido registrados.
255
- Domicilios registrados.
- Correo electrónico registrado.
- Números de teléfonos asociados a la cuenta.
- Dirección IP utilizada al momento de la creación de la cuenta.
- Fecha y hora de creación de la cuenta.
- Información de sesiones iniciadas (user agent, IP de acceso, fecha y
duración).
- Otros datos identificatorios del suscriptor (formas de pago, tipos y
números de tarjetas de crédito utilizadas, etc.).
Vale destacar que los datos identificatorios disponibles dependen del tipo
de servicio que estemos analizando, toda vez que dentro de la categoría
genérica de los CSP11 podemos incluir tanto los ISP12 como toda otra
plataforma de prestación de servicio de comunicaciones, como redes
sociales, sitios de comercio electrónico, hosting, etc.
A modo de ejemplo, en el caso de tratarse de un ISP, estaremos hablando
de los datos personales del titular de la línea o servicio, tales como
nombre, apellido, domicilio, tipo de servicio contratado, número de
usuario, formas de pago utilizadas, tarjetas de crédito utilizadas, entre
otros datos. En el caso de otros servicios, como redes sociales, podrá
considerarse también parte de estos datos básicos del suscriptor algunos
datos tales como el correo electrónico, dirección IP desde la cual se ha
generado la cuenta, incluso las direcciones IP de los últimos accesos a la
misma, pueden formar parte de este paquete de datos (BSI).
256
Este primer escalón, como categoría inicial de datos que avanzan sobre un
ámbito de privacidad, presenta como característica que nos encontramos
ante datos identificatorios que gozan de la protección de los datos de
carácter personal, por lo que les serán aplicables todas aquellas normativas
relacionadas con la protección de datos personales, en la inteligencia de
que se trata de información que permitiría identificar o hacer identificable
a una persona13.
Una de las primeras discusiones clásicas que podría darse dentro de esta
categoría tenía relación con la naturaleza de la dirección IP: si esta podía
o no ser considerada un dato de carácter personal y, en consecuencia,
debía aplicarse todo el andamiaje protectorio correspondiente. En este
sentido, el Informe 327/200314 de la Agencia de Protección de Datos
Española (AGPD) ha señalado que “aunque no siempre sea posible para
todos los agentes de internet identificar a un usuario a partir de datos
tratados en la red, desde esta Agencia de Protección de Datos se parte de
la idea de que la posibilidad de identificar a un usuario de Internet existe
en muchos casos y, por lo tanto, las direcciones IP, tanto fijas como
dinámicas, con independencia del tipo de acceso, se consideran datos de
carácter personal resultando de aplicación la normativa sobre protección
de datos”.
En la parte final, el mismo informe nos deja una sencilla reflexión sobre
la interpretación de los datos personales, que es plenamente aplicable a los
demás datos identificatorios desarrollados en esta categoría. Sostiene la
AGPD que “En cuanto a la consideración de los log in de acceso a Internet
o a páginas personales como datos de carácter personal, resultarán de
aplicación las consideraciones que se realizan en párrafos anteriores. Si
identifica de forma directa al usuario, no hay duda de que estaremos ante
un dato de carácter personal; por el contrario si este es anónimo, en
principio no sería un dato de carácter personal, pero si, por ejemplo, el
proveedor de servicios de Internet a través de ese log in puede identificar
al usuario con el que tiene un contrato de acceso a Internet, sí será
considerado como un dato de carácter personal”.
Superado este primer desafío, y quedando claro que estamos en presencia
de un conjunto de datos personales que hacen a la identificación de una
257
persona, un segundo interrogante sale a la luz en relación con los
requisitos legales que deberán cumplirse para poder solicitar este tipo de
datos: ¿Es necesaria una autorización judicial para acceder a esta
información? ¿O será suficiente un pedido realizado por el fiscal en el
marco de las potestades establecidas para dirigir una investigación penal?
Sobre este interrogante se ha planteado un interesante caso en
Argentina15. En el marco de la investigación de un caso de distribución
de pornografía infantil, el allanamiento sobre el domicilio del imputado
había sido posible gracias a los datos de identificación suministrados por
dos CSP (Telecom y Microsoft), pedido de información que había sido
solicitado solamente por el fiscal que llevó adelante la causa, es decir, sin
autorización judicial.
En este caso, los jueces de Cámara, para declarar la nulidad del
requerimiento de juicio, argumentaron “que las direcciones IP (Internet
Protocols) son datos de carácter personal protegidos por la ley 25.326 y
que, por esa razón, la solicitud de aquellos informes debía equipararse a
una “interceptación telefónica” y debió solicitarse la pertinente orden
judicial, de conformidad con lo establecido en el art. art. 93, in fine, del
CPPCABA”. En ese sentido, afirmaron que “una amplia protección al
derecho a la intimidad obliga a entender que los datos personales de quien
afirmó ser usuario de un correo electrónico asociado a un protocolo de
internet (al crear la cuenta de correo electrónico), registrados por las
firmas de telecomunicaciones, se encuentran alcanzados por la regla que
ampara la privacidad y sólo con orden judicial pueden requerirse informes
sobre estos datos, en principio, reservados”.
Siguiendo con el voto del juez José Casás, afirma: “Sin embargo, lejos de
formular argumentación alguna que permita sostener dicha afirmación, los
magistrados omitieron explicar por qué razón correspondería equiparar, a
la luz de la expectativa de intimidad del individuo, los datos de contenido
y los datos de tráfico de una comunicación, con la simple identificación
de un usuario. Dicha circunstancia resultaba de vital trascendencia a los
fines de analizar la problemática constitucional planteada en el caso
concreto. En tercer lugar, tampoco la invocación de la ley de protección
de datos personales (ley 25.326) resulta dirimente para la solución del
caso, porque no está en discusión que la información requerida a las
empresas mencionadas en las resultas perseguía la obtención de ‘datos
258
personales’. Lo que no advierten los camaristas es que la propia ley prevé
que dicha información puede ser recabada, sin que se requiera el
consentimiento del titular, en el ejercicio de funciones propias de los
poderes del Estado (art. 5.2.b) y también cuando esos datos se limitan al
nombre, documento y domicilio de la persona en cuestión (art. 5.2.c). No
otra cosa se pretendió respecto del titular de la IP aportada a la
investigación cuando el fiscal, en el ejercicio de sus funciones de
instructor, formuló el cuestionado pedido de informes”.
En este primer voto, se analiza con extrema precisión la confusión que ha
dado lugar al planteo, y es la confusión entre los datos identificatorios,
datos de tráfico y datos de contenido, toda vez que erróneamente (a
nuestro criterio) la Cámara interpretó que los datos identificatorios son
“datos de contenido”, exigiendo en consecuencia el requisito de
autorización judicial para su obtención.
En un segundo voto, el Dr. Luis Lozano analiza con mayor precisión el
aspecto procesal que aquí nos interesa, sobre los alcances en las medidas
de investigación que puede llevar adelante un fiscal: “asiste razón al MPF
en cuanto manifiesta que ese pronunciamiento ha extendido el alcance de
la norma local sobre cuya base aquel se sostiene a un supuesto no
contemplado e importa una declaración implícita de inconstitucionalidad
de las facultades de investigación que la ley le confiere. Este artículo (art.
93 del CPPCABA16) inviste al fiscal de un cúmulo de facultades para
reunir prueba. Lo hace en términos en que incluye no sólo las
expresamente contempladas, sino también “…todas las medidas que
considere necesarias para el ejercicio de sus funciones”. Reserva algunas
al juez, rodeándolas así de una garantía específica sólo posible en el
sistema acusatorio, ya que, en ese sistema, el órgano que decide, el juez,
a diferencia del juez inquisidor, cuya jurisdicción suma o absorbe
atribuciones propias de la acción fiscal, no tiene fijada la meta de
investigar –en efecto, en los procesos de tipo acusatorio, el juzgador,
árbitro de una contienda entre partes legitimadas, carece de iniciativa
propia en la investigación y de poderes autónomos para investigar la
verdad de los acontecimientos–, sino que está colocado en situación de
ponderar imparcialmente entre el interés del pueblo en conocer y probar y
el del sujeto de preservar su privacidad”.
259
Este interesante análisis establece con claridad las potestades
investigativas del fiscal, en el marco de un sistema acusatorio, donde la
norma procesal penal establece expresa reserva para determinadas
medidas, que el legislador ha considerado que afectan en mayor medida
las garantías constitucionales (allanamientos, requisas o interceptación de
comunicaciones o correspondencia).
A modo de conclusión de este primer escalón, y de respuesta a los
interrogantes planteados, destacamos que los datos identificatorios (o de
abonado, como se denominan en España) son datos de carácter personal,
que avanzan sobre una primera barrera de privacidad de la persona
investigada, pero que no deben confundirse con los datos de tráfico, ni
menos aún con los datos de contenido.
Desde un punto de vista jurídico, podemos interpretar que esos datos
personales –de acuerdo a la normativa aplicable– podrán ser accedidos sin
contar con el consentimiento de su titular para aquellos casos de ejercicios
de funciones propias del Estado (art. 5.2.b de la ley 25.326 argentina), por
lo que en el contexto de una investigación penal –en el marco de un
proceso acusatorio– se considera suficiente para su acceso una orden
librada por el fiscal a cargo, no siendo necesario contar con una
autorización judicial, reservada para otras instancias de mayor afectación
de los derechos.
4.2. El segundo escalón: los datos de tráfico
En este segundo escalón encontraremos una categoría distinta de datos,
conocida como datos de tráfico, datos asociados, datos transaccionales,
metadatos de la comunicación, entre otras denominaciones que podrán
encontrarse en la doctrina y jurisprudencia.
Nuevamente consultando el Convenio de Cibercrimen de Budapest17,
donde si bien su art. 1 contiene muy pocas definiciones, entre ellas
encontramos la de “datos de tráfico”, que de acuerdo a este instrumento
son “...cualquier dato informático relativo a la comunicación por medio
de sistema informático, generado por el sistema informático que forma
260
parte de la cadena de comunicación, indicando origen, destino, ruta, hora,
fecha, tamaño, duración o tipo de servicio subyacente”.
De acuerdo a esta definición, podríamos interpretar que los registros de un
servidor que guarda las comunicaciones electrónicas entrantes y salientes
son un listado de datos de tráfico, toda vez que incluye la dirección IP de
origen, dirección IP destino, fecha, hora y ruta de esa comunicación. De
la misma forma, esta misma definición es aplicable para las conocidas
“listas sábanas” de las llamadas telefónicas, donde es posible identificar
número de línea que realiza la llamada, número de destino, fecha, hora y
duración de la comunicación. Es decir, independientemente del detalle
que pueda establecerse en relación al tipo de comunicación, lo importante
es tener en claro que entre los datos de tráfico nunca podremos encontrar
algún tipo de contenido de la comunicación.
En la normativa española podemos encontrar otro concepto similiar dentro
de la Ley Orgánica de Enjuiciamiento Criminal 13/2015, en el Capítulo V
“La interceptación de las comunicaciones telefónicas y telemática”, en el
art. 588 ter b), define “datos electrónicos de tráfico o asociados” como
“todos aquellos que se generan como consecuencia de la conducción de la
comunicación a través de una red de comunicaciones electrónicas, de su
puesta a disposición del usuario, así como de la prestación de un servicio
de la sociedad de la información o comunicación telemática de naturaleza
análoga”.
Teniendo en claro el alcance de su concepto, podremos avanzar quizás
hacia uno de los tópicos claves de este artículo, que es el argumento
jurídico sobre la legitimidad en el acceso a esta clase de información,
discusión que desde ya, adelantamos, con el paso de los años se han
observado distintas posturas, que intentaremos ir desandando. Entre todas
las preguntas que el lector podría realizarse sobre esta temática, elegimos
algunas para abordar aquí: ¿Qué nivel de afectación a las garantías
constitucionales existe al acceder a los datos de tráfico de una
comunicación? ¿Es necesario contar con autorización judicial para poder
acceder a un listado de datos de tráfico de las comunicaciones realizadas
por una persona? ¿Es constitucional obligar a un proveedor de
comunicaciones que realice la guarda de todos los datos de tráfico de las
comunicaciones de sus abonados?
261
Si bien algo ya se ha adelantado en el desarrollo del primer escalón,
veremos aquí con mayor profundidad el alcance y protección jurídica de
esta segunda categoría de datos. En relación a la primera pregunta, sobre
el nivel de afectación de las garantías a través de los datos de tráfico, ya
hemos citado uno de los antecedentes más importantes, como es el caso
“Malone”18, en el cual se debatió el alcance en el amparo al secreto de las
comunicaciones.
En este denominado leading case, analizado en un reciente y completo
estudio del Dr. David Calvo Lopez19, se reconoció expresamente la
posibilidad de que el art. 8 CEDH20 pudiera resultar violado por el
empleo de un artificio técnico que permita registrar cuáles hayan sido los
números telefónicos marcados sobre un determinado aparato, aunque no
acceda al contenido de la comunicación misma. Es decir, relacionado a la
primera pregunta que nos hemos realizado, podemos responder que, en
principio, existe aceptación jurisprudencial en entender que la protección
jurídica de los datos de tráfico, por la potencialidad en la afectación de las
garantías que posee esta categoría de datos, se encuentra asimilada al
mismo nivel de protección jurídica que los datos de contenido.
Decimos en principio, toda vez que válidamente el lector podría
preguntarse si todos los datos de tráfico afectarían de la misma forma a
los derechos constitucionales aquí involucrados. En este sentido, la
circular 1/201321 de la Fiscalía General del Estado español explica que
“no todos los datos digitalizados merecen la consideración de datos
propios del contenido material del derecho a la inviolabilidad de las
comunicaciones. Debe analizarse la funcionalidad de cada dato para
ubicarlo bajo el manto protector del derecho a la intimidad (art. 18.1 CE),
del derecho a la inviolabilidad de las comunicaciones (art. 18.3 CE) o del
derecho a la protección de datos (art. 18.4 CE), cada uno con su propio
sustrato axiológico y, correlativamente, cada uno con una protección de
intensidad variable”.
Sí estarían incluidos, como señala la citada circular, aquellos “datos
accesorios pero íntimamente ligados a la propia comunicación” por
revelar el origen y destino de la misma, su momento y duración y, por
último, los referentes al volumen de la información transmitida y el tipo
262
de comunicación entablada. Son, en definitiva, datos que se generan
mientras la comunicación se encuentra en curso.
En similar criterio se ha expresado el Tribunal Supremo en la Sentencia
STS 247/201022, relacionado a un caso de posesión de pornografía
infantil, donde se discutía la validez o no de las medidas de investigación
realizadas, y la posible afectación de los derechos constitucionales del
imputado. En la sentencia, se realiza una distinción fundamental para
resolver cualquier cuestión relativa a los derechos amparados por el art.
18 CE. En la misma afirma: “Distinguimos pues dos conceptos: a) Datos
personales externos o de tráfico que hacen referencia a una comunicación
concreta y contribuyen a desvelar todo o parte del secreto que protege el
art. 18-3 C.E EDL 1978/3879; b) Datos o circunstancias personales
referentes a la intimidad de una persona (art. 18-10 C.E. EDL 1978/3879),
pero autónomos o desconectados de cualquier comunicación, que caerán
dentro del derecho a la protección de datos informáticos o habeas data del
art. 18-4 C.E. EDL 1978/3879 que no pueden comprometer un proceso de
comunicación. Desde esta perspectiva dicotómica la absoluta
equiparación de todo tipo de datos de tráfico o externos o la inclusión de
todos ellos dentro del derecho al secreto de las comunicaciones
comportaría un auténtico desenfoque del problema, pues incorporaría en
el ámbito de la protección constitucional del art. 18-3, circunstancias cuyo
tratamiento jurídico no debería separarse del que se dispensa a la
protección de datos o al derecho a la autodeterminación informática del
art. 18-4 C.E. EDL 1978/3879 (véase por todas S.T.S. nº 249 de 20/5/08
EDJ 2008/90719)”.
En el caso concreto se resolvió que “es patente que los datos cuyo
obtención se pretende por el Fiscal no tienen relación ni afectan ni
interceptan ni descubren ni tratan de descubrir una comunicación
concreta, sino que por ser preciso para la acción investigadora el
conocimiento del domicilio, número de teléfono o identidad del titular del
terminal informático que opera en la Red (I.P.), la solicita a la operadora,
al objeto de pedir del juez un mandameinto de entrada y registro con fines
indagatorios o de investigación de un posible delito, acerca del que se
conocen datos indiciarios”.
Esta jurisprudencia, de similar interpretación a la citada anteriormente en
Argentina23, concluye que al no tratarse de datos de tráfico –toda vez que
263
solamente se han solicitado datos identificatorios personales–, no será
necesaria la orden judicial para el caso de solicitud de los datos de abonado
(nuestro primer escalón), por considerarse que no existe allí una
afectación a una comunicación concreta, y por lo tanto, no hay afectación
a un derecho constitucional.
Es decir –y ya aquí comenzando con la respuesta a la segunda pregunta
planteada–, que sólo ante el análisis positivo sobre si los datos de tráfico
solicitados (como suele suceder con el listado de llamadas o los datos de
tráfico de un ISP) permitan afectar la inviolabilidad de las comunicaciones
y, por lo tanto, el secreto de las comunicaciones, será necesario contar con
autorización judicial de juez competente para poder válidamente acceder
a este segundo escalón o categoría de datos.
A nivel normativo, esta discusión se encontró resuelta dentro de la Ley
Orgánica de Enjuiciamiento Criminal 13/2015, cuyo art. 588 ter b) exige
que la resolución judicial habilitante precise el contenido de la
intervención de las comunicaciones telemáticas, que puede estar referido
a tres conceptos distintos: a) el mensaje comunicado; b) los datos
electrónicos de tráfico o asociados al proceso de comunicación, y c)
aquellos producidos con independencia del establecimiento o no de una
concreta comunicación:
“La intervención judicialmente acordada podrá autorizar el acceso al
contenido de las comunicaciones y a los datos electrónicos de tráfico o
asociados al proceso de comunicación, así como a los que se produzcan
con independencia del establecimiento o no de una concreta
comunicación, en los que participe el sujeto investigado, ya sea como
emisor o como receptor, y podrá afectar a los terminales o los medios de
comunicación de los que el investigado sea titular o usuario”.
Por último, en relación a un adelanto de respuesta de la tercera pregunta
sobre la constitucionalidad de la obligación de guarda de esta categoría de
datos, informamos al lector que si bien no ahondaremos en todos los
argumentos jurídicos que deberían tratarse para hacer un desarrollo
adecuado y serio del tema, que por cuestiones de tiempo y espacio que
exceden la labor del presente trabajo, citaremos solamente algunos
aspectos centrales y medulares de dicha discusión.
264
En el año 2006 la Unión Europea aprobó la Directiva sobre la
conservación de datos generados o tratados en relación con la prestación
de servicios de comunicaciones electrónicas de acceso público o de redes
públicas de comunicaciones, popularmente conocida como “Directiva de
retención de datos”24, que a lo largo de los años fue gestando normativas
internas de los distintos países europeos que regulan sus propias
condiciones para la conservación de este tipo de datos.
El objetivo buscado por la normativa general era el de obligar a los
proveedores de servicios de comunicaciones electrónicas de acceso
público o red pública de comunicación a conservar los datos generados o
tratados por los mismos, para garantizar que los datos estén disponibles
con fines de investigación, detección y enjuiciamiento de delitos graves,
donde cada país determinaba su interpretación de lo que se consideraba
delitos graves de acuerdo a su propia normativa penal.
En la práctica, la aplicación de la Directiva implicaba que existía una
retención de datos de tráfico de todos los usuarios, por un tiempo
determinado (entre 6 meses y 2 años por lo general), independientemente
de si los mismos estaban o no siendo parte de una investigación penal que
justificaba el acceso a dichos datos y, por lo tanto, la afectación de sus
garantías constitucionales.
Sin embargo, esta Directiva no fue siempre aceptada por todos, y ya en su
momento había generado una gran polémica y controversia, ya que para
algunos sectores su articulado vulneraba la privacidad de los ciudadanos.
De hecho, en algunos países nunca fue tenida en consideración para su
regulación interna, ya que se entendía que su regulación era
inconstitucional. Ya en 2010, el Tribunal Constitucional alemán25
advirtió (como venía haciendo con otros casos anteriores26) el riesgo de
que el uso de la tecnología, a través del acopio y cruce masivo de datos,
pueda dar lugar a la creación de los referidos “perfiles de personalidad”
de los ciudadanos hasta el punto de llegar a influir de manera determinante
en el comportamiento de los individuos, lo cual entiende que no sólo va
en detrimento de las posibilidades de desarrollo individual de los
individuos, sino también de la comunidad, porque la autodeterminación
265
es una condición funcional elemental de una nación democrática libre,
fundada en la capacidad de sus ciudadanos para cooperar y actuar.
Con motivo de un recurso de inconstitucionalidad contra las reformas que
tenían por misión incorporar al ordenamiento jurídico germano la
directiva europea de retención de datos, el Tribunal Constitucional alemán
declaró en su sentencia de 2 de marzo de 201027 que dicha regulación
vulneraba dos principios claves: el principio de proporcionalidad
(Verhältnismäßigkeit) y el principio de determinación jurídica o claridad
legal (Normenklarheit), pues aunque la efectividad de la persecución
criminal, la defensa de la Seguridad y el cumplimiento de las tareas de los
servicios de inteligencia son fines legítimos que pueden constituir una
injerencia justificada en el secreto de las telecomunicaciones, y aunque tal
derecho fundamental no prohíbe cualquier almacenamiento de datos de
tráfico, la regulación impugnada suponía un almacenamiento
desproporcionado “con una extensión como hasta ahora el ordenamiento
no había conocido previamente, pues abarca todo el período de seis meses
y prácticamente todos los datos de tráfico de las comunicaciones de todos
los ciudadanos sin conexión con una conducta reprochable atribuible,
incluso de modo abstracto, a una peligrosidad o una situación cualificada
(…). Dependiendo de la utilización de las telecomunicaciones y el futuro
de tal aumento de la densidad de almacenamiento, puede permitir la
producción significativa de perfiles de personalidad y de movimiento de
prácticamente todos los ciudadanos, aumenta el riesgo de los ciudadanos
a estar expuestos a mayores y posteriores investigaciones, sin ni siquiera
el motivo para el que se ha dado el uso, y evoca un sentimiento de vaga
amenaza que puede afectar a un ejercicio imparcial de los derechos
fundamentales en muchos ámbitos”28.
Siguiendo esta esta última postura más crítica de la directiva europea,
citaremos un importante trabajo de análisis realizado por el fiscal Luis
Vázquez Seco29, quien a modo de resumen de su trabajo, expresa: “ya
desde su promulgación, desde instancias tanto privadas como
institucionales se alzaron voces poniendo de relieve aspectos de la
directiva 2006/24/CE que debían ser modificados. Con el paso del tiempo
se constató que lejos de armonizar y acercar las legislaciones de los
Estados miembros sobre la materia, provocó todo lo contrario, una
diversidad de regulaciones muy discrepantes en aspectos como el
principio de proporcionalidad, los niveles de seguridad de los datos, los
procedimientos y requisitos para su utilización, etc., que causaron otro
266
efecto no menos importante, cual es que los operadores de
telecomunicaciones, según el Estado donde prestaran sus servicios, se
veían sometidos a condiciones totalmente dispares que se traducían
fundamentalmente en el coste de los servicios ofertados, que a su vez
repercutía en los consumidores (los costes de conservar los datos 6 meses
son muy inferiores a los generados por la conservación durante 2 años). Y
lo mismo en cuanto a la eficacia de las investigaciones policiales, ya que
había Estados que permitían utilizar dichos datos para esclarecer
prácticamente cualquier delito, mientras otros los restringían a unos
pocos, por lo que según el Estado donde se encontraran almacenados los
datos, el resultado de la investigación sería muy distinto”30.
Años más tarde, tras varias declaraciones de inconstitucionalidad a lo
largo del viejo continente, finalmente la sentencia del Tribunal de Justicia
de la Unión Europea de 8 de abril de 2014, al resolver las cuestiones
prejudiciales planteadas respectivamente por la High Court of Ireland
(Irlanda) y el Verfassunsgerichtshof (Tribunal Constitucional de Austria),
terminó anulando la directiva 2006/24/CE del Parlamento Europeo, en
razón de que si bien las obligaciones de conservación y puesta a
disposición de datos sobre comunicaciones a que se refiere son necesarias
para posibilitar su utilización en la prevención, detección y persecución
de delitos graves, la considera desproporcionada, ya que pese a suponer
una injerencia de gran magnitud en los derechos fundamentales a la
privacidad y protección de datos de carácter personal, no regula
debidamente las garantías que deben servir de contrapeso a tal injerencia.
A modo de resumen, podríamos afirmar que el fundamento jurídico
principal por el cual se empezó a declarar la inconstitucionalidad de
distintas normativas europeas relacionadas a la retención de datos de
tráfico, estriba en la falta de proporcionalidad, la falta de un adecuado
equilibrio o balance entre la afectación a los derechos fundamentales que
dicha retención de datos provoca, frente a la utilidad que dichos datos
representan en las investigaciones de delitos (graves), marcada por los
insuficientes controles o requisitos que justifiquen tales avances sobre
estos derechos.
4.3. El tercer escalón: los datos de contenido
267
Hemos llegado al tercero y último escalón en nuestra construcción
jurídica, que consiste en los datos de contenido y que es, desde el punto
de vista de la afectación de los derechos, el nivel más alto de intromisión
en las garantías constitucionales.
Si bien su concepto no se encuentra definido de forma directa en la
Convención de Budapest, podremos ensayar uno a través de la
comparación con los propios datos de tráfico. Un reciente estudio sobre
“Retención y privacidad de datos”31 los compara afirmando que “al
realizar un envío por correspondencia los datos de tráfico o metadatos son
el sobre y las direcciones del remitente y destinatario, mientras que los
datos de contenido son la carta misma”. Debemos entender entonces por
datos de contenido a la comunicación en sí misma, al propio mensaje que
un emisor envía a uno o más receptores, independientemente del medio
utilizado (carta, fax, llamada telefónica, whatsapp o correo electrónico).
Es decir que ya no son datos relativos a la comunicación en sí, ya no es el
continente sino el contenido –concepto jurídico si los hay–.
No encontramos aquí discusiones sobre que nos estamos en presencia del
nivel de afectación más profunda que podría pensarse a nivel jurídico,
superando todas las barreras a la intimidad del titular, accediendo y
conociendo sus comunicaciones, donde se supone que el Estado ha
considerado indispensable, a los fines de la averiguación de la verdad de
los hechos –y que no existe otra vía menos invasiva–, la necesidad de
acceder y conocer el contenido de esas comunicaciones privadas.
Todos los derechos repasados al comenzar este artículo son afectados en
este último nivel: El derecho a la intimidad, la privacidad, el secreto de las
comunicaciones, en el fondo, todos derivados del derecho humano a la
dignidad. En consecuencia de los niveles de afectación de los derechos
que representa, no queda lugar a dudas sobre la necesidad de autorización
judicial –debidamente fundada– para poder acceder a los datos de
contenido como última categoría de información.
En la práctica y en concordancia con lo expuesto en la guía internacional
para la obtención de evidencia32, además de la necesidad de una
resolución judicial que ordene al proveedor de servicios de comunicación
aportar esta categoría de información, las empresas también solicitan que
268
exista lo que se considera causa probable, que en Estados Unidos es el
nivel mismo de exigencia jurídica que se requiere para poder –por
ejemplo– solicitar una orden de allanamiento a un domicilio.
No debe considerarse a priori que estos requisitos son un capricho de las
empresas privadas –al menos de forma genérica–, sino más bien de una
exigencia derivada de un mandato constitucional agregado en la cuarta
enmienda de la Constitución de los Estados Unidos, en el cual se afirma:
“El derecho de los habitantes de que sus personas, domicilios, papeles y
efectos se hallen a salvo de pesquisas y aprehensiones arbitrarias, será
inviolable, y no se expedirán al efecto mandamientos que no se apoyen en
un motivo verosimil, estén corroborados mediante juramento o protesta y
describan con particularidad el lugar que deba ser registrado y las personas
o cosas que han de ser detenidas o embargadas”33.
Es decir, las órdenes deben mencionar una causa probable, ratificada
mediante juramento o declaración, y deben describir minuciosamente el
lugar donde se realizará la pesquisa y los objetos que se secuestrarán.
Podría aquí el lector hacerse una nueva serie de preguntas: ¿Puede
intervenirse cualquier tipo de comunicación? ¿Existen límites a tener en
cuenta, o bien podría el Estado intervenir cualquier comunicación que
considerara pertinente? ¿Es posible emplear en un proceso penal medios
probatorios no regulados en la ley procesal? Para dar respuesta a tales
interrogantes, avanzaremos en una breve pero muy importante sección
dedicada a los principios y límites a tener en cuenta en las medidas de
investigación.
5. Principios y límites en las medidas de investigación -
Desde el punto de vista de las garantías constitucionales, la causa probable
que describíamos al finalizar la última sección aparece como una sana
exigencia sobre la necesidad de contar con la existencia de determinados
elementos o indicios, que apuntalen de forma sólida los fundamentos por
269
los cuales se hace indispensable acceder al nivel más invasivo y crítico de
información de una persona.
En esta línea, entre los principios más importantes aceptados a nivel
internacional podemos encontrar los principios de proporcionalidad,
idoneidad, excepcionalidad y necesidad. España ha comprendido la
importancia de la regulación clara de estos requisitos jurídicos, y ha
dedicado un artículo a su incorporación y descripción en la Ley de
Enjuiciamiento Criminal para el fortalecimiento de las garantías
procesales y la regulación de las medidas de investigación tecnológica34:
Art. 588 bis a: Principios rectores
1. Durante la instrucción de las causas se podrá acordar alguna de las
medidas de investigación reguladas en el presente capítulo siempre que
medie autorización judicial dictada con plena sujeción a los principios de
especialidad, idoneidad, excepcionalidad, necesidad y proporcionalidad
de la medida.
2. El principio de especialidad exige que una medida esté relacionada con
la investigación de un delito concreto. No podrán autorizarse medidas de
investigación tecnológica que tengan por objeto prevenir o descubrir
delitos o despejar sospechas sin base objetiva.
3. El principio de idoneidad servirá para definir el ámbito objetivo y
subjetivo y la duración de la medida en virtud de su utilidad.
4. En aplicación de los principios de excepcionalidad y necesidad sólo
podrá acordarse la medida:
a) cuando no estén a disposición de la investigación, en atención a sus
características, otras medidas menos gravosas para los derechos
fundamentales del investigado o encausado e igualmente útiles para el
esclarecimiento del hecho, o
270
b) cuando el descubrimiento o la comprobación del hecho investigado, la
determinación de su autor o autores, la averiguación de su paradero, o la
localización de los efectos del delito se vea gravemente dificultada sin el
recurso a esta medida.
5. Las medidas de investigación reguladas en este capítulo sólo se
reputarán proporcionadas cuando, tomadas en consideración todas las
circunstancias del caso, el sacrificio de los derechos e intereses afectados
no sea superior al beneficio que de su adopción resulte para el interés
público y de terceros. Para la ponderación de los intereses en conflicto, la
valoración del interés público se basará en la gravedad del hecho, su
trascendencia social o el ámbito tecnológico de producción, la intensidad
de los indicios existentes y la relevancia del resultado perseguido con la
restricción del derecho.
Si bien todos los principios tienen su radical importancia, por cuestiones
de espacio abordaremos sólo el principio de proporcionalidad, que de
acuerdo a nuestra consideración quizá sea el que observamos más
aplicable a la luz de lo que se pretende abordar en este artículo.
De acuerdo al Dr. Cianciardo35, este principio de proporcionalidad
supone el ejercicio razonable del poder político que desde una perspectiva
constitucional pretende resguardar las libertades fundamentales
atendiendo a que la intervención pública que se ejecuta sea idónea,
indispensable y proporcionada; esto es, que el medio elegido sea adecuado
al fin y resulte el más moderado dentro de aquellos igualmente eficaces.
No obstante el reconocimiento genérico en la exigencia del cumplimiento
de estos principios fundamentales, la normativa española citada avanza y
regula una serie de requisitos jurídicos especiales, aplicables de acuerdo a
cada una de las medidas, entre los que podemos encontrar36:
Art. 588 bis b. Solicitud de autorización judicial: Establece todos los
elementos que deberán formar parte de una solicitud de autorización
judicial para la aplicación de algunas de las medidas reguladas.
271
Art. 588 bis c. Resolución judicial: Establece el plazo que tendrá el juez
para resolver le pedido de autorización, así como todos los extremos que
deberán constar en dicha autorización (identidad de los investigados,
extensión de la medida, duración, unidad a cargo, finalidad perseguida,
entre otros).
Art. 588 bis d. Secreto: Establece que la solicitud y las actuaciones
posteriores se sustanciarán de forma separada y secreta, sin necesidad de
que se establezca expresamente el secreto.
Art. 588 bis e. Duración: Establece que la medida podrá ser prorrogada,
mediante auto motivado, por el juez competente, de oficio o previa
petición razonada del solicitante, siempre que subsistan las causas que la
motivaron.
Art. 588 bis f. Solicitud de prórroga: Establece los requisitos necesarios y
condiciones para pedir una prórroga de la medida previamente autorizada.
Art. 588 bis g. Control de la medida: Establece la obligación de mantener
informado al juez de instrucción sobre el desarrollo y resultados de la
medida.
Art. 588 bis h. Afectación de terceras personas: Establece que aun en el
caso de afectarse a terceras personas, se podrán autorizar las medidas, en
las condiciones autorizadas.
Art. 588 bis i. Utilización de la información obtenida en un procedimiento
distinto y descubrimientos casuales: Remite al art. 579 bis para establecer
qué sucede con los llamados descubrimientos casuales.
Art. 588 bis j. Cese de la medida: Establece en qué casos podrá el juez
ordenar el cese de las medidas autorizadas.
272
Art. 588 bis k. Destrucción de registros: Establece las medidas que
deberán tomarse sobre la información una vez finalizada la utilidad en la
investigación.
Como podemos observar y celebrar, España ha realizado un importante
trabajo al momento de regular, de la forma más detallada posible, los
distintos requisitos jurídicos que se consideran necesarios para
fundamentar las medidas de prueba solicitadas.
Diferente situación en materia procesal penal existe en Argentina –así
como en otros tantos países latinoamericanos–, donde aún persiste una
ausencia importante de esta clase de regulación en relación a las medidas
de investigación tecnológica.
Impecable abordaje y opinión sobre este tópico realiza el Dr. Marcos Salt
en el prólogo de un libro sobre prueba electrónica37, en el cual afirma “Es
por ello que desde hace tiempo venimos llamando la atención sobre la
urgente necesidad de analizar las implicancias jurídicas que el uso de la
tecnología informática tiene para el proceso penal. Especialmente, la
necesidad de regular en los códigos procesales penales ‘medios de prueba’
que tengan en cuenta las características especiales de las distintas formas
de evidencia digital y sus marcadas diferencias con la evidencia física.
Sólo de esta manera será posible dejar atrás la tendencia de nuestros
tribunales a utilizar acríticamente el principio de ‘libertad probatoria’ para
incorporar al proceso penal evidencia digital usando normas pensadas
para la prueba física. Resulta a esta altura evidente que la tecnología
informática aporta poderosas herramientas de investigación y prevención
del delito que difieren de manera sustancial de lo que las legislaciones
procesales vigentes en nuestro país previeron al regular los medios de
prueba tradicionales”.
Expresamos una absoluta adhesión a las palabras expresadas por el Dr.
Salt, destacando sobre todo la importancia y necesidad de una regulación
procesal penal que permita no sólo preservar a los ciudadanos de posibles
medidas abusivas por parte del Estado, sino además de evitar que bajo el
impreciso (y por lo tanto bastante flexible) principio de la libertad
273
probatoria se realicen medidas de investigación
desproporcionada, injustificada y sin controles.
de
forma
Para evitar este tipo de excesos en el uso del poder coercitivo por el
Estado, es precisamente que desde la teoría dura del derecho penal
siempre ha existido la aplicación del principio nulla coactio sine lege. Este
principio, vinculado también al principio de legalidad o de reserva, refiere
a todas aquellas actividades del Estado –entre las que se encuentra la
actividad probatoria en el marco de los procesos penales– que impliquen
una injerencia en los derechos fundamentales de los ciudadanos, y tienen
como condición de validez una autorización legal previa.
Es decir que, para poder autorizar la realización de una medida de
investigación, que afectará siempre –en mayor o menor medida– algún
derecho constitucional del ciudadano, la misma deberá estar basada o
fundamentada en alguna norma procesal penal previa que establezca, al
menos con un mínimo de regulación, las condiciones para llevar a cabo la
medida.
Mucho mejor desarrollo sobre este principio expresa el Dr. Gustavo
Bruzzone38, quien siguiendo una línea de pensamiento del ilustre profesor
Dr. Julio Maier, trabaja sobre la necesidad de elaborar una teoría general
de las medidas de coerción, que establezca mejores bases desde lo jurídico
para trabajar sobre la pertinencia o proporcionalidad de algunas medidas.
En este contexto, Bruzzone explica que al momento de imponerse una
medida de coerción se debería seguir un procedimiento similar al que
utilizamos para concluir en la imposición de una pena o una medida de
seguridad. Así como hablamos de una tipicidad penal, también
deberíamos comenzar a pensar en la existencia de determinados
presupuestos que permitan hablar de una “tipicidad procesal” o, más
precisamente, de los tipos de las medidas de coerción. Un riesgo latente,
explica Bruzzone, es la facilidad para confundir los medios de prueba en
general con medidas de coerción a través de las cuales se puede incorporar
elementos de prueba. En relación a los medios de prueba, en Argentina
tenemos un sistema abierto, toda vez que se encuentra reconocido el
principio de libertad probatoria. Como explica el autor, “Si bien existe
numerus apertus en materia probatoria, no ocurre lo mismo con las
274
medidas de coerción que suponen la incoporación de pruebas, de aquellas
que sólo tienden a la obtención de los fines del proceso y que, sólo en
forma mediata, responden a una finalidad probatoria”.
A nuestro criterio –y como anteriormente ya expresaba el Dr. Salt–, la
advertencia realizada es de extrema importancia, toda vez que suele
pensarse que el principio de libertad probatoria funciona como una especie
de comodín que habilita a llevar adelante cualquier tipo de diligencia
investigativa (medidas de coerción o de injerencia), que como ya hemos
afirmado suponen –salvo casos ya explicados en la base de nuestra
escalera– una afectación directa en contra de una garantía o de un derecho.
En un informe de 2018 dedicado a la regulación en cibercrimen publicado
por la Comisión de Prevención del Crimen y Justicia Criminal de
Naciones Unidas39, se puede observar las diferencias existentes entre los
avances en la regulación penal de fondo en cibercrimen, sobre la
regulación de los aspectos procesales penales.
De acuerdo a este informe, “la legislación específica, consistente con los
requisitos de los derechos humanos y el Estado de derecho, es la base para
las acciones de justicia criminal sobre cibercrimen y evidencia electrónica.
Muchos gobiernos de todo el mundo han emprendido reformas legales
durante los últimos cinco años, utilizando muchas veces la Convención de
Budapest sobre Ciberdelincuencia como una guía. La aprobación de
legislación sustantiva para tipificar como delito los delitos contra las
computadoras y por medio de computadoras, así como la regulación de
las facultades procesales para permitir la recopilación de pruebas
electrónicas, suele ser el punto de partida para construir las capacidades
de desarrollo. Se observa un progreso mensurable y se pueden extraer
lecciones importantes de esta experiencia”.
Ese progreso mensurable está basado en unas estadísticas que han
realizado en relación al avance en los distintos continentes sobre la
regulación penal en cibercrimen, tanto sobre derecho penal sustantivo
como sobre las reglas de derecho procesal penal aplicables a la evidencia
electrónica o digital.
275
Comparativamente, en estadísticas relacionadas al nivel de
normativización entre la regulación del derecho penal de fondo y el
derecho penal de forma, aquellas del primer grupo siempre son superiores
a las segundas, toda vez que es normal que en el proceso de regulación
primero se priorice la tipificación penal de la acción considerada
delictuosa, y posteriormente (y a veces demasiado posteriormente) se
piensa en las regulaciones de ajuste o adaptación de las normas procesales
penales necesarias para avanzar en la ejecución práctica de esas
investigaciones penales que permitan combatir los delitos anteriormente
tipificados.
Si bien el estudio es mucho más complejo, a los fines de este artículo sólo
citaremos los datos publicados en relación a las normativas
procedimentales sobre la evidencia electrónica, donde es posible observar
que los países americanos se encuentran en tercer lugar sobre los 5
continentes, siendo Europa la referencia con los países de mayor
desarrollo.
Como aspecto positivo, destacamos que es motivo de celebración el
avance general en las regulaciones de materia procesal relativas a la
evidencia electrónica, que es observable en todos los continentes al
comparar los estudios de 2013 y 2018.
A modo de cierre de esta sección, y como hemos adelantado en varias
oportunidades, nuestra postura adhiere a la necesidad (en Argentina) de
una adecuada regulación sobre el aspecto procesal penal, que establezca –
similar al modelo español y de otros países– por un lado las distintas
medidas de investigación con las que el fiscal y las fuerzas de seguridad
pueden contar, y por el otro, con el mayor nivel de detalle posible, los
requisitos y límites jurídicos que deberán aplicarse para la autorización y
ejecución de dichas medidas.
6. Medidas o técnicas de investigación tecnológica -
Dedicaremos la parte final de este artículo a realizar una descripción de
diferentes medidas y técnicas de investigación tecnológica que
actualmente son utilizadas, estableciendo sus relaciones con su posible
276
afectación de derechos y garantías constitucionales, de acuerdo a los
criterios jurídicos previamente desarrollados.
Desde un punto de vista metodológico, realizaremos sólo una breve
descripción de la técnica o medida de investigación en sí, categorizando
dicha medida de acuerdo al tipo o clase de información a la que es posible
acceder como resultado de su ejecución.
Entre otras consideraciones, debemos advertir que abordaremos un listado
de técnicas y medidas de investigación tecnológica genérica,
independientemente de si existe o no una adecuada regulación jurídica
para la misma, lo cual nos obligaría a analizar la normativa de un país en
particular, perdiéndose la generalidad buscada en el artículo. Tampoco
abordaremos en el análisis la necesidad o no de autorización judicial,
aspecto jurídico cuya discusión también ya ha sido abordada en este
trabajo.
En general, intentaremos concentrarnos en la medida de investigación,
que es en definitiva la que deberá solicitar el fiscal o juez competente en
el marco de una causa determinada. Sin embargo, en algunos casos,
indicaremos la técnica utilizada (que es como muchos lectores podrán
reconocer la medida en sí). El ejemplo claro es, en el caso de la realización
de OSINT40 (técnica de investigación sobre fuentes abiertas), que desde
el punto de vista jurídico puede encontrarse con distintos nombres, como
un informe de inteligencia criminal, investigación preliminar o
preparatoria, etc.
A modo preliminar, y desde un punto de vista teórico, es posible realizar
un agrupamiento de las medidas o técnicas de investigación tecnológica,
identificando aquellas que tienen por objetivo la identificación del
delincuente, sobre aquellas cuyo objetivo principal es la obtención de
evidencia útil para la imputación del delito. Sin embargo, a los fines
buscados, listaremos a todas juntas independientemente de la finalidad
buscada, que en última instancia su funcionalidad dependerá del caso
concreto.
277
Con finalidad pedagógica de repaso sobre los aspectos ya analizados, y
con la intención de aportar un elemento gráfico que sea de utilidad al lector
para intentar resumir los niveles de afectación de los derechos de acuerdo
al tipo información accedida a través de las medidas de investigación
tecnológica, brindamos el siguiente gráfico y tabla comparativa, con la
clasificación que utilizaremos para esta etapa final del trabajo.
Categorías de información:
Nivel 0 – Datos de acceso público e irrestricto
Nivel 1 – Datos de abonado o de identificación
Nivel 2 – Datos de tráfico o transaccionales
Nivel 3 – Datos de contenido
Con respecto a la aplicación práctica de las categorías y a modo de
ejemplo, supongamos el abordaje de la clásica medida de intervención de
comunicaciones telefónicas, la misma será de categoría 3, toda vez que el
resultado de la medida será el acceso a las conversaciones que la persona
investigada tenga con terceros, siendo estos claramente datos de
contenido.
Sin embargo, no en todas las medidas será tan simple su categorización,
ya que en algunos casos podrá ser de categorías mixtas o compartidas. Por
ejemplo, ante el caso de la intervención de comunicaciones electrónicas,
sería posible a través de un ataque “Man in the Middle” (MiM), capturar
los paquetes que circulan por la red. Ahora bien, en el caso de que las
comunicaciones se encuentren cifradas (por ejemplo un chat de
Whatsapp), no será posible acceder a su contenido, pero sí a parte de sus
datos de tráfico. En cambio, en esa misma captura, sobre comunicación
efectuada por un protocolo sin cifrar, será posible acceder a todo su
contenido en texto plano. En conclusión, en este caso práctico, la
categorización podría ser compartida en los niveles 2 y 3.
278
Sin más preámbulos, a continuación listamos las medidas y técnicas de
investigación tecnológicas, con su breve descripción y la categorización
en la afectación de derechos de acuerdo a nuestro criterio, buscando
organizarlas desde las menos invasivas hasta aquellas que más injerencia
provocan sobre los derechos del sujeto investigado.
6.1. Inteligencia de fuentes abiertas (OSINT)
Descripción: Las técnicas de investigación en fuentes abiertas son cada
vez más utilizadas en todo tipo de investigación, basado en que las
personas voluntariamente hacen públicos cada vez más aspectos de su
vida privada. Esta técnica se concentra en la identificación, recolección,
procesamiento y entrega de información sobre un determinado objetivo
(en nuestro caso, una persona), utilizando fuentes de información abierta
(buscadores de internet, redes sociales, foros, etc).
Categoría de información obtenida: Nivel 0 – Datos de acceso público o
irrestricto
Nivel de afectación de derechos: Nulo
6.2. Ciberpatrullaje
Descripción: Esta medida de investigación consiste en el acceso, análisis
y procesamiento masivo de información pública disponible en internet,
buscando detectar comportamientos criminales en línea que, en caso de
reunirse algunos indicios o elementos, podrían dar lugar al inicio de una
investigación penal concreta. De todas las medidas listadas, esta es la
única que no refiere a la investigación de un delito concreto, sino que es
una actividad de prevención que suele ser cada vez más realizada por
distintas fuerzas alrededor del mundo41.
279
La diferencia entre el ciberpatrullaje y el agente encubierto digital (otras
de las medidas listadas) es que en este último la fuerza de seguridad que
oculta su identidad lo hace con un objetivo concreto –la obtención de
información útil para una investigación ya en curso–. En cambio, en el
ciberpatrullaje es una etapa previa, donde ni siquiera es necesario ocultar
la identidad del agente de seguridad, toda vez que estamos ante casos cuya
exposición pública (sin límites de privacidad) permite un acceso irrestricto
a la información por cualquier usuario.
Se diferencia también de la inteligencia sobre fuentes abiertas, que allí
también suele utilizarse para casos ya en curso (si bien puede ser etapa
preliminar) donde ya existió una notitia criminis sobre el hecho que se está
intentando averiguar.
Categoría de información obtenida: Nivel 0 – Datos de acceso público o
irrestricto
Nivel de afectación de derechos: Nulo
6.3. Identificación por huella digital (browser fingerprinting)
Descripción: Esta técnica consiste en la recolección, procesamiento y
análisis de un conjunto de información pública que expone un sistema
determinado al conectarse a un servidor controlado (sistema operativo,
versión, navegador, plugins instalados, fuentes instaladas, resolución de
pantalla, entre otros). La técnica (usualmente conocida por el
funcionamiento de las cookies) consiste en el agrupamiento de este
conjunto de datos, generando una “huella digital” de dicho usuario, que
podrá ser de utilidad para determinar la identificación –con cierto nivel de
precisión– de un usuario.
Esta tecnología es de uso cotidiano por distintos portales y servicios web,
para identificar a un usuario y observar su comportamiento en línea, para
posteriormente poder “ajustar” el servicio a sus preferencias. Es decir,
permitiría identificar a un mismo usuario, aunque el mismo cambiara de
dirección IP cada 5 minutos. Hace años que desde la Electronic Frontier
280
Foundation (EFF), a través del proyecto Panopticlick42, advierten sobre
los peligros de la utilización de este tipo de técnicas de identificación de
usuarios por empresas privadas (uso comercial).
De acuerdo con un estudio realizado por la EFF43, en los navegadores
compatibles con Flash o Java, es posible que en promedio se recolecte al
menos 18.8 bits de información de identificación, logrando un porcentaje
de exactitud en la identificación del 94,2%.
Categoría de información obtenida: Nivel 0 y 1 – Datos de acceso público
y datos de identificación o abonado
Nivel de afectación de derechos: Bajo
6.4. Acceso y análisis de datos identificatorios provistos por CSP
Descripción: Esta medida consiste en el acceso, análisis y procesamiento
de datos de personales de un usuario determinado, que permitiría como
resultado obtener la identificación de la persona –en principio– detrás del
servicio utilizado –o de la conexión a la red–. Remitimos al desarrollo
sobre el primer escalón realizado en este trabajo, referente a datos de
identificación o de abonado.
A diferencia de otras técnicas de investigación, el acceso a este tipo de
información requiere la colaboración y cooperación de la empresa
proveedora del servicio (CSP tales como Facebook, Google, o un ISP
local, entre otros).
Categoría de información obtenida: Nivel 1 – Datos identificatorios o de
abonado
Nivel de afectación de derechos: Bajo
281
6.5. Acceso y análisis de datos provistos por fuentes cerradas
Descripción: Esta medida consiste en el acceso, análisis y procesamiento
de datos (personales o no) de un usuario determinado, a través de la
consulta a fuentes cerradas (de acceso restringido), que permitiría obtener
la identificación de la persona.
A diferencia de la medida anterior, donde se solicitaba a una empresa los
datos identificatorios de un cliente o usuario de un servicio o plataforma
(como un servicio de Internet, Facebook, etc.), en este caso la medida está
dirigida a otras fuentes de información cerradas, en cuyas bases de datos
puede existir información de interés que haga al sujeto investigado
determinable (a través del cruzamiento de datos).
Ejemplos de ello serían consultas aportando el rostro de una persona sobre
un sistema que permite reconocimiento facial, consultas a un servicio de
taxis sobre los domicilios relacionados con un determinado número de
teléfono, consultar el tipo y cantidad de medicación consumida por un
cliente a un servicio de farmacias, etc.
Categoría de información obtenida: Nivel 1 – Datos identificatorios o de
abonado
Nivel de afectación de derechos: Bajo
6.6. Acceso y análisis de datos de tráfico
Descripción: Esta medida consiste en el acceso, análisis y procesamiento
de datos de tráfico de una comunicación electrónica, que permitiría como
resultado obtener información de interés para una investigación. Entre
ellos podrían ser sitios web visitados, personas con las que tuvo más
comunicación por chat, en qué momento del día realizaba sus llamadas
telefónicas, qué duración tuvieron las llamadas, entre otros datos de
interés que pueden obtenerse de un adecuado análisis de esta categoría de
datos.
282
El acceso a los datos de tráfico de una comunicación electrónica podrá ser
brindado por la empresa proveedora del servicio de comunicación, o bien
podría ser obtenido de forma “artesanal” por las fuerzas de seguridad a
partir de la ejecución de técnicas de intevención de comunicaciones
electrónicas –adaptadas a este tipo de datos–.
Categoría de información obtenida: Nivel 2 – Datos de tráfico o
transaccionales
Nivel de afectación de derechos: Medio – Alto
6.7. Acceso y análisis de comunicaciones electrónicas
Descripción: Esta medida consiste en la clásica intervención de las
comunicaciones, que podrá realizarse por intermedio de un proveedor de
servicios de comunicación, como una empresa telefónica o ISP, así como
de forma directa por las fuerzas de seguridad.
Vale destacar que desde un punto de vista técnico, es posible que las
comunicaciones capturadas en la red intervenida se encuentren cifradas –
por ejemplo, una llamada por whatsapp–, obstaculizando el acceso a los
contenidos de la comunicación en sí (en esos casos solamente habría
acceso a datos de tráfico). En el caso de comunicaciones no cifradas (como
las llamadas tradicionales), es posible el pleno acceso a los contenidos del
mensaje transmitido por la red.
Categoría de información obtenida: Nivel 2 y 3 – Datos de tráfico y de
contenido
Nivel de afectación de derechos: Alto
6.8. Agente encubierto informático o digital
283
Descripción: Esta medida consiste en la utilización, a través de medios
electrónicos, de una identidad supuesta para poder entrar en el ámbito de
confianza del sujeto investigado, y desde la cuál se busca obtener
información de interés para una causa previamente determinada44.
La justificación de este tipo de medidas, en muchos casos, se relaciona
con el nivel de resguardos técnicos que tiene el ciberdelincuente para
ocultar su identidad y ubicación, por lo que esta figura puede volverse de
importancia para conseguir información de utilidad referente a su
identificación, o bien que permita acreditar la comisión de uno o más
delitos por el sujeto investigado.
Más allá de los aspectos técnicos sobre el ocultamiento de la identidad, el
agente encargado de dicha tarea generalmente utiliza técnicas de
“ingeniería social”45 para lograr engañar a la persona investigada y
obtener así la información que se necesita para la investigación.
Categoría de información obtenida: Nivel 3 – Datos de contenido
Nivel de afectación de derechos: Alto
6.9. Registro de dispositivos de almacenamiento masivo
Descripción: Esta medida consiste en la autorización, en el marco de un
allanamiento a un domicilio (registro domiciliario), para acceder a realizar
el registro (acceso a los datos) de los dispositivos de almacenamiento
masivos que se encontraren en el lugar.
Es decir, permitiría lo que en la práctica se denomina “recolección de
evidencia en caliente”, independientemente de la posibilidad de secuestro
de los dispositivos, a fin de que dicha recolección (y posterior análisis) se
haga en un laboratorio forense.
284
Puede ser una medida de utilizada para casos en que, por la volatilidad de
la evidencia digital, al momento del allanamiento el agente de seguridad
se encuentre con una oportunidad única en relación a la obtención de
información de interés para la causa (por ejemplo, porque de secuestrarse
los dispositivos estos se encontraran cifrados, o bien el equipo encendido
permitiera el acceso a información en la nube).
Categoría de información obtenida: Nivel 3 – Datos de contenido
Nivel de afectación de derechos: Alto
6.10. Registro remoto sobre equipos informáticos
Descripción: Esta medida consiste en la utilización de datos de
identificación (credenciales), así como en la instalación de software
especializado, que permita de forma remota y telemática el examen a
distancia y sin conocimiento de su titular del contenido de un sistema
informático.
De todas las medidas y técnicas de investigación tecnológica,
probablemente esta sea la más agresiva y peligrosa, por lo que en muchos
países46 su regulación aún se encuentra en debate.
La justificación de una medida de este nivel de injerencia puede estar
fundada en motivos similares a los citados para el registro de dispositivos
de almacenamiento masivo.
Categoría de información obtenida: Nivel 3 – Datos de contenido
Nivel de afectación de derechos: Alto
285
A modo de resumen del listado realizado, acompañamos la siguiente tabla
con la enumeración de las medidas y técnicas de investigación
tecnológica, organizadas de acuerdo al nivel de afectación de derechos.
286
7. Conclusiones -
Queda de manifiesto que la evolución de los ciberdelincuentes hace
necesaria una rápida y ágil adaptación de las formas de investigación
utilizadas por las fuerzas de seguridad encargadas de la identificación y
persecución de los ciberdelincuentes.
Como hemos observado a lo largo de este trabajo, la mayoría de las
medidas y técnicas de investigación tecnológica afectan en mayor o menor
medida derechos y garantías consagrados constitucionalmente.
Consideramos de importancia destacar la peligrosidad de permanecer en
un sistemas penal con nula o escasa regulación sobre las medidas de
investigación a través de la tecnología informática, donde a través de una
exagerada y abusiva flexibilización del principio de la “libertad
probatoria” se justifica la incorporación de elementos de evidencia digital
sin que los mismos sean constrastados por un mínimo de controles y
principios en resguardo de los derechos del sujeto investigado.
287
Nuestra postura adhiere a la de otros autores con respecto a la necesidad
de visibilizar y avanzar sobre una adecuada regulación del aspecto
procesal penal, que establezca una adecuada regulación de los medios de
prueba adaptados al escenario digital o electrónico, que permitan a los
funcionarios a cargo de la investigación contar con una adecuada “carta”
de opciones al momento de solicitar una medida.
En segundo lugar, y no por eso menos importante, cabe destacar la
necesidad de regulación, con el mayor nivel de detalle y minuciosidad
posible, de los requisitos jurídicos necesarios para solicitar cada una de
las medidas probatorias, así como los límites técnicos y jurídicos que
deberán observarse al momento de su ejecución.
Notas 1 Fumis, Federico, “La utilización de modernas tecnologías en la
persecución penal: su utilidad en la búsqueda de mayores índices”, en
REDI: Revista Electrónica de Derecho Informático, nº 44.
2 Sentencia del Tribunal Constitucional 123/2002, de 20 de mayo.
3
Sentencia
del
Tribunal
Constitucional
114/1984.
4 Sentencia del Tribunal Europeo de Derechos Humanos de 2 de agosto
de
1984
(caso
Malone).
5 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de
27 de abril de 2016, relativo a la protección de las personas físicas en lo
que respecta al tratamiento de datos personales y a la libre circulación de
estos datos y por el que se deroga la directiva 95/46/CE (Reglamento
general de protección de datos) (Texto pertinente a efectos del EEE).
6 Sentencia nº 204/2016 de TS, Sala 2ª, de lo Penal, 10 de marzo de 2016.
7 “Halabi, Ernesto c/ P.E.N. - ley 25.873 - dto. 1563/04 s/ amparo ley
16.986”.
8 “Bejarano, Alexis s/recurso de casación”, Sala IV de la Cámara Federal
288
de
Casación
Penal,
Argentina.
9 Convenio de Ciberdelincuencia del Consejo de Europa de Budapest, de
23
de
noviembre
de
2001.
10 Guide to Obtaining Communication Service Provider Evidence from
the
United
States,
United
Nations,
www.un.org.
11 CSP: Communication Service Provider (Proveedor de Servicios de
Comunicación).
12 ISP: Internet Service Provider (Proveedor de Servicio de Internet).
13 Art. 2 de la ley 25.326 de Protección de Datos Personales en Argentina.
14 AGPD: Agencia de Protección de Datos Española, Carácter de dato
personal de la dirección IP. Informe 327/2003, www.agpd.es.
15 “Ministerio Público –Fiscalía de Cámara Norte de la CABA– s/queja
por recurso de inconstitucionalidad denegado en ‘A., C. sinfr. art. 128.2,
párr.
2°,
CP’”.
16 Ley 2303/07, Código Procesal Penal de la Ciudad Autónoma de
Buenos Aires, art. 93: “A fin de desarrollar la investigación preparatoria
el/la Fiscal podrá citar a testigos, requerir los informes y peritajes que
estime pertinentes y útiles, practicar las inspecciones de lugares y cosas,
disponer o requerir secuestro de elementos y todas las medidas que
considere necesarias para el ejercicio de sus funciones. Deberá solicitar
orden judicial para practicar allanamientos, requisas o interceptaciones de
comunicaciones o correspondencia”, www.bue nosaire s.gob.ar.
17 Convenio de Ciberdelincuencia del Consejo de Europa de Budapest,
de
23
de
noviembre
de
2001.
18
Ibídem.
19 Calvo López, David, “Capacidades de actuación del Ministerio Público
Fiscal y la Policía Judicial tras la reforma procesal operada por la Ley
Orgánica 13/2015”, Jornadas de Especialistas celebradas en el Centro de
Estudios Jurídicos de Madrid, 16 y 17 de febrero de 2017.
20 Art. 8 del Convenio para la Protección de los Derechos Humanos y de
las libertades fundamentales: “Derecho al respeto a la vida privada y
familiar. 1. Toda persona tiene derecho al respeto de su vida privada y
familiar, de su domicilio y de su correspondencia. 2. No podrá haber
injerencia de la autoridad pública en el ejercicio de este derecho, sino en
tanto en cuanto esta injerencia esté prevista por la ley y constituya una
medida que, en una sociedad democrática, sea necesaria para la seguridad
nacional, la seguridad pública, el bienestar económico del país, la defensa
del orden y la prevención del delito, la protección de la salud o de la moral,
o la protección de los derechos y las libertades de los demás”.
21 Fiscalía General del Estado (España), circular 1/2013 sobre pautas en
relación con la diligencia de intervención de las comunicaciones
289
telefónicas.
www.fiscal.es.
22 Sentencia nº 247/2010 de TS, Sala 2ª de lo Penal, 18 de marzo de 2010,
fallo
completo:
https://supremo.vlex.es.
23
Ídem,
p.
16.
24 Directiva 2006/24/CE, de 15 de marzo de 2006, sobre la conservación
de datos generados o tratados en relación con la prestación de servicios de
comunicaciones electrónicas de acceso público o de redes públicas de
comunicaciones y por la que se modifica la directiva 2002/58/CE.
https://eur-lex-europa-eu.ebook.21.edu.ar
25 “Alemania prohíbe la retención de datos telefónicos y de internet”,
www.libertaddigital.com.
26 BverfG, 1 BvR 370/07, de 27 de febrero de 2008.
27 BVerfG, 1 BvR 256/08, que resuelve los procesos BvR 256/08, 263/08
y
586/08.
28 Ortiz Pradillo, Juan Carlos, “La investigación del delito en la era
digital: Los derechos fundamentales frente a las nuevas medidas
tecnológicas de investigación”, Estudios de Progreso, Fundación
Alternatives,
www.falternativas.net.
29 El Dr. Luis Vázquez Seco es fiscal delegado de Criminalidad
Informática en la Fiscalía Provincial de La Coruña, España.
30 Vázquez Seco, Luis, “Retención obligatoria de datos de tráfico de las
comunicaciones telefónicas y/o electrónicas. Análisis de la sentencia del
tribunal de justicia de la unión europea de 8 de abril de 2014 en los asuntos
acumulados c-293/12 y c594/12 (Digital Rights Ireland y Seitlinger y
otros),
www.fiscal.es.
31 The Social Engineering Unit, “Retención y privacidad de datos:
algunas lecciones derivadas de las diversas prácticas internacionales”,
http://the-siu.net.
32
Ídem,
p.
12.
33 Texto extraído de la versión de la Constitución de Estados Unidos
traducida
en
www.constitutionfacts.com.
34 L.O. 13/2015, de 5 de octubre, de modificación de la Ley de
Enjuiciamiento Criminal para el fortalecimiento de las garantías
procesales y la regulación de las medidas de investigación tecnológica
(B.O.E.
de
6
de
octubre).
35 Cianciardo, Juan, El conflictivismo en los derechos fundamentales,
Eunsa,
Pamplona,
2000.
36 Para ver los textos completos de los artículos citados, remitimos al
lector a acceder a la norma L.O. 13/2015, de 5 de octubre.
37 Salt, Marcos, Prólogo al libro Vigilancia electrónica y otros modernos
medios de prueba”, de Carlos Christian Sueiro, Hammurabi, Buenos
290
Aires,
2017.
www.libreriahammurabi.com.
38 Bruzzone, Gustavo, “La nulla coactio sine lege como pauta de trabajo
en el proceso penal”, Estudios sobre Justicia Penal. Homenaje al Profesor
Julio B. J. Maier, Ed. Del Puerto, Buenos Aires, 2005.
39 Cybercrime: the state of legislation: UN Commission for Crime
Prevention and Criminal Justice, Side-event - Vienna International
Centre,
15
May
2018,
Conference
Room
M3.
40
OSINT:
Open
Source
Intelligence.
41 “Se relanzó la Policía Federal con su nueva función de
‘ciberpatrullaje’”,
Clarín,
www.clarin.com.
42
Electronic
Frontier
Foundation:
Panopticlick.
https://panopticlick.eff.org.
43 Eckersley, Peter, “How Unique Is Your Web Browser?”, Electronic
Frontier
Foundation.
https://panopticlick.eff.org.
44 Temperini, Marcelo - Macedo, Maximiliano, “Nuevas herramientas
para la investigación penal: El agente encubierto digital”, Cibercrimen,
Daniela Dupuy ed., BdeF, Montevideo-Buenos Aires, 2017.
45 Anderson, Ross, Security engineering: a guide to building dependable
distributed
systems,
Wiley,
New
York,
2008.
46 “¿Se viene el ‘troyano judicial’?”, Diario Judicial,
www.diariojudicial.com.
Material de explotación sexual infantil y la importancia de las
investigaciones en redes
Gabriela Chamorro Concha
El objetivo de este artículo es discutir sobre el desarrollo de
investigaciones en redes para desarticular redes de abusadores sexuales de
menores de edad, a partir de elementos de la cooperación internacional y
herramientas que permiten obtener/aportar información a las
investigaciones.
Como primer punto, es importante precisar la terminología utilizada.
Desde junio de 2016, INTERPOL, junto con otras organizaciones
internacionales y no gubernamentales, se reunieron para discutir lo que
resultó en la terminología de Luxemburgo1. En ella se analiza la
291
terminología empleada por diversas convenciones internacionales o
resoluciones, y busca analizar qué elementos comprenden cada uno de
estos términos. Además, recomienda la utilización de términos como
material de abuso sexual infantil, explotación sexual infantil, explotación
sexual infantil, agresores sexuales trasnacionales, en remplazo de otros
que pueden llevar a un mal entendimiento sobre el daño provocado a la
víctima, como pornografía infantil, prostitución infantil y turismo sexual
infantil.
Estos términos buscan aportar con un léxico que sea más centrado en la
víctima, desde un punto de vista de su protección y asistencia. De esta
manera, durante este artículo, se utilizará la terminología de Luxemburgo,
utilizando material de explotación sexual infantil, para referirse a
pornografía infantil.
Las investigaciones relacionadas en esta materia, debido a la naturaleza
de su problemática, son conocidas por no tener las fronteras formales, lo
que provoca un desafío para aquellos que investigan este delito. Para
mejor graficar, un niño, niña o adolescente (NNA) pudo haber sufrido
abusos en un país “A”, por un nacional de un país “B”, quien, utilizando
servidores localizados en un país “C”, compartió a través de distintos
canales de Internet videos e imágenes abusando de un menor de edad,
facilitando el acceso a consumidores de este tipo de material a usuarios
situados en los países “D”, “E”, “F”, etc. El factor transnacional de esta
figura requiere la utilización de mecanismos de cooperación internacional
a fin de lograr completar las informaciones sobre el caso. Otro factor
relacionado con las fronteras, además de la participación de diferentes
actores en distintos aspectos en la ruta de la explotación, se refiere a la
propagación de ese material.
Hoy por hoy, la accesibilidad y conectividad de los países facilitan un
tránsito rápido de este tipo de información, contribuyendo para la revictimización de NNA. En segundos, un video o imagen de contenido de
abuso sexual se distribuye alrededor de todo el mundo, comprobando la
porosidad de las fronteras físicas en un ámbito virtual.
Desde el punto de vista de la prevención, una de las alternativas para
combatir esta difusión y, por consiguiente, evitar la exposición de este
292
contenido vulnerabilizando aún más al NNA, es la lista de los peores
dominios de INTERPOL, más conocida como “IWOL List”.
Conforme a la resolución del año 2009, AG-2009-RES-05, aprobada
durante la Asamblea General de INTERPOL, recomienda que “los países
promocionen el uso de las herramientas técnicas disponibles, incluyendo
el bloqueo de páginas de internet que contienen material de abuso sexual
infantil, de manera de fortalecer la lucha de las unidades especializadas a
nivel nacional contra la diseminación de material de abuso sexual infantil
a través de internet”2. Asimismo, recomienda que “los países provean a
la Secretaría General de INTERPOL una lista actualizada de páginas de
internet que contienen material de abuso sexual infantil, de manera de
permitir las acciones apropiadas para combatirlo”3.
Como cumplimiento de esta resolución, la Unidad de Delitos contra los
Menores de INTERPOL actualiza semanalmente esa lista, que se
encuentra disponible de manera gratuita para todos los países miembros
que deseen tomar estas acciones preventivas. Su implementación requiere
una articulación a nivel nacional, ya que las empresas proveedoras de
servicios de internet de los países pueden obtener esta información por
medio de las Oficinas Centrales Nacionales de INTERPOL, localizadas
en cada país.
Una vez aplicado esto, si un usuario intenta acceder a algún dominio que
contiene material de abuso sexual infantil, no lograría acceder a esa
información. En lugar de eso, se presentaría una página de bloqueo con
un mensaje de INTERPOL informando que se está por cometer un delito.
Esto serviría como un llamado de atención, y quizás incluso podría asustar
a un usuario que está iniciando contacto con este tipo de material. Además,
y lo principal de este punto, es que evita la re-victimización y
comercialización de este material, evitando su propagación.
Por otro lado, retomando el ejemplo mencionado anteriormente, es
importante tener en claro qué tipo de consumidor de material de
explotación sexual infantil, a fin de desarrollar la metodología de
investigación, pues, dependiendo de esto, se adoptan medidas distintas en
cuanto a solicitud de cooperación, sea internacional o intersectorial
(público-privado).
293
En lo que se refiere a la tipología de usuarios, esta queda muy graficada
en una pirámide:
En la base de la pirámide se encuentran los meros espectadores. Es decir,
son aquellos usuarios que acceden a páginas de internet, sin la utilización
de muchos recursos tecnológicos para acceder a este material. Tampoco
hacen uso de recursos que garanticen su privacidad y anonimato. De esta
manera, la utilización de investigación en fuentes abiertas es muy útil para
lograr obtener información con respecto a la identidad de estos usuarios.
Asimismo, la utilización del “IWOL List”, en este sentido, también sirve
como forma de inhibir este comportamiento.
A medida que se asciende en la pirámide, se incrementa la utilización de
mecanismos que permitan el anonimato y privacidad de los usuarios,
294
pasando a la utilización de otros proxys, como redes peer-to-peer, que
permiten el intercambio de información sin la utilización de internet
superficial, como en los casos de los consumidores intermediarios, hasta
llegar a la utilización de la dark web, que garante el anonimato de sus
usuarios.
A su vez, esta escalada en la pirámide no es reflejada solamente por la
utilización de recursos más avanzados, sino que también puede indicar un
reflejo en el comportamiento. En otras palabras, aquellos usuarios que se
encuentran en el tope de la pirámide tienen mayor probabilidad de no ser
solamente usuarios, sino también productores de material de explotación
sexual infantil, ya que, mientras más restringido es el grupo, más exigente
se hacen con respecto a los miembros que participan de esta selecta red.
De esta manera, buscan material nuevo y, para eso, como requisito de
pertenencia a estos grupos privados de pedófilos, se requiere que
produzcan material para compartir con los demás miembros. Mientras más
restringido el acceso al grupo, mayor probabilidad de que sean abusadores
de menores. También, como el principal objetivo es mantener el grupo
restringido a pocos usuarios activos y con material al que nadie tiene
acceso, se intercambia mucha información sobre herramientas que
garantizan su anonimato.
También se debe tener en cuenta que, en algunos casos, aquellos
consumidores que se encuentran en la escala de “intermediarios visibles”
o “intermediarios ocultos” tienen posibilidades de llegar a la cima de la
pirámide. Esto ocurre cuando este tipo de usuario tiene acceso a un NNA
y empieza a compartir material de su producción, despertando el interés
de aquellos que están en grupos más exclusivos. Como ya se resaltó, el
interés es siempre poder contar con material nuevo, de esta manera, los
usuarios intermediarios son reclutados o ayudados por los más expertos
para que puedan escalar a niveles más exclusivos de acceso.
Con respecto a la investigación, también se requiere técnicas que permitan
acceder a esta información y lograr determinar los usuarios. Para eso, el
trabajo del agente encubierto, en aquellos países cuya legislación se
permite, es esencial para penetrar en estos grupos. En aquellos casos cuyas
legislaciones no permiten esta figura, no se deben limitar las acciones y se
debe hacer uso de las herramientas de cooperación policial internacional,
solicitando asistencia a sus pares en otros países.
295
De esta manera, y conforme a la propuesta de este artículo y ejemplos
mencionados, es necesario que los investigadores de este tipo de delitos
actúen en redes. Como ya se pudo verificar, la velocidad en que los
pedófilos comparten material, experiencias y jurisprudencia sobre
aquellos que fueron arrestados, revela una fuerte acción en red, en grupo,
cuyo principal objetivo es que todos estén actualizados e informados, a fin
de permitir la manutención de la red y, consecuentemente, poder seguir
intercambiando material de explotación sexual infantil. Los países
deberían fomentar estos mecanismos de cooperación policial
internacional, facilitando el intercambio de información y experiencias.
Esto se puede dar de distintas maneras, ya que hay países con legislaciones
y experiencias completamente diferentes. Una de ellas es que aquellos
países cuyas legislaciones permiten el trabajo de agente encubierto, una
vez que detectan información sobre usuarios de otros países deben
compartir la información con los países involucrados. A su vez, existen
países en donde se permite entrevistar al sospechoso. Estas entrevistas
pueden permitir obtener informaciones que aportan claves para
investigaciones llevadas a cabo en otros países, ya que pueden
proporcionar nombres de usuarios o detalles más personales de los
sospechosos. Otra posibilidad es que, en algunos países, la evidencia no
es analizada con perspectiva de identificación de víctimas, sin embargo,
otros países sí analizan este material, que puede contener claves relevantes
para identificar a un NNA representado en ese material. Así se tiene la
percepción de que una investigación, en lugar de concluirse, abre aristas
para otras investigaciones a nivel nacional o internacional.
Para eso, la Unidad de Delitos contra los Menores es un actor importante
para garantizar este intercambio de información. Como mencionado
anteriormente, la referida Unidad provee información que permite
acciones preventivas a nivel nacional, como la “IWOL List”. Adicional a
esto, la Unidad colabora con el desarrollo de operaciones internacionales
para combatir la explotación sexual infantil en línea, bien como ha
desarrollado un currículo de entrenamiento para policías y fiscales
relacionado con esta temática. Todavía, en complemento de esto, fomenta
el intercambio de información para combatir a los agresores sexuales
transnacionales, estimulando la utilización de las Notificaciones Verdes
de INTERPOL, que son alertas que los países emiten a los países sobre
296
aquellos ciudadanos que han cumplido sentencia relacionada con abuso
sexual infantil y han solicitado un documento de viaje, pudiendo
representar un peligro a otras sociedades.
De esta manera, la Unidad de Delitos contra los Menores de INTERPOL
promueve una visión víctimo-céntrica, enfocando sus esfuerzos en la
identificación de víctimas de abuso sexual infantil en línea. Se propone ir
más allá en las investigaciones, traspasando las investigaciones de
posesión y distribución de este material, pero llegando a los productores
y a las víctimas de estos abusos. Esta visión quedó plasmada con la
aprobación por unanimidad durante la Asamblea General de INTERPOL
en el año 2011, AG-2011-RES-08, donde se fomenta que “los países
miembros establezcan procedimientos para una recolección sistemática y
almacenamiento de todo material de abuso sexual infantil secuestrado
durante los procedimientos en sus jurisdicciones”4, a través de “la
creación de Unidades Nacionales de Identificación de Víctimas para el
análisis del material de abuso sexual infantil y la identificación de
menores de edad y agresores sexuales en sus jurisdicciones”5.
Para eso, la Unidad es administradora de la Base de Datos Internacional
de Material de Explotación Sexual Infantil de INTERPOL, de su sigla
ICSE. Esta base de datos permite realizar un análisis de todo el material
de abuso sexual infantil recolectado a nivel global, con la finalidad de
cumplir dos objetivos específicos.
El primero de ellos es evitar la duplicación de esfuerzos. Eso ocurre, ya
que una vez que se alimenta la base de datos con ese tipo de material, se
puede determinar si se trata de una investigación ya concluida en otro país,
con víctima y agresor identificados, o si se trata de material desconocido
en ICSE. Esta información es importante en el momento de priorizar las
acciones en las investigaciones realizadas, ya que, si se trata de
información ya trabajada y finalizada en otro país, no requiere ser tratada
con un nivel de urgencia, cuando hablamos de investigaciones con una
perspectiva de identificación de víctimas.
El segundo objetivo que cumple es el de servir como una herramienta que
proporciona información de inteligencia. En otras palabras, en muchas
situaciones, los usuarios de la herramienta aportan información que puede
297
o no referirse con casos de su país, pero que contribuyen con información
para investigaciones en otros países, con material adicional que aporte
más información con respecto a la víctima, ambiente del abuso, o
informaciones digitales (metadatos), que permiten definir el lugar del
abuso.
Así, ICSE busca ser una herramienta ágil, interactiva, ya que usuarios de
53 países miembros de INTERPOL, más Europol, contribuyen
activamente, alimentando la base con material de explotación sexual
infantil, resultante de sus allanamientos o actividades de monitoreo en
foros pedófilos en la dark web.
De esta manera, toda información relacionada con casos concluidos e
identificados en los países debe ser alimentada en ICSE, a fin de
comunicar a la comunidad internacional que se trata de una víctima y/o
agresor identificados en su país, por lo tanto, ya no es necesario alocar
recursos y esfuerzos para identificar a ese NNA.
Asimismo, es importante que los usuarios alimenten ICSE con todo y
cualquier material relacionado con abuso sexual infantil, a fin de poder
dedicar esfuerzos la identificación de esa víctima. Como ya se ha
mencionado anteriormente, ICSE es una plataforma interactiva entre sus
usuarios, que contribuyen de manera activa en los diferentes recursos de
comunicación que ofrece la herramienta, esto se da no necesariamente con
informaciones de casos propios, sino colaborando en otros casos,
aportando informaciones que encuentran, a fin de determinar el lugar del
abuso. Es la esencia misma de la cooperación policial internacional.
El trabajo de identificación de víctimas es necesario, primero por una
cuestión moral y de cumplimiento de los acuerdos internacionales que
buscan proteger y asistir a los niños, niñas y adolescentes. También, hoy
por hoy, la mayoría del material que se difunde sigue siendo la
representación de un menor de edad real, cuyo abuso podría seguir
ocurriendo en el momento en que se encuentra este material; existe
representación animé y similares de abuso sexual infantil, pero en su gran
mayoría seguimos identificando menores de edad reales. Además, lograr
identificar a estos niños, niñas y adolescentes que sufren/sufrieron abusos
sexuales y tuvieron material producido y compartido en internet, permite
298
ofrecerles la protección y asistencia necesarias para sacarlos de una
situación de riesgo. Finalmente, muchas veces, el llegar a la víctima
permite obtener más información relacionada con el agresor o descubrir
la existencia de más víctimas relacionadas con el mismo caso.
La Base de Datos ICSE ha sufrido varias etapas de evolución desde el año
2009, y actualmente permite no solamente el análisis de imágenes, sino
también de videos; además de las plataformas de comunicación entre sus
usuarios para casos que aún no han sido identificados. La manera en que
esta información se agrega a ICSE también ha evolucionado. Inicialmente,
todo el material era alimentado directamente desde la Secretaría General
de INTERPOL. Actualmente, y como consecuencia de la AG-2011-RES08, el acceso a la base de datos se extiende a las unidades especializadas
nacionales, a través del sistema de comunicación I-24/7. El sistema I-24/7
es el medio por el cual INTERPOL intercambia toda la información
policial, siendo protegida por medio de encriptación. El acceso a ICSE
queda restringido a los investigadores que realizan el trabajo de
identificación de víctimas.
A la fecha de esta publicación, ICSE tiene el registro de 14.000 víctimas
y 6300 agresores sexuales identificados. Estos números aún no responden
a la realidad, ya que de los 192 países miembros de INTERPOL,
solamente 53 más Europol son usuarios de la herramienta.
Es por esta razón que entre las actividades que desarrolla la Unidad de
Delitos contra Menores está la promoción del trabajo de identificación de
víctimas, organizando cursos, y el apoyo a los países miembros para la
conexión a ICSE. Así, cuando se considera el camino para la realización
de esta actividad, se puede considerar la existencia de ocho pasos, como
se demuestra a seguir:
299
El paso 1 se refiere a la comisión del hecho, seguido de su documentación
por medio de imágenes o videos que serán compartidos online. El punto 4
sería que este material fuere descubierto por la policía y procediendo a su
alimentación en ICSE. El paso 6 sería la realización del trabajo de
identificación de víctimas, que busca reunir todas las informaciones que
apuntan al posible lugar donde ocurre/ocurrió el abuso, permitiendo la
identificación del agresor y del NNA. Por fin, la etapa 8 se refiere a la
asistencia y protección prestadas al NNA y el arresto del agresor.
Adicional a sus funciones tradicionales, desde el año 2017, la referida
Unidad inició un proceso de regionalización, a fin de atender las demandas
de los países en tiempo adecuado. Hasta junio de 2017, la Unidad operaba
solamente desde la Secretaría General de INTERPOL, localizada en Lyon,
Francia. Luego de esa fecha, se iniciaron trabajos en Tailandia y Singapur,
para los países asiáticos, y en Argentina para atender a los países
latinoamericanos, contando con representantes de la Unidad en esos
países. Eso permite una atención más dedicada y respuestas más rápidas,
con respecto a los idiomas, horarios y localización geográfica. Las
representaciones regionales, además de fomentar la conexión a ICSE,
organizar entrenamientos atendiendo a las necesidades de los países,
también comparten información con los países que aún no son usuarios de
la herramienta, con la preparación de informes de identificación de
víctimas, relacionado con el material encontrado en ICSE y que apuntan
como posible país de abuso, aquellos que aúno no utilizan la base de
datos.
300
Actualmente, en América Latina, seis países se encuentran conectados a
ICSE: Argentina, Brasil, Chile, Colombia, El Salvador y Guatemala. Es
importante destacar que la conexión a esta herramienta necesaria para la
cooperación internacional requiere una articulación a nivel nacional, ya
que se propone que todo material de abuso sexual infantil detectado en el
país usuario sea alimentado a ICSE por la unidad especializada nacional
correspondiente. Para eso, se recomienda la realización de protocolos que
garanticen este cotejo en la base de datos. En contrapartida, esta Unidad
Especializada podrá extraer de ICSE toda información que se relacione
con su país como posible lugar de abuso, o en el caso de que sean víctimas
o agresores de ese país, y realizar las actividades necesarias para
judicializar e investigar el caso a nivel nacional. Adicional a esto, y
teniendo en cuenta la Resolución INTERPOL AG-2011-RES-08
anteriormente citada, se recomienda la creación de un sistema de
recolección a nivel nacional, entiéndase los esfuerzos para crear bases de
datos nacionales de material de explotación sexual infantil.
Además de estos casos puntuales relacionados con el tema, se destacan
otras fuentes que podría aportar información o resultados en este tipo de
casos. Esto es lo que se conoce como invisibilidad de la problemática.
Como ejemplo a esto, se puede mencionar el caso de desaparición de
NNA, secuestrados con fines de explotación sexual y producción de
material para su distribución y comercialización.
Otro ejemplo de potencial producción de material está relacionado con las
denuncias de abuso sexual. En estas situaciones, se recomienda el análisis
de los dispositivos del sospechoso, a fin de determinar si no produjo y
distribuyó material de abuso sexual infantil. Actualmente, se vive en una
sociedad cuyo comportamiento se encuentra fuertemente relacionado con
la utilización de nuevas tecnologías, con tendencias a registrar las
acciones en imágenes o videos que, posteriormente, podrían ser
compartidos o no.
La misma recomendación se hace cuando se arrestan a agresores sexuales
trasnacionales. El análisis de sus dispositivos permite determinar si no
hubo producción y distribución de este material. En el caso de que no
ocurra ninguno de estos factores se podría analizar a fin de verificar si
301
tiene en su posesión material de explotación sexual infantil relacionado
con víctimas de otros países compartidas por usuarios.
Por último, en los casos de fugitivos buscados por delitos de abuso sexual,
producción distribución o comercialización de material de abuso sexual,
se recomienda el secuestro de sus dispositivos y análisis del material, a fin
de determinar si produjo material relacionado con las víctimas del país
donde se encontraba en ese momento.
De esta manera, cuando se investigan casos de distribución de material de
abuso sexual infantil, se recomienda la alimentación a la Base de Datos
ICSE, a fin de poder verificar y trabajar con la información relevante,
sobre el contenido, si se trata de víctimas identificadas, a fin de confirmar
si es un caso de distribución, y eliminar de esta forma la posible
producción por parte de ese sospechoso. Eso solamente es posible si se
analiza la evidencia. De igual modo, se debe comprender qué tipo de
consumidor se investiga y en qué entorno se maneja para compartir y
adquirir este tipo de material. Cuando se propone una investigación en
redes, se refiere a obtener toda la información posible sobre otros usuarios,
comprender con quién se comunica el sospechoso y, de ser necesario,
comunicar a los países involucrados. Arrestar a un distribuidor es una
parte del trabajo, la complementariedad de identificación de los otros
usuarios que componen la red permitirá el desmantelamiento de redes de
pedófilos y, sobre todo, identificar NNA retirándolos de esta situación.
La lucha contra la explotación sexual infantil en línea será más efectiva
cuando se analiza la situación en un espectro más global, comprendiendo
la porosidad de sus fronteras y minimizando los mecanismos de
burocratización de la cooperación internacional. Para eso, la utilización de
herramientas como la Base de Datos ICSE y el apoyo de la Unidad de
Delitos contra los Menores de INTERPOL contribuyen a fin de acelerar
las comunicaciones, buscando siempre llegar a la identificación de las
víctimas de estos abusos, para que no se perpetúe esta victimización en el
tiempo.
302
Notas
1 La Terminología de Luxemburgo se encuentra disponible en las
versiones inglés, francés y español, en la siguiente dirección:
http://luxemb
our
gguidelin
es.org.
2
Interpol
Resolution,
AG-2009-RES-05.
3
Ibídem.
4
Resolución
Interpol,
AG-2011-RES-08.
5 Ibidem.
Inteligencia artificial al servicio de la justicia penal, contravencional
y de faltas
“Prometea” en el ámbito de la Ciudad de Buenos Aires
Juan G. Corvalán
Denise Ciraudo
1. Hacia una Justicia 4.0 Actualmente transitamos la llamada “Cuarta Revolución Industrial”, que
está transformando profundamente al ser humano y su entorno1. Y aunque
ya hemos atravesado tres grandes revoluciones industriales durante los
últimos tres siglos2, esta cuarta presenta varios rasgos inéditos:
aceleración exponencial y explosión de información y de datos que
aumentan radicalmente la complejidad inherente a la sociedad de la
información y del conocimiento. En estos escenarios vertiginosos, además
de hacer frente a los desafíos que nos dejó el siglo XX, se agregan los que
provienen de la era digital y de la inteligencia artificial3.
303
Cuando hablamos de innovación y de nuevas tecnologías de la
información y de la comunicación (en adelante TIC), nos referimos a que
asistimos a una época en donde se conjugan tres grandes factores
interrelacionados en relación a los datos y a la información: i) capacidad
de almacenamiento; ii) velocidad de procesamiento de los datos e
información (big data); iii) desarrollo progresivo de múltiples sistemas de
inteligencia artificial que reconocen patrones para resolver problemas y
alcanzar objetivos.
Aunque la nueva revolución industrial se caracteriza por el desarrollo de
nanotecnología, biotecnología, impresión 3D, entre otras, la inteligencia
artificial (en adelante IA) es la tecnología más determinante para
profundizar los cambios a los que asistimos. La IA es una TIC que se
sustenta en algoritmos inteligentes4 o en algoritmos de aprendizaje que,
entre muchos otros fines, se utilizan para identificar tendencias
económicas o recomendaciones personalizadas5. Un algoritmo puede ser
definido como un conjunto preciso de instrucciones6 o reglas7, o como
una serie metódica de pasos que pueden utilizarse para hacer cálculos,
resolver problemas y tomar decisiones. Con el desarrollo de estos
algoritmos inteligentes, el ser humano puede por primera vez igualar o
superar las actividades que antes sólo podían ser realizadas por nuestros
cerebros.
A través de sistemas de inteligencia artificial se tiende a reducir o eliminar
los juicios distorsionados, inexactos, las interpretaciones ilógicas o
irracionales que se verifican cuando los cerebros humanos procesan datos
e información. Se trata, en esencia, de gestionar complejidad e
incertidumbre, a partir de reducir sesgos cognitivos y optimizar el
“manejo” (reducir tiempos-costos) de los datos-información-patrones que
sustentan actividades y decisiones humanas8.
A partir de la aplicación de diversas capas de aplicación de IA, se busca
que las tecnologías permitan que los sistemas computacionales adquieran:
autodependencia,
reconfiguración
autoadaptativa,
negociación
inteligente, comportamiento de cooperación, supervivencia con
intervención humana reducida9, entre otros rasgos. Y todo esto supone la
304
utilización de diferentes técnicas que se basan en el reconocimiento de
patrones a fin de resolver problemas10.
Los sistemas de IA tienen matices en cuanto a las técnicas que utilizan. Es
importante aclarar dos cuestiones que intuitivamente se suelen pensar
cuando se analiza hasta qué punto los robots o las computadoras pueden
ser “inteligentes”. En primer lugar, se le quita mérito a la inteligencia
artificial porque se sostiene que resulta imposible reproducir el cerebro
humano en máquinas, dada su complejidad y la ausencia de datos fiables
que permitan determinar a ciencia cierta su funcionamiento integral. Este
postulado es correcto. Sin embargo, la inteligencia artificial no tiene que
parecerse al cerebro humano para realizar exitosamente ciertas
actividades. La idea central no es que estos sistemas se asemejen, imiten
o copien a un cerebro humano.
La inteligencia artificial utiliza diversos métodos para procesar la
información y resolver problemas o tomar decisiones, del mismo modo en
que los ingenieros en aviación no imitaron o copiaron el método y/o las
técnicas de aprendizaje de los pájaros para construir los aviones
modernos.
Por otro lado, aparece el fenómeno de la naturalización de los avances
tecnológicos. Estamos inmersos en un mundo de inmediatos, donde todo
cambia rápidamente. Dentro de ello, muchos avances tecnológicos en
donde está presente la inteligencia artificial quedan desacreditados por
entenderse que, intuitivamente, “no son lo suficientemente inteligentes”.
Por ejemplo, el asistente de voz del iPhone, Siri de Apple, nos da
respuestas. Sin embargo, solemos pensar que no es “tan” inteligente
porque falla a menudo, o bien porque no es capaz de reconocer lo que
expresamos, más allá de que en otros casos brinde respuestas eficientes en
menos de un segundo. Como hemos destacado en otros estudios11, lo
importante aquí es comprender que, así como el cerebro extrae,
selecciona, recorta y organiza la información disponible para tomar
decisiones, la inteligencia artificial hace lo mismo con otros métodos y a
otra velocidad. Así como existen diversos tipos de inteligencia humana,
también hay varias clases de sistemas de inteligencia artificial, que
además utilizan múltiples técnicas. Hay algunos que son trazables y otros
que no (como las redes neuronales artificiales).
305
Dentro de este mundo de posibilidades, podemos hablar de tres niveles de
complejidad o capas de innovación dentro de la inteligencia artificial. Por
un lado, encontramos a los sistemas que utilizan automatización, los que
suelen ser menos sofisticados o complejos desde el punto de vista de la
programación. Otros sistemas más complejos utilizan aprendizaje
automático para detectar patrones relevantes y, sobre esa base, tomar una
decisión o elaborar una predicción. Y, por último, están los sistemas de
inteligencia artificial más sofisticados que usan redes neuronales y pueden
autoaprender, incluso, sin supervisión humana.
2. Desafíos de aplicar inteligencia artificial en el sector público -
Para que cualquiera de estos sistemas de inteligencia artificial descriptos
puedan operar, se requiere de una materia prima básica: un flujo de datos
e información interoperables y en formato digital. Y aquí nos encontramos
con el primer gran obstáculo en el sector público. Las organizaciones
estatales no gestionan los datos y la información como Mercado Libre,
Netflix o Google. Por el contrario, en el sector público los datos y la
información (si existen) suelen aparecer dispersos, incompletos,
desconectados, o no ser interoperables. Esto implica que los documentos
que están asociados a las decisiones estatales (oficios, demandas,
proveídos, sentencias, actas de comparencia, etc.), se gestionan bajo un
paradigma obsoleto que combina tres innovaciones que estructuraron las
organizaciones burocráticas de los siglos XIX y XX. En un ejemplo: nadie
podría discutir hoy las ventajas que conlleva usar una computadora y un
procesador de texto tipo Word (paradigma 2.0), frente a los beneficios que
nos proporcionó la máquina de escribir (1.0). Implementar el ordenador
fue esencial para mejorar los sistemas burocráticos. Y aunque se han
reducido tiempos y distancias con el uso masivo de las TIC 3.0 (internet,
redes sociales, portales digitales, sistemas de gestión digitales), no se han
logrado reducir significativamente los tiempos que demanda la realización
de los documentos y el modo de vincular los datos y la información.
Veamos esto en un ejemplo concreto de esta situación: el Ministerio de
Justicia y Seguridad del Gobierno de la Ciudad ha hecho un cálculo de las
acciones que se realizan en la primera etapa de una licitación pública para
la adquisición de bienes y servicios. Así, se advirtió que la redacción de
306
pliegos, la creación del acto administrativo y la búsqueda de precios sobre
un tipo de contratación simple como “accesorios para computadoras”
implica como mínimo 10 días de trabajo, 670 clics, la apertura de 60
ventanas y copiar y pegar múltiples datos12. Con el sistema de IA que se
ha creado en la Fiscalía (Prometea), todo eso se realiza en 4 minutos, en
una sola pantalla, a través de preguntas y respuestas mediante comando
de voz (chat conversacional). La diferencia, en términos de aceleración,
eficiencia y costos, es monumental. Por eso, estos sistemas de IA tienen
el potencial de modificar radicalmente la burocracia estatal. Y mucho más
aún, cuando se trata de tareas simples, rutinarias y repetitivas dentro de la
Administración Pública; es decir, aquellas que representan un mayor
grado de automatización13.
Con este ejemplo queda claro cómo la inteligencia artificial, en sus
diferentes variantes, representa un salto exponencial para la aceleración y
transformación de la burocracia estatal. Se plantea un paradigma en el
ámbito del sector público en general que ofrece un nuevo salto evolutivo
en términos tecnológicos y que inicialmente convivirá con sus formatos
anteriores (1.0, 2.0 o 3.0). Nos referimos al paradigma 4.0, que consiste
en aplicar las tecnologías más evolucionadas y disruptivas en las tareas
diarias de las organizaciones.
3. Gobernanza de datos, flujos decisionales y árboles de decisión -
Atravesar una nueva revolución industrial nos obliga a repensar la forma
en que se organizan los poderes de los Estados, y el modo en que se debe
asegurar un desarrollo sostenible e inclusivo. Aunque los sistemas
jurídicos tienden a lograr la efectividad de los derechos14 –a partir de
promover mecanismos útiles y eficientes para su protección–15, se
requiere un profundo cambio de enfoque a partir de la irrupción de
tecnologías disruptivas. Sin embargo, el sector público no está preparado
para este paradigma 4.0, ya que toda su lógica y estructura está diseñada
para el papel, la imprenta, las oficinas. Por eso hay que rediseñar el poder
estatal a partir de nuevos enfoques, estructuras, sistemas y
procedimientos. Ahora bien, además de optimizar la gestión de los datos
y la información, el desarrollo de un sistema de inteligencia artificial,
entra en juego un actor clave en su diseño y entrenamiento. Nos referimos
a una persona o equipo de trabajo que conozca el proceso sobre el cual se
aplicará inteligencia artificial de una manera comprensiva.
307
En este punto es donde se percibe en gran medida cómo actúa la
inteligencia híbrida. Por un lado, contamos con personas expertas en el
proceso que se intenta optimizar y, por el otro, con un sistema inteligente
que toma los datos proporcionados y los transforma en resultados valiosos
en apenas unos segundos, detecta patrones, realiza predicciones, etc.
Esta interacción entre inteligencia humana, información e inteligencia
artificial es uno de los pilares para el logro de objetivos y la clave está en
repensar las estrategias para vincular los datos, la información y los
patrones de información con estos sistemas, y la de estos con la
inteligencia humana.
Por ejemplo, en este escenario vinculado a los Estados, a partir de
garantizar un flujo de datos e información interoperable al que le
aplicamos un sistema de inteligencia artificial, se puede cambiar
radicalmente la política de prevención del crimen. Actualmente existen
varios sistemas como KDE (Kernel Density Estimation), el denominado
ProMap o el sistema PredPol. Por otro lado, en el Reino Unido, se ha
implementado un proyecto que tiene por fin reducir el robo en viviendas
urbanas. Este proyecto cuenta con soporte de la empresa Accenture y
utiliza un sistema de inteligencia artificial predictivo para realizar un
“mapeo” del delito y concentrar los recursos policiales. Lo relevante del
uso de estos algoritmos inteligentes es que permiten ubicar las áreas de
una ciudad en la que se concentra el mayor riesgo de delincuencia. Por
ejemplo, utilizando los datos de enero de 2016, se pronosticó que en enero
de 2017 se iban a cometer 248 hechos delictivos. Cuando se analizó el
resultado, el sistema de IA acertó con una precisión casi perfecta:
finalmente se cometieron 268. El “oráculo artificial” sólo fallo por 20
crímenes16.
Este breve ejemplo evidencia que el flujo de datos e información es el
oxígeno de la inteligencia artificial. Es clave organizar y gestionar los
datos y establecer patrones de información a partir de la inteligencia
humana, para que luego los sistemas de inteligencia artificial puedan
optimizar o simplificar el objetivo o resultado buscado. Y esto es crucial,
cualquiera sea la complejidad de los sistemas inteligentes. Si pensamos
incluso en sistemas que incluyen sólo automatización en el ámbito del
308
sector público, las actividades son en su gran mayoría estandarizables,
aunque ciertas porciones de tareas se excluyan porque son complejas o
muy complejas. Y si se pretende iniciar un proceso de automatización y
aplicación de capas de innovación basadas en inteligencia artificial, es
clave desarrollar una adecuada gobernanza de datos, de donde se pueda
deducir cómo ellos se conectan con documentos que reflejan decisiones
humanas. Aquí, el impacto de los sistemas de inteligencia artificial se
proyectará sobre múltiples tareas que se desarrollan en el interior de las
organizaciones administrativas. Por eso, en pocos segundos o minutos, los
sistemas de inteligencia artificial permiten automatizar tareas y resolver
cuestiones que antes requerían múltiples pasos, procedimientos y fases.
4. El sistema de inteligencia artificial “Prometea” -
En el convencimiento de que el sector público no puede ser ajeno a estos
cambios, desde el año 2017, el Ministerio Público Fiscal de la Ciudad de
Buenos Aires ha comenzado a explorar las nuevas tecnologías aplicadas
al derecho y la justicia, en cumplimiento con los lineamientos de la
Planificación Estratégica 2017-201917. En virtud de ello, desde agosto de
2017, hemos desarrollado el sistema de inteligencia artificial
“Prometea”18. A grandes rasgos, Prometea es el primer sistema de
inteligencia artificial predictivo de Latinoamérica aplicado a la justicia y
en pleno funcionamiento en nuestro país. Su desarrollo se materializó en
primer término, en el ámbito de la Fiscalía General de la Ciudad de
Buenos Aires y su implementación se realizó en un tiempo récord,
trayendo resultados impensados en menos de un año19.
Bajo la técnica de lo que se conoce como aprendizaje de máquina
(machine learning) y aplicando el método de “aprendizaje supervisado”,
Prometea combina capas de innovación, automatiza resoluciones
judiciales y predice en diversas áreas, con una tasa de acierto del 96%. Es
decir, este sistema de IA optimiza exponencialmente la burocracia
judicial. Veamos con mayor detalle.
Como primer punto, utiliza el enfoque de pantalla integrada, elimina clics
y la apertura de múltiples ventanas en el ordenador. Esto permite que, en
una única pantalla, el usuario tenga a disposición todos los recursos para
realizar su trabajo.
309
En segundo lugar, funciona como un asistente virtual, a partir de un chat
conversacional o a través de comandos de voz, reconociendo el lenguaje
natural.
Como tercer punto, funciona de manera predictiva. En un promedio de 20
segundos, Prometea logra obtener la solución aplicable a un caso a partir
de ingresar solamente el número de caso a resolver. Esto lo hace en cinco
temas en la actualidad vinculados a causas que versan sobre derecho a la
vivienda, empleo público y personas con discapacidad.
5. Aplicación de inteligencia artificial en justicia penal de la Ciudad
de Buenos Aires -
Uno de los principales caracteres que tienen los sistemas de inteligencia
artificial en general se relaciona con su adaptabilidad, flexibilización y
potencialidad de escala a cualquier ámbito. Este tipo de tecnologías son
construidas “a medida”, de acuerdo a los requerimientos de cada proceso
que se quiere optimizar o cada predicción a la que se quiere arribar como
resultado.
Por poner un ejemplo, en el caso de Prometea, además de aplicarla en el
ámbito jurisdiccional, también la hemos aplicado en el ámbito de la Corte
Interamericana de Derechos Humanos, o en la Asociación de Mujeres
Juezas de la Argentina. En pocas palabras, la ductilidad del sistema es la
que permite que pueda aplicarse a cualquier organización donde se
encuentren involucrados procesos burocráticos y documentos con un
grado alto de estandarización. Relacionado al ámbito penal en la Ciudad
de Buenos Aires, podemos describir el proceso de aplicación de este
sistema de inteligencia artificial en la Fiscalía de Primera Instancia n° 12
a cargo de la Dra. Daniela Dupuy.
En esta prueba nos valimos de todas las herramientas necesarias detalladas
precedentemente. Por un lado, la inteligencia humana y un equipo de
trabajo de la Fiscalía dedicado full time a la segmentación y
estandarización de documentos; por el otro, la información y los datos, la
310
creación de árboles de decisión y flujogramas de trabajo; y por último, las
capas de innovación que proporciona Prometea.
A partir del análisis de la información, la prueba piloto se realizó sobre las
causas vinculadas a la conducción en estado de ebriedad en la Ciudad
Autónoma de Buenos Aires, tipificadas por el actual art. 114 del Código
Contravencional y de Faltas de la Ciudad de Buenos Aires, dado que
representan aproximadamente el 60% de la totalidad de casos que se
investigan en las Fiscalías de primera instancia, requiriendo por parte de
los funcionarios y empleados de dichas dependencias una gran cantidad
de horas de su trabajo.
Asimismo, otro factor determinante planteado por los expertos del proceso
tuvo que ver con que las respuestas judiciales son relativamente
estandarizadas, y más del 80% de dichas cuestiones se resuelven por
medio de una probation. Además, para generar los documentos se deben
copiar y pegar más de 80 datos (nombre y apellido, dominio del auto,
graduación alcohólica, etc.). Por sus características, este escenario resulto
ser el más propicio para la aplicación del sistema inteligente.
Una vez realizadas estas tareas, pudimos optimizar la eficiencia y agilizar
los tiempos en relación a este tipo de contravenciones a gran escala. Para
graficar esta situación basta con decir que previo al uso del sistema, 39
datos había que ingresarlos y/o copiarlos 111 veces (edad, domicilio,
marca del vehículo, etc.). Con Prometea, cada dato se extrae del sistema
o, en el peor de los casos, se carga una sola vez y el sistema lo replica
automáticamente en todas las partes del texto, según qué documento legal
aplica en cada caso. Además, el flujo decisional está diseñado en forma
concatenada, de manera tal que si trabajamos en una misma causa, el dato
ingresado en un documento es trasladado automáticamente a los
documentos siguientes. Este diseño inteligente, además de comprimir
ostensiblemente los tiempos de elaboración, reduce sustancialmente la
cantidad de errores de escritura.
El sistema Prometea en el ámbito penal se encuentra en el estadio de un
sistema de automatización con intervención humana reducida. Esto
significa que es necesario que las personas interactúen con el sistema, a
fin de completar o agregar valor a la creación de un documento. Estos
311
sistemas se aplican de esta manera por distintos motivos. Puede acontecer
que partes de un documento, requieran de actualizaciones constantes y no
hay modo de automatizar esa porción. O, a veces, es más sencillo que la
persona intervenga realizando preguntas o interacciones que podrían
retardar segundos o minutos el proceso; pero eso es más conveniente para
las otras fases del procedimiento o proceso. Cuando hablamos de
intervención humana, no nos referimos al proceso de diseño y
entrenamientos del sistema, sino a la que se necesita para generar el
documento una vez que se ha automatizado el procedimiento o proceso de
generación de documentos.
6. Aceleración exponencial. Resultados de la aplicación de inteligencia
artificial en las causas penales de la Ciudad de Buenos Aires -
Para cuantificar esta reducción de tiempos a partir del sistema de
inteligencia artificial en estos procesos, hemos realizado mediciones,
relativas a la cantidad de minutos que tarda una persona en crear cada
documento sin la intervención de Prometea, es decir, de forma manual, y
comparamos estos resultados con el tiempo que se demora en hacer la
misma tarea con la ayuda de esta inteligencia artificial.
Las conclusiones demuestran que, si consideramos un mes entero de
trabajo20, podemos decir que antes de la implementación del sistema
Prometea en ese lapso de tiempo podían llegar a resolverse 172 causas que
finalizaran en probation, 130 causas en juicio abreviado y 115 de
requerimiento a juicio.
Con Prometea, actualmente se pueden resolver 720 causas que terminan
en probation, 566 en juicio abreviado y 495 en requerimiento a juicio.
A su vez, en un escenario ideal, si se combinan sistemas de inteligencia
artificial con los sistemas de gestión digital que están en las
organizaciones, se puede acelerar exponencialmente la productividad para
realizar los múltiples documentos que sustentan vistas, pases, citaciones,
resoluciones, actas, etc., etc.21.
312
Para ejemplificar esta situación, basta con mencionar las proyecciones que
hicimos sobre estas causas penales, para el supuesto de que Prometea se
interrelacione con el sistema informático de gestión judicial con el que
trabajamos actualmente en el Ministerio Público. Según nuestras
estimaciones, si los datos de ambos sistemas fueran interoperables,
podrían resolverse en un mes un total de 6886 causas que finalicen en
probation, 5462 en juicio abreviado y 5697 en requerimiento a juicio. Los
números que hemos presentado en este apartado reflejan que una
Administración Pública 4.0 es aceleración exponencial de la burocracia
estatal.
7. Automatización que humaniza. Acelerar la justicia y resignificar el
rol del operador judicial -
Las tecnologías disruptivas, y especialmente la inteligencia artificial, son
parte cotidiana de nuestras actividades diarias. Aunque esta innovación
desencadena retos, oportunidades y múltiples desafíos, lo cierto es que se
presenta como una herramienta inédita para optimizar y simplificar los
procesos burocráticos estatales. Si logramos combinar inteligencia
artificial con inteligencia humana (inteligencia híbrida) y consolidar un
paradigma 4.0, se pueden lograr resultados asombrosos que redundarán en
beneficios concretos tanto para los ciudadanos como para los trabajadores
y funcionarios judiciales. Pero aquí la idea central no es, como podría
intuirse, reemplazar a la persona o desplazarla de su “trabajo”. Por el
contrario, y tal como se ha puesto de relieve en otro estudio22 la idea es
que las personas no tengan que dedicar tiempo valioso de su jornada
laboral para la realización de tareas mecánicas y rutinarias, sino que
puedan emplearlo para cuestiones que requieren de mayor creatividad.
Al igual que el ordenador, internet y los procesadores de texto nos
ayudaron a liberar tiempo para dedicar a otras tareas, los sistemas de
inteligencia artificial débil23 serán claves para humanizar las tareas de los
operadores judiciales y de la Administración pública y liberarán tiempo
para la resolución de problemas más complejos que no pueden ser
resueltos –al menos por ahora– por sistemas de inteligencia artificial.
En este sentido, podemos decir que la aplicación de este sistema de
inteligencia artificial es automatización que humaniza. Además de agilizar
313
los procesos, libera a las personas de realizar tareas esencialmente
rutinarias o mecánicas, para que puedan volcar su inteligencia humana a
los casos más complejos.
Por ejemplo, en el caso analizado en la Justicia penal de la Ciudad de
Buenos Aires, las causas por alcoholemia significan el 60% de las tareas
que llevan a cabo las Fiscalías de Primera Instancia, y que, a partir de la
inclusión de Prometea, son resueltas de una manera mucho más rápida y
eficaz.
Los resultados exhibidos luego de la implementación del sistema de
inteligencia artificial demuestran que una optimización exponencial de los
procesos vinculados a estas causas permite que los agentes judiciales y
Fiscales del Ministerio Público Fiscal destinen sus conocimientos y
experticia a la resolución del resto de las causas (el 40% del trabajo
restante), que resultan más complejas, ya sea por la temática –como por
ejemplo casos por ciberacoso, pornografía infantil, grooming, fraudes
informáticos, entre otros–, o por el bajo grado de estandarización que ellas
representan.
Notas -
1 Ampliar en: Comisión Económica para América Latina y el Caribe
(CEPAL), Datos, algoritmos y políticas: la redefnición del mundo digital
(LC/CMSI.6/4),
Santiago,
2018.
2 La primera vinculada al desarrollo del ferrocarril y al motor de vapor; la
segunda relacionada a la energía eléctrica y la cadena de montaje; la
tercera a partir del surgimiento de la electrónica, los ordenadores y la
tecnología de la información para automatizar la producción. Véase
Schwab, Klaus, La Cuarta Revolución Industrial, Debate, Barcelona,
2016,
pp.
20
y
21.
3 “La era digital es el resultado o el efecto de una combinación de ideas y
314
afirmaciones políticas, económicas y culturales, arraigadas en estilos
cibernéticos, que se han articulado para definir y periodizar un
determinado intervalo de la historia reciente y fabricar una visión
tecnificada del futuro. La era digital es, como todos los ‘nuevos tiempos’
y los nuevos términos que se asocian a estos, una construcción cronológica
y también cultural”. Loveless, Avril; Williamson, Ben, Nuevas
identidades de aprendizaje en la era digital, Narcea, Madrid, 2017, p. 39.
4 Ampliar en Domingos, Pedro, The master algorithm: how the quest for
the ultimate learning machine will remake our world, Basic Books, New
York, 2015, pp. 1 y ss.; Harari, Yuval Noah, Homo Deus, Debate, Buenos
Aires, 2016, pp. 99-107; Bostrom, Nick, Superinteligencia, 2ª ed., Tell,
España, 2016, p. 29, y Kurzweil, Ray, La singularidad está cerca, Lola
Books,
Berlín,
2012,
p.
302.
5 Ampliar en Palma Méndez, José; Marín Morales, Roque, Inteligencia
artificial,
Mc
Graw-Hill,
Madrid,
2011,
p.
683.
6 Véase, Deutsch, David; Ekert, Artur, “Más allá del horizonte cuántico”,
Investigación y Ciencia, Barcelona, noviembre 2012, p. 79.
7 Benítez, Raúl; Escudero, Gerard; Kanaan, Samir; Masip Rodó, David,
Inteligencia artificial avanzada, UOC, Barcelona, 2013, p. 14.
8 Véase Luhmann, N., La sociedad de la sociedad, Herder, México, 1998,
pp. 100-108; Confianza, Universidad Iberoamericana, México, 2005, p.
10; Organización y decisión, Herder, México, 2010, pp. 220-225.
9 Barrat, James, Nuestra invención final, Planeta Publishing, Madrid,
2015,
pp.
205-206.
10 Ampliar en Serrano García, Alberto, Inteligencia artificial, RC,
Madrid,
2016,
pp.
5
y
9.
11 Corvalán, Juan G., “Hacia una Administración Pública 4.0: digital y
basada
en
inteligencia
artificial”,
La
Ley,
17/8/18.
12 Fuente: Ministerio de Justicia y Seguridad del Gobierno de la Ciudad,
Dirección General de Compras, a cargo de Natalia Tanno.
13 La automatización, en definitiva, efectivamente sustituirá ciertas
actividades en el ámbito de un empleo y ello en esencia transformará la
naturaleza de los trabajos, pero estos, en sí mismos, no se encuentran en
riesgo. Que ciertas tareas se automaticen no significa indefectiblemente
que el trabajo humano sea sustituido por las máquinas, sino que existirá
una nueva configuración en la división de tareas entre ambos. Ampliar en
Cevasco, Luis J. - Corvalán, Juan G., “¿Desempleo tecnológico? El
impacto de la inteligencia artificial y la robótica en el trabajo”, La Ley,
11/7/18.
14 El art. 4 de la Convención sobre los Derechos del Niño establece que
los Estados partes “…adoptarán todas las medidas administrativas,
315
legislativas y de otra índole para dar efectividad a los derechos
reconocidos
en
la
presente
Convención”.
15 Por ejemplo, el art. 8 de la Declaración Universal de los Derechos
Humanos establece que toda persona tiene derecho a un recurso “efectivo”
ante los tribunales nacionales competentes. En consonancia, el art. 6 de la
Convención Internacional sobre la Eliminación de todas las Formas de
Discriminación Racial (aprobada por ley 17.722) habla de “recursos
efectivos”. Asimismo, el art. 11, apartado 1, del Pacto Internacional de los
Derechos Económicos, Sociales y Culturales establece que los Estados
partes “…tomarán medidas apropiadas para asegurar la efectividad de este
derecho”, aludiendo al derecho a un nivel de vida adecuado que incluye
alimentación,
vestido
y
vivienda
“adecuados”.
16
https://blog.dataiku.com/
17 Planificación Estratégica 2017-2019 aprobada por mediante resolución
FG
n°
216/17.
Disponible
en:
www.fiscalias.gob.ar.
18 El sistema y sus funciones se encuentran aprobadas por el Plan de
Trabajo 2018, aprobado por resolución FG 267/18. Disponible en:
www.fiscalias.gob.ar.
19 Ampliar en: Corvalán, Juan G., “La primera inteligencia artificial
predictiva al servicio de la Justicia: Prometea”, La Ley, 29/9/17;
“Administración Pública digital e inteligente: transformaciones en la era
de la inteligencia artificial”, Revista de Direito Econômico e
Socioambiental, Curitiba, vol. 8, nº 2, pp. 26-66, maio/ago. 2017.
20 Calculado en 22 días hábiles, a 6 horas de trabajo por día.
21 Véase arts. 38, b, y 41, inc. h, del decreto 894/2017, modificatorio del
Reglamento de la Ley de Procedimientos Administrativos.
22 Ampliar en Cevasco - Corvalán, “¿Desempleo tecnológico?…” cit.
23 Existe una distinción entre sistemas de IA débil e IA fuerte, según la
capacidad que presenten en comparación con las habilidades humanas
cognitivas. Ampliar en Kurzweil, “La singularidad está cerca”, cit., pp.
300 y ss.
Inteligencia artificial aplicada al Derecho Penal y Procesal Penal
Daniela Dupuy
El éxito genera ambición, y nuestros logros recientes impulsan ahora a la
humanidad hacia objetivos todavía
más audaces. Después de haber conseguido niveles sin precedentes de
316
prosperidad, salud y armonía, y dados
nuestros antecedentes y valores actuales, es probable que los próximos
objetivos de la humanidad sean la
inmortalidad, la felicidad y la Divinidad. Después de haber reducido la
mortalidad debida al hambre, la
enfermedad y la violencia, ahora nos dedicaremos a superar la vejez e
incluso la muerte. Y después de haber
elevado a la humanidad por encima del nivel bestial de las luchas por la
supervivencia, ahora nos dedicaremos
a ascender a los humanos a dioses, y a transformar Homo sapiens en
Homo Deus.
Yuval Noah Harari. Homo Deus
1. Introducción -
No sé si somos conscientes de lo rápido que se nos está precipitando hacia
lo desconocido. Aunque algunos expertos comienzan a familiarizarse con
los avances de la inteligencia artificial, la nanotecnología, la big data, creo
que aún nadie es realmente experto en todos esos ámbitos; es decir, nadie
hoy puede conectar todos los puntos y ver la imagen entera; ni las mentes
más brillantes son capaces de adivinar cómo podrían impactar los
descubrimientos en inteligencia artificial en la tecnología, y viceversa.
Nadie puede absorber todos los descubrimientos científicos ni procesar la
infinita información que aquellas herramientas nos brindan con tanta
precipitación y sin posibilidad de detener el sistema.
Esa es una de las razones por las que es muy importante pensar en la nueva
agenda de la humanidad: porque tenemos la posibilidad de interiorizarnos
con respecto al uso de las nuevas tecnologías. Sería lógico entonces que
entendiéramos qué está sucediendo y decidiéramos qué hacer al respecto
antes de que ellas decidan por nosotros1.
La inteligencia artificial realiza tareas que, hasta hace muy poco, sólo
podían ser realizadas por un humano con conocimiento especializado,
capacitación costosa o una licencia emitida por el gobierno.
317
Los automóviles sin conductor han sido aprobados en cuatro estados y en
el distrito de Columbia en Estados Unidos, y su inevitable llegada al
mercado de consumo puede revolucionar el transporte por carretera.
La creciente ubicuidad y el rápido crecimiento del potencial comercial de
inteligencia artificial estimularon al sector privado masivo a realizar
inversiones en proyectos de inteligencia artificial: Google, Facebook,
Amazon y Baidu han ingresado en una carrera armamentista de
inteligencia artificial, captando investigadores, creando laboratorios y
comprando nuevas empresas. Cada mes que pasa, la inteligencia artificial
se posiciona en nuevas industrias y se enreda más y más en nuestra vida
cotidiana, y esa tendencia seguramente continuará en el futuro previsible2.
¿Qué hacemos frente a esa inminente y nueva situación? ¿Cómo
utilizamos y validamos los resultados que nos ofrecen los algoritmos de
inteligencia artificial como prueba o evidencia en todas las etapas de una
investigación criminal?
Si hoy las investigaciones en entornos digitales nos enfrentan a retos
constantes a nivel técnico e internacional, ¿seremos capaces de
administrar y gestionar los nuevos procesamientos de datos sin poner en
juego el respeto por los derechos fundamentales?
El presente artículo es un simple ensayo basado en información adquirida
a partir del estudio de la problemática y el planteo de infinidad de dudas
que se me presentan, y que considero fundamental comenzar a debatir
seriamente. No es un problema a futuro: ya está instalado.
2. El mundo está dominado por algoritmos -
Un algoritmo es un conjunto metódico de pasos que pueden emplearse
para hacer cálculos, resolver problemas y abrazar decisiones. Un
algoritmo no es un cálculo concreto, sino el método que se sigue cuando
se hace el cálculo.
318
La pregunta del millón, que sólo algunos nos animamos a hacer, es ¿qué
haremos los humanos –conscientes– cuando tengamos algoritmos –no
conscientes– y muy inteligentes capaces de hacer casi todo lo que
hacemos nosotros, mejor que nosotros? Es decir, ¿qué haremos cuando los
algoritmos sean capaces de diseñar, diagnosticar, enseñar mejor que los
humanos? ¿Es el futuro…?
En la época de la revolución industrial, la gente temía que las máquinas
desplazaran a los humanos y provocaran un desempleo masivo. Sin
embargo, ello no ocurrió: a medida que algunas profesiones u oficios
quedaban obsoletos, aparecían otras actividades que los humanos podían
hacer mejor que las máquinas.
Lo cierto es que los humanos tienen capacidades físicas y capacidades
cognitivas. En ese entonces, las máquinas representaban una competencia
para el hombre en relación a las capacidades físicas, ya que los humanos
realizaban mejor la tarea cognitiva. Así, las máquinas quedaron a cargo de
las tareas manuales, mientras que los humanos podían centrarse y
dedicarse a la aplicación de las habilidades cognitivas.
¿Pero qué ocurrirá cuando los algoritmos sean mejores que nosotros para
desarrollar esas tareas que se nos han asignado luego de la revolución
industrial?
En 1980, el ajedrez representaba una prueba de la superioridad humana,
en cuanto se creía que los ordenadores nunca vencerían a los humanos en
el juego. En 1996, el Deep Blue de IBM derrotó al campeón mundial de
ajedrez, Garri Kasparov.
En 2015, un programa desarrollado por Google aprendió por su cuenta a
jugar a 49 juegos clásicos de Atari. Uno de los programadores explicó que
la única información que le dieron al sistema fueron los píxeles del bruto
de la pantalla y la orden de conseguir una puntuación alta. El programa
consiguió jugar tan bien como los humanos y aún mejor, poniendo en
práctica estrategias que los jugadores humanos no habían contemplado.
319
Es cada vez más fácil sustituir a los humanos con algoritmos informáticos,
no sólo porque los algoritmos son cada vez más inteligentes, sino también
porque los humanos se especializan.
Probablemente muchas decisiones trascendentales sobre nuestra vida
pasan por algoritmos informáticos. Por ejemplo, es posible registrar datos
biométricos incorporados a teléfonos inteligente y relojes, como la tensión
arterial y la frecuencia cardíaca. Luego, esos datos se vuelcan a programas
informáticos que nos aconsejan sobre cómo cambiar nuestras rutinas para
gozar de mejor salud. Google desarrolló, junto a una compañía
farmacéutica, una lente de contacto que comprueba cada pocos segundos
los niveles de glucosa en sangre, analizando el contenido de las lágrimas.
Microsoft lanzó al mercado una pulsera inteligente que supervisa los
latidos del corazón, la calidad del sueño, el número de pasos que la
persona da por día, etc.
¿Somos conscientes de lo que podría hacer Google teniendo acceso libre
a nuestros dispositivos biométricos, a nuestro historial médico, a nuestros
correos electrónicos y llamadas telefónicas, y a toda la información de los
magníficos algoritmos informáticos que permiten procesar nuestra big
data?
Microsoft está desarrollando un sistema llamado Cortana, que es un
asistente personal de inteligencia artificial que se incluirá en futuras
versiones de Windows. Se incentivará a que el usuario permita que
Cortana acceda a todos los archivos, correos electrónicos y aplicaciones,
a fin de conocerlo y así ofrecer consejos sobre diferentes cuestiones,
convirtiéndose en un agente virtual que represente los intereses del
usuario.
En idéntico sentido, los algoritmos de Amazon, Google y Apple nos
acompañan, nos estudian, nos recomiendan, y simplifican aspectos de
nuestra vida.
Facebook utiliza herramientas de inteligencia artificial para predecir e
identificar usuarios con tendencias suicidas y prevenir el acto3.
320
Los resultados de un estudio reciente concluyen que la inteligencia
artificial puede predecir, con un 80-90% de precisión, si alguien intentará
suicidarse dentro de dos años. Los algoritmos se vuelven aún más precisos
a medida que la pulsión suicida aumenta o el intento de suicido se acerca4.
¿Será el comienzo de un proceso por el cual nuestras tomas de decisiones
sean transferidas a los algoritmos, que nos convertiría en parte integral de
una enorme red global?
En el siglo XXI, nuestros datos personales son altamente valiosos, pero
los estamos cediendo a mecanismos para acopiar datos sobre deseos y
capacidades, y transformar esos datos en decisiones. Se los facilitamos a
los gigantes tecnológicos a cambio de servicios de redes sociales y
videojuegos.
Nos convertimos en pequeños chips dentro de un enorme sistema en el
que diariamente absorbemos innumerables bits de datos por medio de
correos electrónicos, mensajes, lectura de artículos; procesamos todos
esos datos transmitiendo nuevos bits a través de más mails en información,
generando cada vez más datos al alcance de toda la gente, lo que convierte
al sistema en un constante flujo de datos.
Actualmente, los algoritmos son desarrollados por enormes equipos, y
cada miembro de ese equipo comprende sólo una parte del rompecabezas:
nadie entiende el algoritmo en su totalidad. Cada vez hay más algoritmos
que evolucionan de manera independiente, superando sus errores.
Analizan cantidades astronómicas de datos, que ningún humano podría
abarcar, y aprenden a reconocer pautas y a adoptar estrategias que escapan
a la mente humana. El algoritmo germen podría ser desarrollado
inicialmente por humanos, pero a medida que vaya creciendo, seguirá su
propio camino e irá donde ningún humano ha ido antes, y donde ningún
humano podrá seguirlo5.
3. Predicción criminal 321
La información predictiva permite calcular la probabilidad de que una
persona cometa un delito en el futuro, lo que posibilita que las autoridades
pronostiquen el crimen, sepan dónde es probable que suceda el delito o
quién es probable que lo cometa6.
El software de predicción criminal –crime prediction tech– es utilizado
por las fuerzas de seguridad para organizar cuestiones relacionadas con la
prevención policial7.
Son programas informáticos nutridos de una enorme cantidad de datos y
variables –reportes criminales, denuncias, estadísticas, llamados de
emergencia, modus operandi, actividad criminal reciente, reportes de la
comunidad, fecha y hora de eventos de criminalidad, eventos criminales
en determinadas áreas censadas, zonas con una alta probabilidad de robos,
drogas, violencia, etc.– que, sobre la base de algoritmos de aprendizaje
automatizado, elaboran continuas predicciones en tiempo real, mostrando
a la fuerza de seguridad un mapa del delito que les permite distribuir sus
recursos y organizar la prevención en los diferentes focos de una ciudad
determinada.
Pueden también hacerlo mediante datos históricos delictivos,
antecedentes penales, archivos policiales, y noticias relevantes en Internet;
accediendo a las páginas de Facebook, Twitter, blogs, grupo de Google,
foros, sitios de activistas y grupos que incitan al odio, e identificar así a
sospechosos que podrían cometer próximas actividades terroristas o un
crimen violento, etc. Si un testigo recuerda que el perpetrador tenía un
tatuaje en su mejilla izquierda, por ejemplo, se podría acceder a los viejos
archivos de casos y a la base de datos de antecedentes penales para buscar
un sospechoso similar a través de reconocimiento facial.
El uso de la vigilancia predictiva es una tendencia creciente. Un artículo
de noticias del New York Times menciona que la policía de distintos
departamentos de Los Ángeles, Miami y Nashville, así como también las
fiscalías de Distrito en Manhattan y Filadelfia, utilizan hace tiempo la
vigilancia predictiva8.
322
Dicho eso, es claro que pueden surgir problemas serios9 con la
recopilación de una cantidad tan grande de datos: los algoritmos de
inteligencia artificial, particularmente los análisis predictivos de big data,
no están libres de sesgos, ya que los humanos que crearon el algoritmo
pueden introducir sus propios juicios.
Para comenzar, entiendo que el acceso a esa enorme cantidad de datos
debería ser evaluado y analizado bajo el alcance legal de una expectativa
razonable de privacidad, a fin de determinar si, en el caso concreto, se
requiere una orden específica emanada el juez.
Es de destacar que, si bien los algoritmos se dan a conocer, los códigos
publicados son casi siempre generales y no transparentan el resultado final
del software desarrollado para arribar a determinadas conclusiones.
En ese sentido, es de advertir que la utilización de estos sistemas
automatizados predictivos de riesgo supone varios escollos10.
En primer lugar, estos programas informáticos adquieren una masa de
información necesaria para garantizar mayor eficiencia en el resultado
buscado, razón por la cual es importante que la sociedad tome
conocimiento exacto de qué tipo de datos personales se utilizaría, a qué
efectos, y cuál será la protección en su tratamiento. El riesgo consiste en
que la suma de todos esos miles de fragmentos de datos construye una
parte íntima de la personalidad de cada persona, circunstancia que pone
en peligro la inalterabilidad de la privacidad e intimidad.
Otra de las principales preocupaciones legales y sociales que presentan
estas técnicas avanzadas de prevención es la tendencia a maximizar el
prejuicio de las fuerzas policiales sobre determinados grupos sociales.
La información predictiva en relación a la propensión a cometer delitos o
el riesgo de reincidencia de determinadas personas puede ser inexacto, y
323
el error sobre esos datos –generales– puede tener un impacto significativo
en la vida de un individuo específico.
Lo expuesto parece poner en riesgo el respeto a los derechos
fundamentales de una persona amparados por nuestra Constitución y, en
consecuencia, la adopción de innovaciones tecnológicas superadoras
debería ser compatible con las normativas vigentes en materia de
protección de datos.
En esta línea es fundamental brindar transparencia a la ciudadanía, que
deberá poder controlar cómo son utilizados sus datos personales por
empresas privadas y aparatos estatales, y para qué fines.
En consecuencia, resulta discutible concebir la utilización de la tecnología
por los Estados y fuerzas de seguridad para un patrullaje de Internet y para
la predicción o detección temprana de la ciberdelincuencia.
Los programas informáticos inteligentes, mediante un soporte de
computación avanzada, pueden patrullar Internet e identificar
jurisdicciones donde se desarrollan actividades ilícitas (distribución de
pornografía infantil, fraude informático, violación a la propiedad
intelectual, promoción del terrorismo, etc.).
No digo que son inútiles como inicio de una investigación penal. Todo lo
contrario. El problema es que su puesta en práctica hace posible la
transgresión a la privacidad de los usuarios, razón por la cual restaría un
enfoque serio de debate para profundizar sobre la transparencia de
funcionamiento de estos programas y su adaptación al ordenamiento legal
vigente.
Considero que se debe ser muy cauto y precavido en el uso de la
prevención policial. No hay duda de que si se implementa adecuadamente,
el uso de datos y el software de inteligencia artificial podrían ayudar a
mejorar los resultados del trabajo desarrollado por la policía y la seguridad
pública, pero es necesario controlar esos procesos para mitigar el poder
324
eventualmente discrecional y, de esta forma, evitar efectos adversos sobre
los derechos individuales.
Una de las más sorprendentes innovaciones del sistema de justicia
criminal de Estados Unidos en las últimas décadas ha sido la introducción
de programas de software con modelos estadísticos, que indica a jueces y
fiscales cuál es el riesgo de reincidencia que presenta un delincuente.
La predicción se vincula con un diagnóstico probable en función del
pasado y presente del condenado, que se compara con un grupo de datos
utilizando una población de similares características. Los datos que
permiten la comparación se obtienen del historial criminal del delincuente
y de un cuestionario de 137 preguntas que asigna puntos a los delincuentes
en función de los datos de los acusados, tales como sus antecedentes
policiales o penales, y datos de factores demográficos como la edad, el
sexo, la situación laboral. Las puntuaciones resultantes se basan en
probabilidades estadísticas derivadas de comportamientos de infractores
anteriores. Una puntuación baja califica a un delincuente como de “bajo
riesgo”, y podría dar lugar a una fianza más baja o a una situación de
libertad condicional. Sin embargo, una puntuación alta puede conducir a
un seguimiento más estricto.
De allí que, tal como señala Corvalán, el score de riesgo que asigna este
tipo de sistemas no predice lo que hará una persona a nivel individual. Es
decir, el puntaje que brinda es una comparación de cómo se ve de riesgoso
el individuo con relación a una población segmentada: si se obtiene un
score de 4, entonces el 60% de la población se ve como más riesgosa que
el sujeto analizado, mientras que un 30% parece menos riesgoso11.
En este sentido, el sistema COMPAS, aplicado en Estados Unidos, detecta
que una persona puede obtener un score de reincidencia de delito violento
altamente probable: si la persona es joven, desempleada, cometió su
primer delito a una edad temprana y posee un historial negativo. Y, a la
inversa, una persona mayor, aunque haya cometido un delito violento,
puede tener un score de riesgo menor12.
325
Un excelente ejemplo de cómo la ley puede tomar en cuenta la
información predictiva que pone en duda la exactitud de las predicciones
de reincidencia, es el caso State v. Loomis13, en el que el demandado
argumentó que el uso por el Tribunal de la evaluación de riesgo
COMPAS14 en la sentencia viola el derecho al debido proceso.
Así, la Corte de Wisconsin advirtió que COMPAS tiene limitaciones, y
que no puede utilizarse para determinar si el delincuente debe o no ser
encarcelado, como así tampoco puede servir para dar por probadas
circunstancias agravantes o atenuantes, ni para determinar la duración de
la condena.
Este aumento de confianza en los algoritmos de predicción se da en el
contexto de un significativo crecimiento de la población reclusa en
Estados Unidos. De 419.000 presos que tenía el país en 1983, se ha pasado
a más de 2.300.000 reclusos en 2016, lo que convierte a Estados Unidos
en el país con más presos del planeta.
Las consecuencias económicas y sociales generadas por esta situación han
llevado a los distintos estados a buscar métodos eficaces que reduzcan la
cantidad de reclusos en las cárceles.
Pennsylvania, por ejemplo, está luchando con un sistema de 50.000
presos; 2000 personas más que camas permanentes en las cárceles. El
estado gasta 2 millones de dólares al año en su sistema penal: más del 7%
del presupuesto total del estado; y la tasa de reincidencia se mantiene alta:
uno de cada tres reclusos es arrestado nuevamente o reencarcelado al año
de haber sido puesto en libertad. Estados de todo el país enfrentan
problemas similares.
Como se puede advertir, la aplicación del método estadístico dentro del
sistema judicial no está exenta de polémica, y son muchas las voces que
se alzan a favor y en contra.
Los defensores argumentan que favorece la racionalización de las
decisiones al evaluar la información relevante más eficazmente que una
326
persona. Destacan que puede reducir los niveles de encarcelamiento y los
tiempos de las penas, lo que disminuiría el gasto estatal y el daño social.
Asimismo, aseguran que el análisis de riesgo puede tener una precisión de
hasta el 70% a la hora de predecir la posibilidad de reincidencia delictiva.
No obstante, importantes investigaciones han demostrado su escepticismo
respecto a la efectividad de las evaluaciones.
En cambio, sus detractores señalan que los análisis de riesgo enmascaran
cómo el tema racial sigue presente en todas las facetas del sistema de
justicia criminal de Estados Unidos. Los críticos destacan que el algoritmo
comete errores con los acusados blancos y negros pero de formas
diferentes: los acusados negros son falsamente identificados como futuros
delincuentes casi el doble de veces que los acusados blancos, con un
énfasis desproporcionado en las personas de color.
La aplicación de estos métodos estadísticos estaba destinada
originariamente a casos de libertad condicional y libertad vigilada. Sin
embargo el alcance de estos programas es cada vez mayor, debido a la
progresiva sofisticación de los algoritmos empleados.
Los interrogantes son: ¿Es justo tomar decisiones en cada caso individual
en función de lo que delincuentes similares han hecho en el pasado? ¿Es
aceptable el uso de características que podrían estar asociadas con la raza,
la condición socioeconómica o los antecedentes penales de los padres de
una persona? ¿Cuál de las muchas herramientas disponibles es la mejor a
la hora de ser elegida si se tiene en cuenta que algunas de ellas han sido
creadas por empresas con fines de lucro y que no develan siquiera su
contenido?
¿Es correcto encerrar a alguien por un crimen que podría cometer en el
futuro?
Si bien el Departamento de Justicia de Estados Unidos ha advertido a la
Comisión de Sentencias que no confíe demasiado en los análisis de
riesgos, las distintas jurisdicciones están ansiosas por abrazar fórmulas
que les ahorren miles de millones de dólares en su sistema penitenciario.
327
Es sabido que, en la actualidad, todo lo que hacemos deja un rastro digital
que se puede analizar y utilizar. Los avances en tecnología, la expansión
de Internet y el almacenamiento en la nube han provocado que la cantidad
de datos almacenados crezca considerablemente. Ello representa un gran
reto ante una nueva realidad jurídica, donde nos centramos en cómo
analizar, capturar, recolectar, buscar, compartir, almacenar, transferir y
visualizar una gran cantidad de información, obteniendo un conocimiento
en tiempo real.
En el año 2014, la Agencia Española de Protección de Datos definió al
Big data como una gigantesca cantidad de datos digitalizados controlados
por las empresas, autoridades públicas y otras grandes organizaciones que
poseen la tecnología para realizar un análisis extenso de esos datos basado
en algoritmos. Es decir, se trata de un proceso de recolección, gestión e
inmediato análisis de grandes cantidades de datos para encontrar toda la
información oculta, patrones recurrentes o nuevas correlaciones que,
debido a su gran y complejo volumen, superan la capacidad de
procesamiento de los programas o sistemas informáticos convencionales,
que han quedado obsoletos.
Algunos sostienen que el verdadero valor del Big data se manifestará
cuando se explote la capacidad de grandes volúmenes de información para
anticipar el futuro, lo que mejorará la capacidad predictiva.
Sin embargo, como analizamos, las predicciones basadas en
probabilidades y correlación de datos pueden no ser coincidentes con la
realidad que finalmente acontezca.
De ahí que incluir el Big data en la administración de justicia y en las
investigaciones supone un gran reto, pues si bien será de gran utilidad el
procesamiento de los datos para optimizar los procesos y mejorar los
resultados, no debemos olvidar que ello requiere un tratamiento de los
datos a conciencia, tomando todos los recaudos para no transgredir la
privacidad e intimidad de los individuos, y para poder explicar la
metodología utilizada en la manipulación de los datos que pueda constituir
prueba en el marco de una investigación.
328
En ese sentido, la privacidad moderna de la información y la Ley de
Protección de Datos son insuficientes para abordar la problemática
planteada por la información predictiva.
En materia de protección de datos, vivimos en un cambio constante. Los
avances tecnológicos, si bien son beneficiosos para la sociedad de la
información y para las investigaciones penales, presentan también serios
riesgos para la protección de la vida privada.
La protección de los datos personales lleva más de medio siglo de
desarrollo en el mundo, y en América Latina tiene apenas 15 años.
Los avances del derecho comparado influyen decididamente en la región.
El año 2014 fue clave para la protección de datos personales, debido a dos
casos de mucha importancia en el viejo continente: Digital Rights
Ireland15, sobre la nulidad de la directiva europea de datos de tráfico, y el
caso Google Spain16, sobre el derecho al olvido en Internet, ambos del
Tribunal de Justicia de la Unión Europea.
Por su parte, la reglamentación europea siguió dando pasos importantes,
y ya es una realidad reflejada en dos casos del Tribunal de Justicia de la
Unión Europea17.
Los tiempos que se avecinan representan grandes desafíos para el derecho
a la protección de datos personales18.
4. Investigación y prueba: Robots en acción -
Un grupo de informáticos de la University College de Londres ha
desarrollado un algoritmo con el objetivo de evaluar evidencias legales y
medir con qué grado de acierto es capaz de arribar a la misma conclusión
que la sentencia de un juez.
329
Esta experiencia ha sido aplicada a casos reales, luego de haber enseñado
a la tecnología a comprender el lenguaje judicial que se usa habitualmente
para exponer los hechos del caso, las circunstancias en que se produjo, las
leyes que tiene que aplicar y los detalles acerca del demandante. Así, el
algoritmo trabajó sobre 584 casos reales de tortura, trato denigrante
relacionado con la privacidad de las personas, pertenecientes al Tribunal
Europeo de Derechos Humanos. Los resultados fueron sorprendentes: en
un 79% de los casos que examinó, el programa de inteligencia artificial
tomó la misma decisión que los tribunales: el algoritmo de inteligencia
artificial emitió la misma sentencia que los jueces del Tribunal Europeo
de Derechos Humanos en cuatro de cada cinco casos.
Los creadores del software no pretenden que sirva para reemplazar a
jueces o abogados, pero consideran que su herramienta podría ser valiosa
para ayudar en el proceso que determina qué casos de los miles que se
reciben deben ser atendidos con una mayor prioridad, por representar
graves violaciones de los derechos humanos, lo que permitiría que esas
personas obtuvieran justicia más rápido.
Un dilema interesante implica establecer cómo la justicia y la sociedad
deberían manejar el uso de la inteligencia artificial aplicada a los robots
en el contexto de la aplicación de la ley19 y de qué manera el sistema
judicial gestionará y validará la evidencia adquirida por robots durante la
prevención e investigación, y vislumbrar su puesta en escena en un juicio
oral público, cuando debamos explicar la metodología utilizada para
obtener esa evidencia en tiempo récord.
En esa línea, ¿serán los robots más inteligentes, rápidos y eficientes que
los oficiales humanos? Una vez que la tecnología de inteligencia artificial
se combina con un robot completamente humanoide capaz de caminar,
correr, saltar y comunicarse con los humanos, podría ser una herramienta
para hacer cumplir la ley. Por ejemplo, un robot con GPS podría obtener
datos de geolocalización, inmediatamente, para identificar la ubicación
física de un dispositivo electrónico; podría acceder a la cámara de
vigilancia pública en tiempo real; podría usar software de imágenes,
lectura de matrículas y reconocimiento facial para identificar posibles
330
sospechosos: todo en cuestión de segundos o minutos, en lugar de días o
semanas, y en comunicación directa con el fiscal que investiga.
Asimismo, la capacidad de estos programas de ejecutar una orden de
registro será seguramente muy útil para la aplicación de la ley, pues se
generará un registro digital completo de cuándo se obtiene una orden de
búsqueda, qué evidencia se recopila, y cómo se pondrán en conocimiento
del investigador los rastros digitales encontrados.
Es claro que el ahorro de tiempo sería significativo: hoy debemos esperar
días para que una empresa de telefonía celular responda a un
requerimiento, y lo cierto es que las herramientas de investigación que nos
brindará, la inteligencia artificial son muy superiores en comparación con
las que hoy poseemos en razón a los escasos y limitados recursos humanos
y/o financieros.
No hay duda de que los robots diseñados a través de programas de
inteligencia artificial interferirán en el derecho a la privacidad de los
ciudadanos con mayor frecuencia que los oficiales humanos, toda vez que
tendrán acceso a mayor cantidad de datos de los sospechosos y de terceros
en un período de tiempo más corto; pues la era de la información ha
multiplicado exponencialmente la cantidad de datos personales
producidos y recolectados anualmente.
Así, las herramientas de investigación de las fuerzas del orden han crecido
en sofisticación y pueden realizar búsquedas mucho más intrusivas entre
los papeles y efectos de los ciudadanos. La cantidad de datos capturados
en Internet a diario es inimaginable, y los investigadores criminales
pretenden aprovechar esos datos para conectar los puntos en una
investigación, y para predecir y prevenir el crimen.
Como se resaltó más arriba, varios Departamentos de Policía y Agencias
Federales de Estados Unidos ya están usando la tecnología para realizar
predicciones y análisis de contenido de diferentes bases de datos, lo que
desencadena constantes inquietudes en relación a la protección de la
Cuarta Enmienda, toda vez que el acceso a una base de datos sin límites
requiere un replanteamiento completo de la doctrina de la Cuarta
331
Enmienda, y analizar a conciencia tal intrusión para determinar si se
requiere una orden judicial20
En este sentido, el resultado obtenido de la utilización de las herramientas
inteligentes, que se traducirán muchas veces en evidencia en el marco de
una investigación, deberá ser analizado a la luz del principio de libertad
probatoria.
Es indudable que los algoritmos aplicados a los robots exigirán
supervisión e intervención humana cuando accedan a los datos.
Así, las búsquedas digitales representan una preocupación, pues las
fuerzas del orden público pueden abusar fácilmente de búsquedas abiertas,
accediendo a una cantidad enorme de datos. Desde el pasado, el requisito
de las garantías fue una solución; se identifica a un sospechoso, se
recopilan pruebas y se obtiene una orden. Sin embargo, en las
investigaciones en entornos digitales no habrá ningún sospechoso hasta
después de que el análisis de los metadatos señale a un individuo en
particular. Esta poderosa herramienta debe ser monitoreada de cerca, pero
de una manera que no obstaculice la eficiencia y la recolección de
evidencia para el éxito de la investigación.
Históricamente, la regla de exclusión ha tenido un efecto disuasorio para
estos casos21. Agentes de policía y del gobierno se mantuvieron bajo
control por temor a una demanda si se arrestaba a la persona equivocada;
y la necesidad de obtener una orden sirve como control de la acción
policial general. Es decir que la amenaza de una acción civil, sanciones
penales, despidos o suspensiones laborales, en casos de abusos flagrantes
de poder contra un ciudadano inocente o su propiedad, puede disuadir la
eventual mala conducta de agentes policiales y/o funcionarios humanos.
La pregunta es: ¿Funcionarían esos mismos elementos de disuasión en un
robot creado por algoritmos de inteligencia artificial?
Y más: Si los robots cometen violaciones constitucionales, ¿los acusados
en causas penales deben presentar sus quejas contra una máquina? ¿Contra
332
el usuario? ¿Contra los diseñadores o ingenieros informáticos que la
programaron? Otra cuestión a analizar son los diferentes estándares que
utilizarán para arrestar a las personas los robots y los oficiales humanos,
aun siguiendo las mismas leyes22. Es decir, programación vs.
discrecionalidad.
La policía decide discrecionalmente sobre cada caso concreto cuando
debe interactuar con los ciudadanos. De la misma manera los fiscales
también usan la discreción cuando deciden qué casos merecen ser
procesados y llevados a juicio23.
¿Estas estadísticas se duplicarían o triplicarían debido a una mayor
eficiencia en las técnicas de investigación? ¿Cómo gestionará y
administrará la justicia este aumento de ingresos de casos originados en
una tecnología óptima que capta sospechosos y evidencia en tiempo real
y es puesta inmediatamente a disposición de los investigadores?
¿Podrá la programación de los algoritmos diseñarse adecuadamente para
las infinitas y diversas interacciones que encontrará el robot con los
ciudadanos sospechosos de haber cometido un delito?24. La intuición
todavía está en manos de los humanos, con todas nuestras debilidades.
Como sociedad, parece que estamos buscando robots para curar nuestras
debilidades humanas, en una era de constante abuso policial, en donde es
preocupante la discreción que algunos aplican al reaccionar
negativamente en una situación que podría haber sido evitada con una
actitud más tranquila.
Sin embargo, no está nada claro que la inteligencia artificial aplicada a
robots ofrezca una solución en la aplicación de la ley.
Deviene imprescindible, entonces, trabajar a conciencia en los diseños de
aquellos programas, revisarlos, inspeccionarlos y adaptar las leyes
procesales a las nuevas tecnologías que parecen lejanas, pero que ya están
entre nosotros.
333
Veamos este caso posible en un futuro inmediato25: Un robot –Joe– y un
oficial de policía humano están de patrulla. Uno de ellos está conectado a
la comunicación policial y se le informa que alguien llamó para alertar
que la casa de su vecino huele a marihuana. Joe, de manera inmediata y
electrónicamente, envía una orden administrativa a la empresa proveedora
para acceder a la facturación de servicios públicos de cinco casas, incluida
la casa del sospechoso y el resto de las casas que están a su alrededor. En
cuestión de minutos, Joe identifica que la casa sospechosa tiene una
factura de electricidad excepcionalmente alta. Luego solicita una orden de
uso de dispositivo de imágenes térmicas en función de la información de
la factura de servicios públicos. Tan pronto como Joe reciba una copia
electrónica de la orden judicial, Joe y el oficial humano llegan a la escena
y Joe usa su imagen térmica, dispositivo que indica una gran cantidad de
calor en el área del sótano. Joe solicita electrónicamente una orden judicial
para colocar una cámara en el poste del teléfono al otro lado de la calle.
En unos minutos se concede la orden judicial y ambos trabajarán
conectando la cámara al poste. En los días siguientes, Joe revisa lo que la
cámara registra y utiliza una herramienta de lectura de matrículas para
capturar los nombres de los propietarios de automóviles que ingresaron a
la casa del sospechoso. El software de reconocimiento facial identificará
a quienes están entrando a la casa, y Joe, simultáneamente, accede a una
base de datos criminales para determinar si alguno de esos visitantes tiene
una orden de arresto o antecedentes penales. A los pocos, días Joe tendrá
información suficiente como para arrestar a la persona que vive en la casa,
quien cultiva marihuana y la vende a compradores ya identificados.
Durante el arresto, el sospechoso intenta correr, pero Joe usa datos de
geolocalización para rastrear su ubicación a través de su teléfono. Una vez
que el sospechoso es aprehendido, Joe usa un estándar para buscar armas
ocultas antes de que el oficial humano cachee al sospechoso.
Con Joe, la investigación termina en cuestión de días. Sin Joe, el oficial
humano todavía podría estar a la espera de registros de la compañía de
servicios públicos, y tal vez el fiscal seguiría escribiendo y fundando una
orden de registro.
Este ejemplo hoy es problemático. Su investigación y puesta en escena en
un juicio oral traería sus complicaciones. Deberíamos acompañar el
probable futuro inmediato con adaptaciones legislativas de procedimiento
334
y discutir sobre la forma y el método utilizado por los robots para
conseguir la prueba vital.
Por ello, es fundamental comenzar a pensar en soluciones ahora, en lugar
de esperar a que los programadores e ingenieros hayan diseñado un robot
humanoide sin tener en cuenta el campo legal.
5. La prueba en el juicio oral -
La comunidad de litigantes debe estar lista para trabajar con la inteligencia
artificial.
La inteligencia artificial de aprendizaje automático se utiliza para facilitar
la revisión de documentos, basada en algoritmos entrenados por expertos,
y permite a los litigantes encontrar documentos relevantes más
rápidamente.
Premonition, la base de datos de litigios más grande del mundo, utiliza
inteligencia artificial para analizar diversos casos, la tasa de victorias de
distintos abogados contra distintos jueces, y para presentaciones legales.
Los tribunales chinos aplican inteligencia artificial de reconocimiento de
voz, que introduce transcripciones en tiempo real de audiencias, mientras
que un estudio de Estados Unidos ha desarrollado inteligencia artificial
que puede identificar el engaño y la mentira de los testigos en el tribunal.
¿Es la inteligencia artificial “inteligente” para un litigio?
Todavía no se ha desarrollado una inteligencia artificial que pueda
funcionar como el cerebro humano: pues no puede factorizar la
inteligencia emocional, el sentido común, el instinto o la experiencia en
los casos como hacen los abogados y los jueces cuando adoptan una
determinada estrategia en su caso.
335
¿Quieren los litigantes que los casos sean determinados por un juez
perfecto a la luz de inteligencia artificial? ¿O la justicia implica
necesariamente una toma de decisiones consciente por parte de los
humanos?26
Quizá la inteligencia artificial sea un excelente apoyo y no un sustituto de
las decisiones humanas.
Los aspectos emocionales, estratégicos, prácticos y de otro tipo del
intelecto carecen de inteligencia artificial, y si bien ella podría
proporcionar la velocidad sobrehumana para manejar la cantidad de datos
en un caso, si se diseña correctamente y se utiliza responsablemente podría
ser un poderoso compañero de equipo del litigante.
Uno de los inconvenientes más frecuentes al momento de explicar en el
juicio oral el sistema que desarrolló la información que se traduce en
evidencia a través de la declaración testimonial de su programador, es la
dificultad que presenta conocer con exactitud cómo funcionan estos
sistemas, pues difieren el uno del otro, y además las compañías son muy
celosas de la reserva de sus códigos de funcionamiento: variables, criterios
de selección, programación, etc. Debemos conformarnos con una idea
aproximada del funcionamiento del software, lo cual dificultaría
transmitir al tribunal la transparencia del mecanismo que nos otorga un
determinado resultado susceptible de ser presentado como prueba en un
juicio oral.
Lo expuesto hace necesario que, en el marco de una estrategia de apertura
y transparencia para incrementar la confianza en el ámbito de un juicio,
los proyectos hagan conocer los algoritmos cuya utilización permitió
arribar al resultado obtenido y que se pretende sea admitido como prueba
pertinente y relevante en un juicio oral.
En ese sentido, la obtención de la prueba debe poder ser clara y
concretamente presentada y expuesta al juez, para garantizar mayor
calidad en su toma de decisiones.
336
Existen proyectos que, en el marco de una estrategia de apertura y
transparencia para incrementar su confianza en la sociedad, publican sus
algoritmos en una de las plataformas de desarrollo colaborativo de Internet
(GitHub).
En esa publicación, la marca explicó que su biblioteca de datos, a partir
de la que se elaboran las predicciones en cuestión, se extrae a partir de
fuentes de libre acceso –portales digitales, estadísticas–, o de las propias
autoridades públicas, que muchas veces están disponibles al público.
6. Los robots y la teoría de la autoría del delito -
Parece lejano el momento en que robots con una capacidad de decisión
similar a la humana actúen con plena autonomía de quien los creó o
programó y una capacidad de decisión casi humana. Y, una vez más, la
realidad está por delante del Derecho.
La Unión Europea inició el estudio del Derecho de los robots. En ese
sentido, el Parlamento Europeo aprobó una resolución con
recomendaciones destinadas a la Comisión Europea sobre normas de
derecho civil sobre robótica27.
Asimismo, la Comisión Europea en Ética, Ciencias y Nuevas
Tecnologías28 ha trabajado en una declaración que exige el lanzamiento
de un proceso que allane el camino hacia un marco ético y legal común,
internacionalmente reconocido para el diseño, la producción, el uso y la
gestión de inteligencia artificial, robótica y sistemas autónomos;
proponiendo un conjunto de principios éticos fundamentales establecidos
en la UE, los tratados y la Carta de los Derechos Fundamentales de la
Unión Europea.
La robótica actual plantea interesantes cuestiones, especialmente
relacionadas con la comisión de delitos a través de robots; surgiendo la
necesidad de enfrentarse a posibles casos de responsabilidad de las
337
personas que tienen el dominio de la acción –usuarios–, a la cadena de
responsabilidad de los creadores y programadores, y a la responsabilidad
de los titulares de los robots, especialmente si se trata de personas
jurídicas29.
En esa línea, las iniciativas legislativas europeas se centran por el
momento en el ámbito civil, y más concretamente en la responsabilidad
por daños.
La regulación legal de los robots puede enfocarse de dos maneras:
analizando cómo deben operar las reglas del derecho vigente en relación
con esta nueva realidad, o bien proponiendo la creación de un corpus iuris
propio de la robótica, que requiere como presupuesto el reconocimiento
de cierta entidad a los robots como sujetos de Derecho.
En el supuesto segundo se discutirá acerca de si los robots tienen una
personalidad jurídica propia, distinta de la de las personas físicas. Sin
embargo, al estar lejos esa posibilidad, los esfuerzos actuales se centran
en analizar cómo aplicar el derecho vigente a los robots actuales30.
El elemento de la culpabilidad recogido por nuestro Código Penal impide
realizar una traslación directa de las leyes penales al mundo de la robótica,
lo que lleva a algunos autores a pronunciarse expresamente en contra de
lo que se ha denominado Derecho Penal de los robots31. No obstante, es
innegable que la robótica actual plantea interesantes cuestiones para esta
rama del derecho, especialmente en relación con la comisión de delitos a
través de robots.
Surge entonces la necesidad de enfrentarse a realidades como la posible
responsabilidad de las personas que tienen el dominio de la acción, la
cadena de responsabilidades de los creadores y programadores, y la
responsabilidad de los titulares de los robots, especialmente cuando se
trata de personas jurídicas.
Los robots, por más autonomía que tengan –drones, vehículos sin
conductor, etc.–, mantienen la configuración y el tratamiento jurídico de
338
las cosas. Por lo tanto, su utilización por un sujeto significará que el
dominio del hecho siempre le corresponderá al humano, porque es el único
autor, y por ello la imputación se realizará con base en la comisión directa
y personal de la acción típica.
El robot es, en estos casos, una mera herramienta del delito, pues no ha
actuado con voluntad propia, sino instrumentalizado.
Discutible sería en esta instancia si la teoría de la autoría mediata podría
servir para desvincular a los usuarios de los robots, fundamentando una
acción autónoma del robot diseñada y querida por él, al margen de la
voluntad del usuario. Ejemplo de ello es cuando existe una programación
de un usuario que controla la acción del robot en remoto, y que, por alguna
circunstancia, pierde su control durante el empleo, perdiendo el dominio
de la acción debido a procesos científicos del propio robot32.
Nos podemos encontrar ante supuestos en que un sujeto realiza una acción
empleando para ello un robot con cierta autonomía decisoria, fruto de su
programación o sistema informático. Esto plantea un reto nuevo para el
derecho penal.
La cuestión estriba en el empleo de robots cuyo grado de autonomía es
bastante elevado respecto del usuario. Sin pensar que este grado de
autonomía determine algún tipo de responsabilidad del propio robot,
deberíamos abstraernos de la figura del usuario para ir a su programador,
a su creador o al ingeniero que lo diseñó; circunstancia que nos conduce
inexorablemente al problema de la cadena de responsabilidades. ¿Hasta
qué punto puede plantearse la responsabilidad de los programadores o de
los ingenieros creadores de los robots cuando estos actúan de forma
autónoma, separándose de la decisión del usuario33? ¿Es necesario
incorporar un precepto expreso en nuestro Código Penal que ampare dicha
situación?
La responsabilidad exigible a los creadores y programadores de los robots
debería estar vinculada con reglas de conducta previamente configuradas
con carácter vinculante.
339
A nivel europeo, se está trabajando en el Código de Conducta Ética para
los ingenieros de robótica34, en el que se incorpora el citado principio de
precaución. El incumplimiento de normas sólo tendrá repercusión en el
terreno civil, pero no es acorde al principio de intervención mínima
asignarles un significado penal.
Se está trabajando, en consecuencia, en una nómina de deberes
administrativos, planteando la obligación de obtener una licencia para el
diseño, para usar un robot, la obligatoriedad de contratar un seguro de uso,
etc.; siendo motivo de debate si aquellas normas vinculantes deberían
plasmarse en el Código Penal, ya sea como delito de riesgo genérico, o
bien en los casos en que se hace concreto el riesgo para bienes jurídicos
de especial entidad.
Por otra parte, el propietario de un robot, como de cualquier instrumento
del delito, no incurre en responsabilidad penal, a menos que haya
conocido y querido la acción delictiva, y contribuido a ella con la puesta
a disposición del objeto.
La evolución de la robótica a través de la inteligencia artificial es un
desafío que nos lleva a debate en el ámbito de las legislaciones del fondo,
y supondrá novedades en el terreno del derecho procesal.
7. Conclusión -
La tecnología avanzará lo suficiente y el software de inteligencia artificial
tendrá cuerpos similares a humanos, en un futuro no muy lejano.
Debemos prestar atención a las consecuencias legales de tal creación: la
justicia debe ponerse al día con las invenciones tecnológicas y sus
implicancias en el ámbito de la privacidad e intimidad, dentro de un
contexto constitucional.
340
No debemos esperar hasta después de la creación de estas herramientas
futuristas para identificar las ramificaciones legales y las violaciones a las
garantías constitucionales.
Es de vital importancia que quienes manejen las herramientas que
utilizarán para identificar áreas de alto riesgo, para predecir focos
delictivos, o bien para identificar a un sospechoso específico, puedan
explicar y fundamentar su razón, procedimiento, metodología y resultados
obtenidos.
Actualmente, ni la doctrina de la Cuarta Enmienda ni nuestra estructura
constitucional podrían resistir las tensiones que la inteligencia artificial
pone sobre ellas.
En consecuencia, la correcta evaluación y control sobre la efectividad de
la inteligencia artificial, su tasa de error y el apego a los derechos
fundamentales son de gran importancia para garantizar que se cumplan los
parámetros de seguridad antes de su actuación.
Los análisis predictivos son herramientas que ya se utilizan en esta era
digital, y debemos encontrar soluciones para usarlas apropiadamente: en
particular, hallar un equilibrio entre la libertad individual y la seguridad
pública y la persecución penal, cuando de privacidad e intimidad se trata.
Se deben crear estándares para identificar cuándo debe ser el robot
controlado por un operador humano y cuándo el robot puede confiar en su
propia inteligencia artificial35.
En definitiva, los sistemas de inteligencia artificial ofrecen muchas veces
una explicación ininteligible respecto de cómo es que se pesan o ponderan
los factores para llegar a determinados porcentajes y resultados.
A los procesos inescrutables se los denomina cajas negras, toda vez que
las personas pueden comprender los datos ingresados y los resultados,
pero no el procedimiento subyacente36.
341
Si la libertad de las personas depende de programas de inteligencia
artificial que no pueden explicar paso a paso el proceso por el que arriban
a una determinada decisión o predicción, cabe preguntarse entonces si esa
decisión algorítmica no sería arbitraria.
El desarrollo de la inteligencia artificial se llevará al extremo de la
discusión acerca de cómo proteger los derechos fundamentales de las
personas.
En definitiva, el auge de Internet nos ofrece una muestra de lo que está
por llegar. Hoy en día, el ciberespacio es parte vital de nuestra vida
cotidiana, nuestra economía y nuestra seguridad, si bien la selección de
diferentes y alternativos diseños de las webs no se llevó a cabo mediante
un proceso político democrático, y aunque implicase cuestiones políticas
tradicionales como soberanía, fronteras, privacidad y seguridad. Nunca
hemos votado sobre la forma del ciberespacio, lo que convierte a Internet
en una zona libre y sin ley que pone en juego, muchas veces, la soberanía
del Estado, ignora las fronteras, deroga la privacidad y plantea un riesgo
global de seguridad37.
En consecuencia, gobiernos y ONG llevan a cabo intensos debates sobre
la conveniencia de reestructurar Internet, pero es mucho más difícil
cambiar un sistema existente que intervenir desde sus comienzos.
Homo Deus conservará algunos rasgos humanos esenciales, pero también
gozará de capacidades físicas y mentales mejoradas que le permitirán
seguir siendo autónomo incluso frente a los algoritmos no conscientes más
sofisticados. Puesto que la inteligencia se está escindiendo de la
conciencia y se está desarrollando a una velocidad de vértigo, los humanos
deben mejorar activamente su mente si quieren seguir en la partida38.
342
Notas -
1 Harari, Y. N., Homo Deus. Breve historia del mañana, Penguin Random
House,
Buenos
Aires,
2017,
p.
69.
2 Scherer, Matthew U., “Regulación de los sistemas de inteligencia
artificial: Riesgos, desafíos, competencias y estrategias”, 29 Harv.J.Law
&
Tec
353,
2016.
3
www.wired.com,
17
de
marzo
de
2017.
4 Heller, Dave, “How Artificial Intelligence will save lives in the 21st.
Century”, Fla. St. U. News, http://news.fsu.edu, feb. 2017.
5 Harari, Homo Deus. Breve historia del mañana, cit., p. 427.
6 Matsumi, Hideyuki, “Predictions and privacy: should there be rules
about using personal data to forecast the future?”, 48 Cumb. L.Rev. 149,
2018.
7 Predpol, IBM SPSS, Space Imaging Middle East (SIME) para Dubai.
8
www.nytimes.com,
mayo
de
2016.
9 Katz v. United State, 389 U.S. 347, 360, 1967.
10 Sarrabayrouse, Ezequiel, “Algoritmos para la predicción criminal”,
publicado
Derecho
Digital,
14/12/17.
11 Corvalán, Juan, Oráculos oficiales. Cómo funciona la inteligencia
artificial
que
predice
delitos,
www.goog
le.com.ar.
12
Ibídem.
13 State v. Loomis. 881 N.W. 2d 747.753, 2016.
14 Perfilado de la gestión del delincuente correccional para sanciones
alternativas. Utiliza información recabada de los acusados, archivo
criminal y una entrevista con el acusado. Una función de esta herramienta
es la de predecir la reincidencia y generar puntajes de riesgos de
reincidencia previo al juicio, riesgo de reincidencia general y riesgo de
reincidencia
violenta.
15
TSJUE,
C293/12,
8/4/2014.
16
TSJUE,
C131/12,
2014.
17 Caso Weltimmo, C-230614 y Caso Schrems, C-362/14.
18 Palazzi, Pablo, Revista Latinoamericana de Datos Personales, año I, nº
I,
CDyT,
Buenos
Aires,
2015.
19 Reid, Melanie, “Evolving investigative technologies and the law
symposium: rethinking the fourth amendment in the age of
supercomputers, artificial intelligence, and robots”, 119 W. Va. L.
Rev.863,
2017.
20
United
States
v.
Jones,
565
U.S.
400,
2012.
343
21 Heffernan, William C., “The Fourth Amendment Exclusionary Rule as
a Constitutional Remedy”, 88 Geo.L.J. 799, 864, 2000, cit. Polansky, J.
22
Reid,
“Evolving
investigative
technologies…”,
cit.
23 En Estados Unidos, menos del 2% de la totalidad de los crímenes son
llevados
a
juicio.
24 Rich, Michael, “Machine Learning, Automated Suspicion Algorithms,
and Fourth Amendment”, 164 U. Pa. L. Rev. 871, 2016.
25 El caso en estudio fue expuesto por Reid, “Evolving investigative
technologies…”, cit. Es un fiel reflejo de la dificultad que le acarrearía a
un investigador validarlo en el marco de una investigación penal y en un
juicio
oral.
26 Taylor, Damian, “In practice: Litigation: Artificial Intelligence in the
courtroom”,
LS
Gaz,
abril
2018.
27 Resolución del Parlamento Europeo, de 16 de febrero de 2017, con
recomendaciones destinadas a la Comisión sobre normas de derecho civil
sobre
robótica
(2015/
2103(INL)).
28 Statement on Artificial Intelligence, Robotics and Autonomous
Systems, European Commission, Brussels, 9 March 2018.
29 Domínguez Peco, Elena M., “Los robots en el Derecho Penal”, en
Derecho de los Robots, dir. Moisés Barrio Andrés, Wolters Kluwer, 2018.
30 Asaro, Peter, “Robots and Responsibility from a Legal Perspective”,
en Proceedings of the IEEE, 2007, cit. Los Robots… cit., p. 134.
31 Sánchez del Capo Redonet, Alejandro, Reflexiones de un replicante
legal. Los retos jurídicos de la robótica las tecnologías disruptivas,
Aranzadi,
Navarra,
2016.
32 Domínguez Peco, “Los robots en el Derecho Penal”, cit., p. 138.
33
Ídem,
p.
26.
34 Anexo a la resolución del Parlamento Europeo del 16 de febrero de
2017.
35
Reid,
“Evolving
investigative
technologies…”,
cit.
36 Corvalán, “El peligro de la Inteligencia artificial como oráculo del
sistema
penal”,
cit.
37 Harari, Homo Deus. Breve historia del mañana, cit., p. 407.
38 Ibid. 33, p. 384.
La cadena de custodia en la evidencia digital
Gustavo Daniel Presman
344
1. Introducción -
La incorporación paulatina pero profunda de la evidencia digital en los
procesos judiciales trae inmediatamente aparejada la discusión sobre la
validez de esta y su aceptación en dicho proceso.
Está claro que la aceptación de evidencia digital en un proceso judicial es
facultad de quien lleva a cabo la investigación, sea el juez de instrucción
o el fiscal a cargo de esta, según el sistema empleado en cada jurisdicción.
El decisor entonces deberá tener en cuenta aspectos propios de la
normativa local, los cuales no son exclusivos de la evidencia digital sino
que abarcan cualquier tipo de evidencia que se desee introducir en el
proceso judicial. Estos pueden resumirse en tres aspectos claves:
relevancia, suficiencia y confiabilidad de la prueba a introducir.
La relevancia es un concepto jurídico que indica que la evidencia debe
estar relacionada con los hechos investigados. Resulta claro que no debe
introducirse evidencia que no tenga relación alguna con los hechos
investigados, sin embargo, resulta frecuente que la evidencia digital sea
incorporada a un proceso judicial a los efectos de comprobar de modo
indirecto algún hecho vinculado con el proceso original. Un ejemplo de
esto es que cada vez se utiliza más el análisis de comunicaciones en el
teléfono celular de un imputado o víctima de un delito, a los efectos de
conocer las actividades desarrolladas antes del suceso investigado.
La suficiencia indica que la evidencia recolectada debe ser suficiente para
sustentar los hallazgos obtenidos por el analista forense. Este aspecto lo
desarrollaremos más adelante como recolección efectiva.
La confiabilidad sustenta que la evidencia debe ser confiable, por lo que
debe ser auditable por un tercero que usando el mismo principio de
operación aplicado llegue a idénticos resultados. En este punto es dable
destacar que frecuentemente se asocia la confiabilidad de la evidencia a la
conservación de la misma, es decir, que la misma debe permanecer intacta
345
en su forma original, a los efectos de permitir la repetición del ensayo
pericial partiendo de la misma condición inicial.
Sabemos que en otro tipo de evidencias, como los proyectiles o la materia
biológica, esta conservación es imposible y los códigos procesales suelen
ser muy claros en este punto al requerir la autorización formal del juez
para el caso en que la evidencia no pueda ser conservada.
En el caso de evidencias digitales, hay una categoría amplia de ellas que
deben ser adquiridas en vivo, esto es con el dispositivo que la almacena o
procesa encendido y a pesar de que se siguen reglas de buena práctica y
protocolos para su tratamiento, la recolección de esa categoría de
evidencia digital siempre será como una foto que retrata un instante, ya
que al instante siguiente el contenido de la misma habrá variado.
La confiabilidad de la evidencia está directamente relacionada con los
procedimientos de su obtención, y es allí donde llegamos al concepto de
cadena de custodia como un registro de auditoría que permite conocer el
estado de la evidencia desde su incorporación y hasta la finalización de la
etapa probatoria.
2. La evidencia digital -
Previo a analizar la cadena de custodia debemos responder el interrogante:
¿Qué es la evidencia digital?
Existen numerosas definiciones sobre evidencia digital pero todas ellas
coinciden en que se trata de registros que fueron procesados en un
dispositivo informático y se encuentran almacenados o fueron
transmitidos a través de un medio de comunicaciones informático.
Es necesario complementar la definición con algunas características
propias de la evidencia digital que debemos considerar:
346
• La evidencia digital es digital, esto es, está conformada por un conjunto
de bits, la mínima expresión de almacenamiento que sólo puede tener un
valor binario: cero o uno. Esta característica es clave en el sentido de que
todo registro digital puede ser duplicado y las copias que se realicen del
mismo, si siguen las buenas prácticas, serán idénticas e indistinguibles del
original. Nótese que, si se tratara de una evidencia analógica como una
grabación de audio o video tradicional, las copias que se realicen se irán
degradando sucesivamente y perdiendo información.
• La evidencia digital es intangible, es decir que no es una cosa en el
sentido estrictamente jurídico. Es común confundir a la evidencia digital
con el envase que la soporta, por ejemplo, el disco rígido de una
computadora es simplemente el soporte de la evidencia digital que son los
bits de información almacenada en ese soporte. El disco rígido es sólo la
“caja” que guarda la evidencia, conformada únicamente por su contenido.
• La evidencia digital posee “metadatos”, esto es, información adicional
que no está directamente relacionada con el objeto recolectado. Metadato,
etimológicamente, significa el dato del dato, y podemos ejemplificarlo
con un documento de texto, donde el dato es el texto redactado en si
mismo y un metadato puede ser la fecha en que el documento fue creado
o el autor del mismo, que, aunque no lo hayamos indicado en su texto, el
procesador de texto o el sistema operativo lo inserta automáticamente en
algún registro digital y ese metadato puede ser de interés en la
investigación.
• Un aspecto menor pero que no debe ser dejado de lado es que la
evidencia digital permite almacenar grandes volúmenes de información
en contenedores de dimensiones reducidas como es un disco rígido, a
diferencia de la evidencia documental que, a igual volumen de
información, requeriría espacios físicos de grandes dimensiones. Esto
requiere una correcta identificación para no perder evidencia valiosa.
Habiendo establecido qué es la evidencia digital y para una correcta
identificación, voy a clasificarla según dos criterios distintos: por el tipo
y por el estado de la evidencia al momento de su recolección.
347
La evidencia digital se puede encontrar de tres tipos diferentes:
almacenamiento, procesamiento y tráfico.
La evidencia de almacenamiento es aquella que persiste en un dispositivo
de almacenamiento como un disco duro, un disco óptico o dispositivo de
estado sólido. Este tipo de evidencia se mantiene en el dispositivo casi de
forma permanente y tiene la particularidad de que los dispositivos que la
almacenan pueden contener información preparada, esto es, registros que
son anteriores al hecho investigado.
La evidencia de procesamiento, o evidencia de memoria temporal, es el
contenido de la memoria principal del dispositivo de procesamiento
conocida como memoria RAM1. La importancia de recolectar la memoria
RAM es que en ella se guarda información de las últimas actividades
realizadas en el dispositivo informático, así como llaves de cifrado que
eventualmente se utilicen en ese equipo. El aspecto limitante de este tipo
de evidencia es que es altamente volátil, ya que se pierde al apagar el
dispositivo que la contiene, por lo que sólo podrá ser recolectada si el
dispositivo informático se encuentra encendido al momento de obtener la
evidencia.
La evidencia de tráfico está conformada por la información que viaja a
través de la red de comunicaciones, ya sea que se trate de una red interna
o de internet. Este tipo de evidencia consiste en paquetes de datos de las
distintas aplicaciones que usan el canal de comunicaciones y que un
posterior proceso pericial permite en algunos casos su recuperación. La
recolección de este tipo de evidencia requiere de una suerte de escucha de
la actividad existente en esa red, mediante dispositivos de hardware o
software que deben ser incorporados con anterioridad a la información
que se va a capturar, presentando un escenario que debe estar previamente
autorizado para evitar infringir leyes establecidas.
La clasificación presentada no hace referencia a los contenedores, por lo
que podríamos considerar múltiples soportes para esta evidencia digital,
en especial para la evidencia de procesamiento que podemos encontrarla,
como se dijo, almacenada en un disco rígido, un teléfono celular, una
cámara digital entre otros y extenderla fácilmente a los dispositivos IoT2
348
como electrodomésticos, vestimenta, asistentes hogareños, juguetes y un
sinnúmero de ellos que irán apareciendo en escena próximamente.
Pero como les he anticipado, la evidencia digital para el propósito de este
trabajo puede ser clasificada según su estado, en evidencia digital estática
y dinámica. En el primer caso el contenido se mantiene estable con el
transcurso del tiempo y su recolección produce idénticos resultados al
repetirla, siempre y cuando no exista un daño físico en el dispositivo que
la almacena. Un ejemplo claro de este tipo de evidencia es el disco duro
de una computadora. En cambio, existen otros dispositivos que por su
naturaleza no pueden ser detenidos para su recolección y, por lo tanto, la
adquisición forense de su contenido puede producir resultados diferentes
con el transcurso del tiempo, justamente, debido a que el dispositivo sigue
procesando.
Este tipo de evidencia, como se verá más adelante, requiere mayor nivel
de detalle en la documentación que se debe incluir en la cadena de
custodia.
3. Desafíos en la recolección de evidencia digital -
Como hemos visto hasta el momento, la evidencia digital presenta
características que la diferencian de otro tipo de elementos probatorios,
por lo que se requiere idoneidad y reglas específicas para su recolección
y posterior tratamiento. Con independencia de los protocolos específicos
que las organizaciones y los Estados puedan tener para el manejo de
evidencia digital, existe desde el año 2012 una norma internacional de la
ISO/IEC3 que, si bien no es vinculante jurisdiccionalmente, representa
una base muy sólida para establecer la normativa, y en ausencia de ella
existen las buenas prácticas a las que apegarse para la recolección de
evidencia digital. Es el estándar ISO/IEC 27037:20124, Guía para la
identificación, recolección, adquisición y preservación de evidencia
digital. Este documento que presenta normativa metodológica para la
escena del hecho, procedimientos de recolección y almacenamiento, así
como el tratamiento de la evidencia digital, es el mejor punto de partida
para la redacción de protocolos locales, adaptados a la realidad de cada
jurisdicción.
349
Entre los desafíos que plantea la recolección de evidencia digital podemos
destacar:
• La correcta identificación de los dispositivos que almacenan evidencia
digital es clave para no perder evidencia que puede ser relevante para la
investigación. No siempre resultan obvios los dispositivos que contienen
evidencia digital, por lo que se aconseja muy fuertemente contar con
personal capacitado en la escena del hecho.
• Recolectar evidencia digital considerando siempre la normativa asociada
y los aspectos legales. Este punto está claramente resuelto mediante el
mandato judicial, pero requiere un análisis más profundo en otros ámbitos
de aplicación.
• Documentar detalladamente los procedimientos y herramientas
empleadas, así como cualquier adopción de criterio al recolectar evidencia
digital es clave para su posterior aceptación judicial. Es importante
destacar en este punto que la recolección de evidencia digital, por más que
se disponga de estándares, no es un proceso lineal que siempre se hace de
la misma forma, incluso para casos que aparentemente son iguales, la
elección del procedimiento y la metodología empleada pueden diferir y
las decisiones frecuentemente son tomadas en tiempo real, es decir al
momento de la reelección.
• Es claro que el juez debe entender aquello que realizó el experto a través
de la documentación proporcionada que puede complementarse con una
audiencia donde se explique de manera objetiva y sólida cómo se arribó a
la evidencia que se pretende sustentar, por ello se debe registrar de manera
objetiva todos y cada uno de los pasos que permitieron la recolección de
la evidencia.
4. La cadena de custodia -
350
En todo procedimiento judicial donde se introducen evidencias, se hace
necesario conocer todos los detalles asociados a las mismas, y este es
justamente el rol de la cadena de custodia.
La cadena de custodia es un registro minucioso del movimiento de la
evidencia durante el proceso probatorio, que indica con exactitud las
actividades realizadas las personas responsables, momento y estado al
contacto con la evidencia. Es un registro de auditoría que permite conocer
objetivamente quiénes interactuaron con la evidencia desde el momento
de su recolección o incorporación al proceso y hasta la finalización de la
etapa de auditoría, conociendo qué tareas efectuaron con la evidencia. Es
el conjunto de documentos sobre los elementos de prueba que permiten
asegurar y demostrar la identidad, integridad, preservación y registro en
la continuidad de la prueba.
Identidad es la cualidad que permite asegurar que la evidencia, en todo
momento, es la misma que se incorporó al proceso. Integridad significa
que la evidencia es exactamente la misma que se incorporó al proceso, o
si existe alguna variación producto de algún proceso empleado en el
tratamiento de esta. Preservación refiere a los mecanismos de
conservación empleados, y el registro es la incorporación sistemática y
detallada de la documentación asociada a la prueba.
¿Quién estuvo en posesión de la evidencia? ¿En qué lugar físico estuvo?
¿Qué tareas se realizaron en ese momento? ¿En qué estado se recibió la
evidencia? ¿A quién, cómo y de qué forma se le traspasó la evidencia?
Son algunos de los interrogantes que el análisis de la cadena de custodia
permite responder.
Como en una cadena, estos registros se van añadiendo durante el proceso,
registrándose en la documentación de este.
La cadena de custodia puede registrarse en un formulario específico
diseñado a tal fin, lo cual facilita el seguimiento de los distintos eslabones
que la componen o puede estar presente en el expediente judicial sin un
apartado específico.
351
He escuchado algunas veces la frase “…esta evidencia no tiene cadena de
custodia…” cuando se recibe un efecto sin el correspondiente franjado del
almacenamiento que garantiza que el efecto con el que se está tomando
contacto es el mismo que se almacenó en un momento previo. Esta
confusión entre resguardo y cadena de custodia es frecuente, y si bien la
inexistencia de un correcto resguardo de la prueba forma parte de un
eslabón de la cadena de custodia, no deriva en la falta de esta y
sencillamente es una rotura de esa cadena.
Siempre existe cadena de custodia. Aun en ausencia de un formulario
específico, será posible recorrer secuencialmente los distintos cuerpos del
expediente judicial para encontrar las piezas procesales que muestran
cuándo y cómo se incorporó la evidencia, dónde se resguardó, a quién se
le entregó en un momento dado, que tareas realizó con la misma y cuál
fue el destino posterior.
La función de la cadena de custodia es asegurar la integridad del proceso
probatorio, de modo que resulta un elemento clave para garantizar a las
partes intervinientes.
¿Qué elementos deben constar en una cadena de custodia? Entre aquellos
aspectos que deben registrarse, sin dudarlo deben encontrarse los
siguientes:
• Identificación unívoca del efecto.
• Registro del estado de almacenamiento y resguardo recibido.
• Nombre de la persona, circunstancias y fecha de contacto con la
evidencia.
• Registro del pasaje de una persona a otra.
352
• Registro del pasaje de una ubicación física a otra.
• Tareas realizadas durante la posesión.
• Registro del almacenamiento y resguardo al finalizar la posesión.
Opcionalmente y en todo de acuerdo con normativas específicas de la
organización o del Estado, pueden incorporarse entre otras un registro de
testigos presentes en el momento de la apertura, fotografías de la evidencia
en las tareas realizadas y, eventualmente, un registro detallado de
actividades durante la posesión, aunque esto último generalmente se
incorpora en formato de actas o informe técnico pericial.
En el caso particular de la evidencia digital, sabemos que existen
determinados aspectos que deben ser tenidos en cuenta en su tratamiento,
debido al carácter volátil y la existencia de metadatos que deben ser
preservados como parte integrante y fundamental de la recolección de esa
prueba; por lo tanto, la cadena de custodia debe incluir algunos datos
adicionales.
Las recomendaciones de todos los protocolos, reglas de buena práctica y
normas como la citada precedentemente ISO/IEC 27037:20125 son las de
evitar trabajar con la evidencia original y teniendo en cuenta que en el
caso de la evidencia digital esta permite la realización de copias
binariamente idénticas.
Usar la evidencia original para el análisis forense conlleva el riesgo de que
en el proceso se dañe la misma y la prueba se torne imposible. Además,
de no tomarse los recaudos necesarios para evitar la escritura en el medio
de almacenamiento, este se podría alterar modificando el estado de la
misma y atentando contra su integridad, por lo que este tipo de accesos a
la evidencia original deben estar restringidos a situaciones donde la
premura es crítica y en todos los casos deben estar autorizados por el juez
interviniente.
353
Como se ha dicho, las mejores prácticas en el tratamiento de la evidencia
digital recomiendan la ejecución de imágenes o copias forenses, y esta es
una práctica muy difundida para la evidencia de almacenamiento estática,
siendo que para la evidencia digital dinámica debe ser adaptado.
Según el NIST6 (Instituto Nacional de Estándares y Tecnología), una
agencia de gobierno de los Estados Unidos encargada de los estándares de
normalización, en su capítulo destinado a validar herramientas forenses7,
la copia forense es aquella que se realiza bit a bit del contenido y
validándolo mediante un digesto matemático o función de hash8 con el
objeto de asegurar la integridad del contenido binario recolectado.
En lenguaje llano, podemos decir que la imagen forense de un medio de
almacenamiento contiene la totalidad de la información almacenada en el
mismo en forma completa o parcial desde su instalación en el sistema
informático, incluyendo registros eventualmente borrados, presentes en
determinadas condiciones y tecnologías de almacenamiento.
Realizar una imagen forense requiere de la experticia necesaria en el
manejo de la evidencia digital y la tecnología de software o hardware
apropiada según la tecnología de la evidencia original.
Una incorrecta recolección de la evidencia puede viciar el procedimiento
judicial y dejar la evidencia en un estado de fragilidad que puede derivar
en un pedido de nulidad de la prueba, al no poder garantizar la integridad
de la misma.
Es importante registrar y preservar todos aquellos elementos adicionales
a la evidencia pero que pueden impactar en el proceso. Por ejemplo, si se
incorpora una computadora portátil, sabemos que la evidencia digital se
encuentra almacenada en el disco rígido que la misma posee en su interior,
por lo que el acceso a la evidencia está separado por dos niveles, el disco
rígido y la computadora propiamente dicha. De esta forma se podría
incorporar la computadora, extraer el disco rígido y aportarlo o efectuar
una copia forense del disco rígido. El orden de estas alternativas determina
354
la complejidad de estas, siendo lo más sencillo el resguardo de la
computadora y su posterior traslado a un laboratorio de informática
forense para realizar las dos etapas subsiguientes.
La cadena de custodia de la evidencia digital debe ser especialmente
cuidadosa con los siguientes aspectos:
• Identificar unívocamente los efectos digitales.
• Describir los procedimientos empleados.
• Detallar las herramientas forenses empleadas.
• Al hacer imágenes forenses, identificar unívocamente los archivos
producidos y los valores de hash obtenidos.
• Documentar detalladamente con especial énfasis en los procedimientos
realizados en vivo.
5. Conclusiones -
La cadena de custodia de la evidencia digital es fundamental para
garantizar la prueba. Se inicia al momento de incorporación del elemento
de prueba y debe registrar la información que permita comprender
acabadamente cuál es el efecto, cuál es la evidencia, de qué forma fue
recolectada y preservada.
A medida que el proceso probatorio avance, se irán incorporando otros
eslabones en la cadena de custodia, siempre con el objeto de poder
auditarla garantizando a las partes el debido proceso pericial.
355
Notas -
1 Memoria RAM, del inglés Random Access Memory, o memoria de
acceso aleatorio, es la memoria de procesamiento que utilizan los
dispositivos
informaticos.
2 IoT, del inglés Internet of things, o Internet de las cosas, se refiere a
numerosos dispositivos de uso cotidiano que sin ser computadoras
generales, procesan información y mantienen comunicaciones igual que
ellas.
3 ISO/IEC (International Standarization Organization, Asociación
Internacional
de
Estandarización/International
Electrotechnical
Commission,
Comisión
Electrotécnica
Internacional).
4 Guidelines for Identification, Collection, Acquisition and Preservation
of
Digital
Evidence,
www.iso.org.
5
Ibídem.
6 National Institute of Standards and technology, www.nist.gov.
7 Computer Forensics Tool Testing Program (CFTT), www.nist.gov.
8 Un hash es un algoritmo matemático que transforma un conjunto de
datos binarios en una serie de caracteres de longitud fija.
Independientemente de la longitud de los datos de entrada, el valor hashes
de salida tendrá siempre la misma longitud, la cual dependerá de la
función de hash empleada, siendo los algoritmos más utilizados en
informática forense el MD5 y el SHA-1.
Los próximos paradigmas de las pruebas digitales
Andrés Velázquez
No es un secreto que la tecnología cambia a pasos agigantados. Esto lo
vemos reflejado no sólo en la tecnología de que hacemos uso cada día,
sino también en la forma en que nos afecta en el combate al cibercrimen
o los ciberdelincuentes.
356
Yo creo que la mayoría, si no es que todos los que hemos sido invitados a
escribir en este libro, hemos dedicado mucho tiempo a compartir y
difundir las visiones legales y técnicas que se nos han presentado en esta
disciplina tan interesante y siempre cambiante.
Pero muchas veces cada uno tiene una visión diferente, una forma
diferente de hacer investigaciones, e incluso un lenguaje diferente. Es
momento de cambiar paradigmas, de proponer la homologación, no sólo
proceduralmente sino también en el lenguaje que usamos.
Es por ello por lo que quizas habrá algunas cosas que lea en este capítulo
serán diferentes a lo que usted ha vivido o conocido. Habrá preguntas que
usted no se ha hecho y faltarán algunas que se ha hecho pero que a mí no
me han tocado. Porque cada país está haciendo, tanto a nivel legislativo
como a nivel procedural, cosas diferentes. Será en una perspectiva
personal, pero espero se comparta en algún nivel. Seré entonces
disruptivo.
Desde mi experiencia, realizando investigaciones digitales, respuestas a
incidentes y en algunos casos de ciberseguridad, creo que la situación en
que nos encontramos presenta y presentará muchos nuevos retos
vinculados al avance de la tecnología. Es por ello por lo que he decidido
plantear algunos temas que hoy por hoy presentan desafíos en algunos
países donde he podido trabajar, así como también planteamientos que
quizá no resolveré, pero que dejaré para que puedan ser discutidos más
adelante.
En forense digital nada está escrito en piedra, al igual que en muchas
disciplinas o ciencias. Siempre nos enfrentamos a nuevos problemas que
van sucediendo, porque así es la tecnología. Es precisamente ese reto el
que nos mantiene aquí, viendo cómo solucionar un caso, cómo aportar
pruebas y cómo presentarlas.
1. La integridad de la prueba digital 357
Prácticamente en todos los países donde se hace uso de la prueba digital,
usamos algoritmos hash, o también llamados de verificación de
integridad, para poder asegurar que lo que se está obteniendo como prueba
o evidencia será presentado en un procedimiento legal.
Recuerdo que, en el afán de poder sensibilizar a las autoridades y peritos
que se iniciaban en la materia, muchos de los que ya llevábamos un tiempo
en el medio siempre preguntábamos: ¿Cómo es posible, al generar una
imagen forense, el poder comprobar que lo que se tiene como evidencia
original es exactamente igual a dicha imagen forense?
Por mucho tiempo siempre contestamos que, por medio de un hash –este
algoritmo matemático que convierte una cadena de longitud variable en
una cadena de longitud fija– se permite confirmar que el contenido del
disco no ha sufrido cambio.
Pero incluso nos atrevíamos a decir que, ante cualquier cambio de dicho
hash, la imagen forense podría perder validez ante la autoridad.
Depende de cada país la forma en la cual se pueden aportar pruebas. En
algunos países, como el caso de México, es necesario presentar la imagen
forense, pero más adelante será necesario presentar el medio original para
su cotejo.
Incluso en algunos países se dan casos en que la imagen forense, si es
tomada por un particular, se realiza frente a notario público o escribano,
para poder darle ese espacio/tiempo que no le da el hash per se. Es decir,
con el hash, podemos saber si hubo un cambio en el contenido, mas no
nos permite asegurar cuándo se realizó el proceso.
Desde mi punto de vista, es algo que no deberíamos hacer, pero se hace,
e incluso abogados nos han pedido hacerlo.
358
En otros países he visto que algunas empresas comerciales han
desarrollado un software para poder firmar digitalmente el hash contra un
servidor de tiempo. Es decir, proponen que si no viene firmado
digitalmente el hash, no se le da certeza al tema.
Tampoco lo veo como algo que ayude a complementar el proceso y menos
cuando es una herramienta comercial, la cual entonces no permitiría que
el proceso sea repetido por otro especialista que no tenga la herramienta.
Mientras se tenga un hash que permita validar que no ha sufrido cambios,
que se tenga el testimonio del perito de cuándo lo hizo, un log o una firma
digital o sello de tiempo, al final es el perfeccionamiento, más no un
requerimiento puntual. La finalidad es clara, pero no tenemos un
procedimiento homologado.
Muchas veces pecamos al explicar las cosas de una forma muy técnica.
Las tratamos de hacer más fáciles para los que no son técnicos y eso puede
ser un boomerang hacia el futuro.
Hace algunos años, tuvimos un caso en el que se generó una imagen
forense del disco original y su correspondiente análisis para llegar a un
resultado. En el ofrecimiento de pruebas se aportó la imagen forense del
disco y posteriormente el dictamen pericial. Cabe mencionar que en el
dictamen pericial se encontraba el hash del disco y los hashes de todos y
cada uno de los hashes de los archivos que permitían probar los hechos,
con su descripción, ubicación y interpretación.
Casi 5 años después la autoridad nos pidió presentar el disco original para
poder hacer un cotejo; un procedimiento sencillo por el cual ante los
peritos de ambas partes se validaran los hashes y se entregara una imagen
al perito contrario.
Los hashes o valores de integridad no coincidían.
La cara de los abogados ante dicho suceso era como la de aquellos que
reciben la peor noticia de su vida. Solo repasaba en mi mente: “Si un hash
no coincide, eso significa que se ha manipulado la evidencia”, “La
359
manipulación de una prueba digital es posible identificarla gracias a los
hashes, una huella digital que no nos permite saber qué se ha cambiado,
pero que prueba claramente que es diferente”, y muchas frases más que
había dicho en cada conferencia o curso al que había sido invitado.
Bastaron un par de minutos para que, ante tal situación, regresáramos a
las bases1. Teníamos una imagen forense de un disco, el cual había estado
reposando en una bolsa antiestática, dentro de un sobre durante varios
años, en una caja fuerte. Nadie lo había conectado o incluso tocado en
dicho período. ¿Qué pudo salir mal?
¿Tendría algún problema el software que fue usado para poder validar la
imagen forense?
¿Corrompió algo de la imagen el software con que hicimos la imagen
forense?
Todo parecía una conspiración de la tecnología en contra de nosotros,
hasta que solicité ver la bitácora de la validación de la imagen forense. La
comparé con la bitácora del momento en que se realizó la imagen forense
original y pudimos encontrar el problema.
El hash no coincidía porque el disco original, comparado con el momento
en el cual fue creada la imagen forense, contenía dos sectores dañados.
Dos sectores dañados (que se pueden dañar por muchas razones) podrían
derribar completamente el caso.
Rápidamente solicitamos realizar una prueba de concepto para mostrar la
situación, esperando que los dos sectores dañados no estuvieran en donde
se encontraba la información que era necesario validar dentro del disco
duro. El proceso duró un par de horas, logramos demostrar que la
información era la misma, que el disco habría sufrido esa modificación
debido al tiempo en que se mantuvo en resguardo y que no fue algo
intencional. Fue una labor titánica: entre los abogados de la contraparte
que cuestionaban todo y el desconocimiento sobre estos temas tan técnicos
para la autoridad, tuvimos que explicar el procedimiento en detalle.
360
Una de las cosas que nos ayudó de gran manera fue que teníamos las hojas
de Excel con los hashes de cada uno de los archivos que nos interesaban
para el caso. Hashes que coincidían, solo no coincidía el de todo el disco
duro por esos dos sectores dañados.
Nunca más volví a decir que si el hash no coincide, toda la prueba deja de
ser válida porque fue manipulada. Y en ese sentido, técnicamente hay
muchas cosas que pueden cambiar y es una tarea de la comunidad no sólo
estar actualizado en la materia, sino lograr que vayamos avanzando en el
camino de buscar la verdad, y que no sea esta (como ya lo hemos visto en
otros casos) la herramienta para que se genere una controversia.
Esto se puede valorar más complicado con la llegada de los discos duros
de estado sólido, debido a la naturaleza de la tecnología: cada vez que se
realiza una imagen forense, el hash será distinto. Retomaré esta cuestión
más adelante.
Tampoco podemos dejar a un lado el tema de los teléfonos celulares o
móviles y su proceso de obtención de información. Es importante que
tanto los especialistas como las autoridades tengan muy claro que el
proceso y generación de las imágenes forenses de estos dispositivos son
completamente diferentes.
Y es que resulta común que también se diga que el especialista debe
mantener la integridad total de los dispositivos a los que va a tener acceso.
Recuerdo claramente haber escuchado que si la computadora está
encendida, se debe apagar y no ejecutar nada. Hoy sabemos que es
necesario, si es posible, obtener la imagen forense de la memoria o revisar
si tiene cifrado.
Pero en dispositivos móviles es diferente. Siempre se requiere hacer una
modificación/manipulación controlada para poder obtener el contenido de
estos. De nuevo, tenemos que ser claros cuando se están presentando las
pruebas o evidencias.
361
Hoy debatimos, dentro de la misma línea de este texto, el uso de ciertos
algoritmos de hash o valor de integridad.
Ante las noticias de la colisión del hash MD52, el algoritmo más usado a
nivel internacional para poder validar que la imagen forense es igual al
disco original, la comunidad forense ha tratado de buscar nuevos
algoritmos que permitan dar cada vez más certeza al proceso. Es por ello
por lo que ya muchos usamos SHA-1 (también se ha podido colisionar3)
o el SHA-256 o mayor, e incluso algunas herramientas especializadas
hacen uso de estos algoritmos. El uso de dos permite tener mayor certeza.
Pero me han tocado casos en que la defensa simplemente dice que ante
una imagen forense que tiene un hash o valor de integridad realizado con
el algoritmo MD5, al conocer que existe la colisión, entonces todo el disco
duro presentado podría ser algo diferente. ¿Por qué ir a los extremos?
Creo que, si hablamos de un archivo, es posible que se genere una colisión,
¿pero de un disco completo? Es muy poco probable. Lo dejo simplemente
como una idea.
Obviamente, lo mejor será usar los algoritmos que sabemos que no
presentan colisión.
2. Los discos duros del futuro -
Cambios y más cambios. Cada vez es más difícil encontrar los discos
duros de platos, muchos de ellos incluso ya habitan museos. Estos discos,
cuyos cabezales se dañaban, y ante un golpe fuerte podrían rayar los
platos, requerían, para eliminar información: a) sobreescribir información,
b) un electroimán muy potente, o c) destruirlos físicamente.
Con estos discos se inicia el cómputo forense, investigaciones digitales,
donde una parte importante consiste en la recuperación de la información.
362
Recuerdo un caso en particular: un servidor de una institución financiera
de un país de América Latina había sido vulnerado. El servidor, por alguna
razón, se había reiniciado y mostraba un error al cargar el sistema
operativo. Tuvimos que reconstruir 4 discos que se encontraban en
arreglos; sin embargo, la reconstrucción debió ser hecha a mano, buscando
específicamente entradas de directorios y de archivos. Una labor titánica
que permitió reforzar y mejorar los conocimientos de los sistemas de
archivos que se ocupaban en ese tiempo. Esas bellas épocas terminaron.
Hoy prácticamente todos usan discos duros de estado sólido: tabletas,
teléfonos, computadoras portátiles, computadoras y servidores. No estoy
diciendo que ya no existan, pero será cada vez más difícil que los veamos
debido a los avances tecnológicos. Lo mismo sucedió con los discos
rígidos de 5 y un cuarto, por ejemplo, o los disquetes que tenían una
capacidad de 1.44 MB, la que no podrían almacenar ni una presentación
o documento.
Estos discos duros funcionan de una forma completamente diferente y
presentan nuevos defectos para los especialistas.
Por un lado, en algunos modelos de discos duros de estado sólido, 4 o 5
minutos después de eliminar un archivo bastan para que no puedan ser
recuperados. Incluso, con sólo permanecer conectado a corriente, aunque
no se esté escribiendo ni leyendo datos, la información contenida en él
estará moviéndose como cuando desfragmentamos un disco. Lo anterior
aplica para algunos de ellos.
Por otro lado, cada vez que se realiza una imagen forense de un disco duro
de estado sólido, el valor hash o de integridad puede ser diferente,
precisamente por lo comentado anteriormente.
Hasta este momento, no hay forma alguna para poder evitar estas dos
cuestiones: incluso la comunidad se ha acercado a los fabricantes de
discos duros para poder buscar soluciones, hasta ahora sin éxito. El
investigador podría encontrarse con que no podrá recuperar datos y será
363
un gran reto el poder presentar un hash de un disco duro completo para su
posterior cotejo.
Al hecho de que, hoy por hoy, muchas investigaciones no tienen un
alcance definido –en algunos casos, al investigador se le solicita realizar
una investigación para poder descubrir o encontrar “todo”–, tendríamos
que agregar entonces el tema de que los discos duros cada vez tienen
mayor capacidad.
En vistas a un futuro cercano, debemos preguntarnos:
- Ante una imagen forense de un disco duro de estado sólido donde
prácticamente no se puede recuperar información eliminada, ¿vale la pena
hacer la imagen forense digital del disco completo?
- Si se obtiene el hash del disco duro completo y siempre va a ser diferente,
¿tenemos que sacar el hash del disco duro completo o de cada archivo
existente?
Creo que tendríamos que empezar a buscar procedimientos, nuevos,
validados, innovadores ante esta situación.
¿No sería entonces más sencillo hacer imágenes de la estructura de datos,
es decir, los archivos existentes? Si esto lo unimos al tamaño del disco
duro, creo que podría hacerse más rápida la extracción de información,
siempre y cuando tengamos claro el objetivo de la investigación. Pero
también podría considerarse que puede existir información faltante para
poder ser aportada como prueba. Se los dejo de tarea.
3. Ojos que no ven, investigador en problemas -
Como si fuera poco, la privacidad de la información ha logrado que
lleguemos a la época de la “encriptitis”. Nuestros teléfonos celulares, al
colocarles una contraseña, pueden estar cifrando toda la información. Los
364
corporativos implementan soluciones especializadas para poder evitar que
su información se vea vulnerada y por ende cifran las computadoras
portátiles para que, si llegan a perderse o alguien las roba, no se pueda
tener acceso a la información. Las personas empiezan a conocer del valor
del cifrado y lo ponen en práctica en sus equipos y dispositivos personales.
Incluso los ciberdelincuentes, creadores de malware como el ransomware,
cifran la información de las computadoras infectadas pidiendo un rescate
por la llave para que el usuario pueda tener acceso a la información.
El cifrado siempre ha existido. En uno de los clientes de fuerza pública
que hemos podido apoyar, implementamos una solución que intenta cerca
de un millón y medio de contraseñas por segundo para poder atacar
versiones de archivos cifrados por grupos subversivos. Conociendo las
limitantes, era posible abrir archivos de Word, Excel o Zip. No era rápido,
se requería de un buen diccionario, capacitación clara a quienes usaran la
infraestructura para poder a abrir los archivos.
Algunas herramientas forenses especializadas han logrado incorporar la
posibilidad de descifrar el contenido si es que se tiene la contraseña; otras
herramientas únicamente se usan para poder realizar ataques que permitan
conocer, adivinar por medio de diccionarios y permutaciones o eliminar
una contraseña.
Hoy, el cifrado usado en los teléfonos y equipos de cómputo y de
dispositivos móviles presenta retos muy difíciles, no sólo acerca de la
tecnología requerida para abrir los archivos (siempre y cuando tengamos
una orden judicial), sino también los elementos comentados
anteriormente.
La detección del cifrado de un sistema o equipo es importante al momento
de llegar a la escena del crimen o de tener acceso al equipo que se
encuentra encendido; quizá se tenga que obtener una imagen de la
memoria o desactivarlo si es posible. Si se encuentra apagado, nada que
hacer, permanecerá cifrado.
365
¿Cómo proceder entonces? ¿Será necesario hacer uso de infraestructura
como la que puede obtenerse en la nube, para tener un servidor con la
capacidad de procesamiento necesaria para hacer la fuerza bruta? Quizá,
pero por el momento son pocas las autoridades que permiten que el
archivo o disco cifrado sea colocado en la nube para hacer el ataque:
empezamos con temas como la confidencialidad de lo que subimos, la
posibilidad de que alguien tenga acceso o se enteren qué estamos
haciendo, etc. La tecnología está ahí…
Siempre habrá nuevos algoritmos de cifrado y más robustos; lo que
necesitamos, ante una posible conducta que se deba perseguir, es buscar
opciones que permitan el acceso a las pruebas o evidencia.
4. Un caso no se resuelve en 30 minutos -
Hemos hablado del tamaño de los discos (que cada vez son más grandes),
y que nos hace falta mejorar la forma en que se nos solicita una
investigación de un medio de almacenamiento y del cifrado.
Otro desafío que se impone radica en que, entre más información, más
requerimientos de poder de cómputo: las investigaciones pueden
demorarse cada vez más, requieren más herramientas y, en muchos casos,
exigen especialistas de diferentes disciplinas.
Qué mal nos ha tratado la televisión norteamericana. Estos casos de CSI
hacen que la gente piense que podemos resolver un caso en menos de 30
minutos y que basta conectar el teléfono celular a un servidor para que
aparezca en cuestión de segundos el dato o información que se estaba
buscando.
Muchos quisieran que existiera un botón de “Encontrar evidencia” en las
herramientas forenses digitales actuales, pero cada vez nos alejamos más
de esa situación ideal.
366
También nos enfrentamos a procedimientos que venimos arrastrando
desde que se iniciaron las primeras investigaciones digitales. Ya lo
compartí con el tema de las imágenes forenses, ahora cuestionaré el de las
investigaciones.
Muchas de las herramientas forenses digitales para el análisis de discos
duros o dispositivos móviles, así como los procedimientos actuales de los
laboratorios forenses para estas investigaciones, requieren que, una vez
creada la imagen forense, se procese en un software que va a categorizar
cada archivo; identificar si son cifrados, duplicados, tipo de archivo,
extensión, etc.; también indexarán todas y cada una de las cadenas de texto
para que el investigador pueda posteriormente hacer búsquedas rápidas de
términos. En pocas palabras, es algo que he denominado el “palomear
todo” como decimos en México (o “chulear todo” para los colombianos y
“seleccionar todo” para otros países). Con esto me refiero a que, sin
importar el caso, todo se procesa igual, con todas las opciones activadas,
lo que puede producir una demora de varios días por imagen forense.
Deberíamos configurar, dependiendo del caso, las herramientas para que
se demoren lo menos posible y permitan rápidamente tener acceso a la
información.
Hace algunos años, tomando como idea una metodología de Chris Pogue
llamada “Sniper Forensics”4, que propone elegir, ante un servidor
vulnerado, si uno tuviera 3 balas en un rifle de asalto (analogía), a qué
archivos del sistema operativo se apuntaría y dispararía, decidimos crear
una metodología que he tenido la fortuna de presentar ya en varios foros.
La metodología llamada “Perfilando un cibercriminal”5 toma aquella idea
pero adaptada a las computadoras. Si pudiéramos perfilar en base al tipo
de caso que tenemos, es posible que no tengamos que procesar la
información en una herramienta forense que demore días enteros en
obtener los resultados, para que después el investigador tenga acceso a la
información.
Muchas veces, las imágenes forenses que se tienen fueron reinstaladas
semanas antes de que se hiciera la imagen, o no corresponden al perfil de
367
la persona que estamos investigando, o simplemente se trataba de una
computadora secundaria, donde no es posible ver si ha sido usada
regularmente.
Esta metodología busca poder tener algo antes de procesar todo. No busca
eliminar el uso de las herramientas forenses, pero permite también ofrecer
un tiempo estimado que demoraremos en encontrar resultados.
¡Qué difícil es convencer a las autoridades de que no podemos hacer una
investigación forense digital completa en una semana! Pero es algo que
tenemos que explicar.
No todo mundo tiene acceso a las mismas herramientas ni a los mismos
presupuestos; pero lo interesante del forense digital es que no importa la
herramienta que se use, debemos llegar a los mismos resultados. Quizás
en más o menor tiempo.
Si es usted un juez, un ministerio público, un fiscal, le reitero: por favor,
entienda que necesitamos tiempo para hacer un buen trabajo. Y entre más
información haya y menos claridad en lo que buscamos, más tiempo
tomará.
Es entonces que debemos trabajar codo a codo, sabiendo claramente lo
que buscamos y en los tiempos que necesitamos dedicarle. Un caso no se
resuelve en 30 minutos como se muestra en la serie CSI; pero Grissom (el
personaje de la serie) dice que los delincuentes siempre cometen un error
y es ese error el que tenemos que buscar.
5. La nube, técnicamente, no es un problema -
¿Dónde está la nube? Me preguntaba un ministerio público que había
acudido a alguna de las capacitaciones a través de toda América Latina.
Expliqué con lujo de detalle que cuando existía ARPANET6, mucho antes
de la llegada de Internet, como la conocemos ahora, era común que se
diagramaran las conexiones que tenía cada uno de los elementos
368
tecnológicos interconectados. Al tener cada vez más dispositivos o
elementos tecnológicos, llegó el momento en que a alguien se le ocurrió
colocar una nube. La nube representa todos los elementos que pueden
estar conectados a la red, pero que, para razones del diagrama, no son
relevantes.
El funcionario hacía un silencio con extrañeza, y me decía que, si no es
relevante, dónde están nuestros datos.
Terminé reflexionando después de un minuto y le contesté algo que había
leído en Internet: “La nube es la computadora o computadoras de alguien
más”. Tan simple como eso.
Desde el punto de vista técnico, entendemos que hay todo un tema de
acceso transfronterizo de datos, de jurisdicciones; pero técnicamente, en
muchos de los casos, es posible realizar una pericial remota.
El problema, y el desafío, no son esos. La cuestión estriba en que muchas
de las infraestructuras que hoy se tienen en la nube, principalmente
aquellas que se comercializan como SaaS (Software as a Service) como lo
pueden ser Office365 o Google Enterprise en el caso de correos, no
permiten hacer un forense tradicional.
Regresamos al primer punto de este capítulo: ¿Es necesario tener acceso
a toda la información del servidor? No. ¿Podemos extraer sólo cierta parte
de la información? Sí.
En muchos casos, no hay otra opción más que confiar en la información
que la plataforma de este tercero tiene y, a veces no registra toda la
información necesaria para realizar una investigación.
En definitiva, esos datos, que muchas veces no se requieren, no son
almacenados por el proveedor de la tecnología, volviéndole un reto no
técnico, sino de disponibilidad de la información. Muchas veces, cuando
369
es necesario regresar a una fecha, la respuesta del proveedor es que nada
más se tiene la información de 30 días anteriores.
Esta cuestión en particular no es algo que podamos esperar a que se ejecute
un procedimiento o simplemente reaccionando. Es, más bien, de índole
preventiva: de solicitar que se obtenga dicha información o que el mismo
contratante tenga acceso a descargar la información y hacerla disponible
en caso de que algo suceda.
6. Entendiendo a las partes -
Últimamente hemos trabajado mucho en casos de respuesta a incidentes,
principalmente en el sector bancario en México y otros países de América
Latina. Es un tipo de acciones que se inician como un tema interno, pero
que, dada la naturaleza, toma la forma de un proceso penal y requiere
presentar las pruebas digitales.
Tuvimos un caso en el que, por medio de Internet, vulneraron la
infraestructura de un banco con el fin de realizar operaciones entre bancos
locales para “crear” dinero, el cual esperaban pacientemente en el banco
receptor de la transferencia para retirarlo por ventanilla. El quebranto
repercute directamente en el banco. Se está creando dinero de la nada y no
hay cuentas a donde hayan debitado.
En este caso en particular, estamos hablando de varias decenas de equipos
de cómputo, servidores, equipos de infraestructura involucrados. No se
trata únicamente de un sistema. La complejidad y cantidad de
información, las bitácoras de tantos servidores y equipos, aunado a que
inicialmente comenzó como una investigación interna, hizo que no
necesariamente se siguieran los pasos normales de preservar la prueba
digital debido a que se tiene que seguir operando.
Se empezó a crear un War Room, o cuarto de manejo de crisis, que incluía
áreas específicas. Particularmente, me interesaba que estuviera el personal
de contraloría y jurídico, para que pudieran tomar decisiones relativas a lo
que reportaríamos según los lineamientos administrativos del ente
370
supervisor, pero también para determinar en qué momento es posible
iniciar un procedimiento penal.
Todo es muy rápido. Primero, hay que mantener la operación.
Al momento de decidir iniciar el procedimiento penal, la autoridad solicitó
que se incautaran o secuestraran los equipos involucrados. Es por lo
anterior que sabiendo que la autoridad querrá investigar y la empresa
quiere mantener la operación las prioridades son diferentes.
Esta situación plantea algunos desafíos. En muchos casos, hemos
planteado desde hace muchos años que debemos seguir un procedimiento
inflexible o poco flexible, conforme al cual se llevan a cabo los cuatro
pasos del cómputo forense: identificación, preservación, análisis y
presentación.
Así, volvemos al punto inicial de este capítulo.
Hay miles de situaciones que requieren flexibilidad y también elementos
de validación de las pruebas digitales. Pero no todo está escrito. Tenemos
que buscar nuevas formas. Aprovechemos que, a diferencia del campo
jurídico, la técnica puede innovar a medida que va avanzando la
tecnología.
7. Cambiemos paradigmas -
En estos tiempos que corren tenemos que cambiar paradigmas. Recuerdo,
hace más de 15 años, cuando el tema del cómputo forense o las
investigaciones digitales era algo desconocido para la mayoría.
También recuerdo, con gran alegría, cuando por primera vez vi en
televisión el caso de las computadoras de Raúl Reyes, brazo financiero de
las FARC, y la explicación acerca de esta disciplina. Me emocioné. Y no
sólo porque habíamos tenido la oportunidad de conocer y apoyar
371
externamente, sino también porque sabía que en América Latina era el
inicio de un cambio importante.
Durante los siguientes años, tuve la oportunidad de viajar por toda
América Latina formando fiscales, ministerios públicos y especialistas en
la materia. Hemos estado tratando de crear comunidad, particularmente
con otro de los autores de este libro, mi gran amigo Gustavo Presman.
Creo que todavía estamos lejos de plasmar esa comunidad, en la que no
sólo un par de personas proponen lo que serán los retos y soluciones que
aporte esta disciplina.
Si es usted alguien que no está en la parte técnica, créame, estamos ávidos
de que entendernos, de buscar cómo mejorar la interacción entre las áreas
jurídica y técnica.
En definitiva, necesitamos realizar ciertas acciones que den lugar al
cambio que tanto necesitamos. A veces nos centramos en que las pruebas
digitales consisten en información que se encuentra dentro de un disco
duro accesible.
Dentro de todas estas cosas, encontramos Open Source Intelligence o
Inteligencia de Fuentes Públicas (OSINT), Respuesta a Incidentes que
termina en la obtención de pruebas digitales, Internet de las cosas (IoT),
Threat Hunting, etc. Hay un mundo allá afuera.
Tenemos que entender que necesitamos procedimientos homologados no
sólo en la región sino a nivel mundial, pero a la vez flexibles, dependiendo
de la situación.
No es lo mismo hacer una investigación de un celular, de una
computadora, de una tablet; al igual que no es lo mismo un caso de
suicidio, un homicidio o un robo de secretos industriales.
Y usted, ¿qué va a hacer para reconocer, enfrentar y elaborar propuestas
ante estos nuevos retos?
372
¿Cómo romperá el paradigma?
Notas 1 “Regresáramos a las bases”, una frase que se refiere a lo que el libro The
Cuckoo’s Egg de Cliff Stoll me ha dejado y que normalmente hablo en
mis
conferencias
de
ello.
2
MD5
Collision
Attack
Lab,
www.cis.syr.edu
3 “The first collision for full SHA-1”, Marc Stevens, Elie Bursztein, Pierre
Karpman, Ange Albertini, Yarik Markov, https://marc-stevens.nl.
4 Sniper Forensics “One Shot, One Kill”, SANS.org, www.sans.org.
5 Conferencia “¿Cómo perfilar a un cibercriminal?”, 2015, Organización
de
Estados
Americanos,
www.youtube.com.
6 “A History of the ARPANET: The First Decade (Report)”,
www.dtic.mil.
La evolución de la investigación de los ciberdelitos
Mariano Damián Manfredi
Lo que cambió ayer
Tendrá que cambiar mañana
Así como cambio yo
En esta tierra lejana
Cambia, todo cambia
Julio Numhauser
373
Los ciberdelincuentes son los maestros del crimen en constante
evolución1. Antiguamente, las organizaciones cibercriminales se
dedicaban cada una a distintos rubros, algunas al robo de información
personal, comercial o financiera, otras a la extorsión, secuestro de
información o acciones de terrorismo. Más aún, se diversificaba cada uno
de estos delitos en las prácticas necesarias para llevarlos a cabo, una célula
se dedicaba a la recolección de información del objetivo, otra al análisis,
otra al despliegue de la ingeniería social necesaria, y una última a la
ejecución del crimen. Cada uno en su lugar actuando como una caja de
engranajes en perfecta armonía, aun con la complejidad de actuar cada
una de ellas en distintos lugares del planeta.
Esto ha cambiado, hoy estas organizaciones criminales han unificado
estrategias, han evolucionado, convirtiéndose en verdaderas
organizaciones multitasking a través de ataques de “Amenazas
Persistentes Avanzadas” (Advanced Persistent Threat o APT por sus
siglas en inglés), llevando a cabo sofisticados intentos de hacking a
personas, negocios o países; ataques phishing para robar información
sensible; robo de contraseñas, y ataques ransomware o cualquier otra
actividad criminal que represente ingresos económicos.
Este panorama de evolución disruptiva y vertiginosa se presenta para las
agencias de aplicación de la ley como un inmenso desafío que obliga a
rever los métodos y procedimientos de investigación.
En tal sentido, cabe señalar que la investigación de los ciberdelitos
encuentra su punto de partida en el aporte que deben hacer las empresas
de servicios de tráfico en la red, sin la comunicación con los ISP (Internet
Service Provider en inglés) o los ESP (Electronic Service Provider), en un
tiempo no muy lejano era inconcebible e imposible de llevar a cabo, lo
cual nos permite tomar como referencia y proponer una clasificación de
métodos de investigación que podríamos distinguir entre investigación
pasiva e investigación activa.
1. Investigación pasiva -
374
En primer lugar, nos tenemos que poner en contexto con lo que viene
sucediendo, las agencias de aplicación de la ley inician su intervención
una vez sufrido por las víctimas el resultado del hecho criminoso, es decir,
cuando ya se ha producido el daño a un sistema informático, han sido
robados y utilizados los datos bancarios de un usuario, se han divulgado
imágenes e información del ámbito de la intimidad de la víctima, etc.
Haciendo un paralelismo con delitos comunes, ello consistiría en que, en
el caso de un homicidio, las agencias dieran comienzo a la investigación
con la aparición de un cadáver. Tengamos presente también que, hasta no
hace mucho, tanto las organizaciones como los particulares no poseían
conocimiento ni infraestructura de medidas proactivas de seguridad que
los pusieran sobreaviso de la posible comisión de hechos delictivos que
los tuvieran por víctimas.
El método de investigación pasiva fue el primero en ser implementado, en
momentos en que los investigadores, con el repentino advenimiento de la
cibercriminalidad, aún no se encontraban capacitados para llevar a cabo
este tipo de pesquisas, no por falta de capacidad investigativa, sino que
por falta de medios técnicos. Este método se basa exclusivamente en
solicitar información a las organizaciones de comunicación privadas y
obrar en consecuencia. Como en todo incidente o delito informático,
siempre se halla involucrado algún servicio online como podría ser un
correo electrónico, un perfil de red social, la utilización de una conexión
privada virtual (VPN). La primera comunicación con solicitud de
información generalmente es para un prestador de servicio electrónico
(ESP), requiriendo toda la información relativa al hecho investigado, tales
como datos de creación del servicio utilizado, registros de accesos, entre
otros. Una vez recibida, se disponen medidas de ampliación de datos
dirigidas a los proveedores de servicio de acceso a Internet (ISP), a los
proveedores de servicio de telefonía (TSP), en relación a la identidad de
los clientes de los distintos servicios de comunicaciones utilizados en la
posible comisión del hecho. Con toda esa información, se llega a una
conclusión final sobre la hipótesis del caso, luego de ser confrontada o
verificada contra bases de datos gubernamentales sobre la identidad de los
posibles autores. Se procede al allanamiento de todos los domicilios
presuntamente involucrados en el delito investigado y al secuestro de todo
dispositivo informático que pudiera tener capacidad de almacenamiento o
transmisión de datos. En resumen, se lleva a cabo el secuestro
indiscriminado de dispositivos, confiando en que el análisis pericial podrá
obtener la evidencia pertinente a la verificación de la identidad del usuario
que hubiera cometido el hecho.
375
En un gran porcentaje de casos dicha expectativa queda sin satisfacer,
dado que la “magia” desplegada por el perito informático no logra
establecer este aspecto fundamental de cualquier investigación criminal,
la autoría, ello en virtud de diversas circunstancias tales como la cantidad
de usuarios que acceden a la misma computadora en un domicilio familiar,
la multitud de conexiones de un punto de acceso inalámbrico, la
utilización de proxys, entre otros artilugios delictuales utilizados para
ocultar la verdadera fuente o dispositivo de comisión del hecho.
Esta etapa de la investigación es entonces sometida a un nuevo análisis,
en este caso con mayor cantidad de datos, muchos de ellos sin relación
directa con el hecho a desentrañar, lo que se traduce en mayor complejidad
de la pesquisa e infructuosos resultados, útil únicamente para integrar el
alto porcentaje de casos cerrados por imposibilidad de establecer la autoría
del hecho.
2. Investigación activa -
Otra vez debemos ponernos en contexto: la masificación del uso de las
redes sociales de diversas temáticas, la transformación del teléfono celular
en prácticamente una computadora móvil imprescindible, la oferta de
servicios online absolutamente necesarios para que estos dispositivos
funcionen con la conectividad exigida, la aparición de sistemas de correos
electrónicos asociados a la ubicación e identidad del usuario con su
dispositivo móvil, tales Gmail para los aparatos provistos del sistema
operativo Android, iCloud para los sistemas iOS de la empresa Apple y
Hotmail o Outlook para los sistemas operativos provistos con Windows,
todos ellos ligados a su vez en forma automática o por defecto a servicios
de almacenamiento en la “nube” tales como Google Drive, Onedrive de
Microsoft, traductores, buscadores por voz, y la estrella innegable de la
época, la mensajería instantánea, por cualquier medio tipo Messenger de
Facebook, Hangout de Google y el poderoso Whatsapp.
Esta dinámica trajo aparejados nuevos horizontes de investigación tales
como servicios asociados a los mismos correos electrónicos o los
abonados móviles que empezarían a tomar una relevancia que antes no
376
poseían, una relevancia tan importante como la utilización del número de
celular para el doble factor de autenticación, por lo que se podría suponer
que no sería un dato tan “desechable” como los otros debido a que también
podrían utilizarse para la recuperación de cuentas de usuario de distintos
servicios.
A esta altura, como vemos, el abonado móvil ya no sólo se utiliza para
poder obtener registros de llamados o mensajes de texto,
geoposicionamiento a través de la utilización de los distintos sitios, sino
que asume un rol protagónico dado que de él dependen un sinnúmero de
servicios utilizados en el equipo móvil, como por ejemplo la validación a
una cuenta de servicios de Google.
Todas estas innovaciones tecnológicas trajeron como resultado que el
investigador tenga a su disposición mayor información respecto a un
hecho o a un sospechoso, por lo que a través de distintas alternativas puede
desplegar medidas de investigación tendientes a esclarecer la materialidad
del hecho delictivo y la individualización del delincuente.
A esta actividad de descubrimiento de mayor información se la denomina
Open Source Intelligence (OSINT de ahora en adelante) o en español
“Inteligencia de Fuentes Abiertas”: es la disciplina utilizada para la
adquisición, tratamiento y posterior análisis de la información obtenida a
partir de la exploración de fuentes de carácter público o de cualquier
recurso accesible en forma pública.
El término OSINT fue utilizado ya en ámbitos militares/gubernamentales
hace muchos años, su origen “oficial” fue la creación en Estados Unidos
de Norteamérica de la Foreign Broadcast Information Service (FBIS) en
el año 1941, como organismo recolector de inteligencia a partir del
rastreo, traducción y análisis de transmisiones extranjeras relacionadas
con la propaganda de guerra en diferentes zonas del mundo. Como dato
anecdótico cabe destacar el primer informe que esta oficina emitió sobre
la supuesta disposición por parte de Tokio a entrar en el conflicto (que
coincidió con el ataque a Pearl Harbor el día después).
377
Avanzado el conflicto, y como verdadero ejemplo de OSINT, es curioso
el indicador que este organismo utilizó para deducir el porcentaje de éxito
de los ataques contra infraestructuras ferroviarias en la Segunda Guerra
Mundial: los precios de las naranjas en París. Es decir, se consiguió una
inteligencia “utilizable” a partir de un dato público que no parecía aportar
nada interesante a los analistas.
Después de varios cambios de rumbo en su historia, este proyecto culminó
en el año 2005 con su absorción por el denominado Open Source Center,
ente encargado de todo lo relacionado con OSINT en EE.UU.
actualmente.
Así, las técnicas de OSINT son utilizadas en la industria del marketing
con la finalidad de recolectar información acerca de la actividad de la
competencia, en investigaciones de carácter científico, y obviamente en la
lucha contra el cibercrimen.
Retomando nuestra evolución respecto a la investigación criminal, en este
formato de investigación activa, el investigador continuó apoyando su
pesquisa mediante requerimientos de informes a los ESP e ISP, pero en
este nuevo formato no reacciona sólo con esta información, sino que la
utiliza para conseguir nueva. Para un mejor entendimiento,
desarrollaremos el siguiente ejemplo.
Supongamos un caso de los denominados “La estafa nigeriana”, donde la
víctima recibe un correo electrónico solicitando el envío de dinero, ya que
el remitente de la misiva, un príncipe heredero, necesita repatriar su
fortuna dado que se encuentra bajo el gobierno de un opresor. Para llevar
a cabo este hecho delictivo el cibercriminal utiliza un correo electrónico
del tipo webmail. Hasta aquí el investigador pasivo sólo solicitaría en
primera instancia los datos de registración y registros de utilización del
servicio, obteniendo en consecuencia datos que se encuentran en dominio
del usuario y otros que no puede manipular. Veamos entonces: Recibe un
nombre, apellido, fecha de nacimiento y código postal que introduce y
podría manipular deliberadamente el usuario suscriptor, como así también
otros que se encuentran fuera de su control como la dirección IP utilizada
para la creación, fecha y hora en que se llevó a cabo, identificación de
378
dispositivos y en algunos casos los recursos utilizados, como datos del
navegador, etc.
En este caso, el investigador activo, además de solicitar a los ISP y/o a los
TSP que brinden los datos que posean sobre la identidad de sus respectivos
clientes que utilizaron sus servicios para acceder al servicio empleado,
sale a la red a buscar servicios que se encuentren relacionados con los
datos ya obtenidos.
Entonces, siguiendo con nuestra investigación de la estafa nigeriana, el
investigador busca servicios que se encuentren vinculados, por ejemplo,
al correo electrónico asociado al investigado o al número de abonado
móvil. Con suerte y buen método de aplicación de técnicas de OSINT,
consigue otros servicios vinculados a estos como podrían ser datos de
registración de páginas web, otros correos electrónicos, perfiles de redes
sociales, etc., y aquí reinicia el pedido de información a los ESP e ISP,
pero en esta oportunidad de todos aquellos servicios que logró descubrir.
La cantidad de datos obtenidos de distintos servicios vinculados a otros le
permiten al investigador conformar una suerte de bitácora de navegación
diaria o, en otras palabras, un esquema de utilización de servicios online
de la persona investigada, permitiendo entonces, de acuerdo a horarios y
conexiones fijas o móviles utilizadas, armar los posibles movimientos
diarios de una persona y por lo tanto lograr su individualización.
Continuando con nuestro caso, al sospechoso le encontramos vinculado a
su correo electrónico una suscripción a un portal de noticias, un perfil en
una red social, su abonado móvil a un sitio de citas, obviamente todos
estos con distintas identidades. Así, a través de la elaboración del esquema
de utilización de servicios se puede determinar que en la misma ubicación
y generalmente a la misma hora en días hábiles, primero ingresa al portal
de noticias para luego hacer lo mismo en su red social, que a media
mañana vuelve a hacer la misma actividad pero en distinta locación, que
en el mismo lugar pero a última hora laboral ingresa al sitio web de citas
y, por la noche, a última hora, se repite la misma actividad que a las
primeras horas del día coincidente en la misma ubicación. Por lo tanto, se
puede establecer fácilmente en qué sitio el posible sospechoso pernocta.
Por ende, sería su domicilio y donde transcurre su día en horario laboral
lo que se podría corresponder con su lugar de trabajo o estudio, entre otros.
379
De esta forma, una vez determinada la persona, la medida de allanamiento
de su morada adquiere una nueva perspectiva: ya no se trata de llevarlo a
cabo secuestrando en forma indiscriminada equipos informáticos, sino
que la tarea de secuestro de elementos estará dirigida a la verdadera
motivación de este, que es el aseguramiento de la evidencia que corrobora
el hecho investigado, haciendo entonces hincapié en los elementos
utilizados por nuestro sospechoso. También resultará ampliado el espectro
de lugares donde buscar más evidencia, en nuestro ejemplo el domicilio
laboral.
Este nuevo método de investigación, una vez identificado al sospechoso,
permite que ya no todo dependa de los resultados mágicos de la pericia
informática, a la vez que le imprime un orden de acción respecto a las
búsquedas a realizarse, dando dirección a las incógnitas abiertas que
suelen representarse en los famosos y fatídicos “puntos de pericia”,
pudiendo ser entonces dirigidas a un objetivo concreto. Respecto a la
actuación en el método anterior del perito informático, es como tener el
diario del día siguiente, entonces el perito ya no se enfoca en ver quién fue
sino que, sabiendo quién podría haber sido, su tarea está dirigida a poder
dilucidar cómo lo llevó a cabo.
3. Modelo proactivo -
Como mencionamos al principio, respecto a la evolución de la
cibercriminalidad y teniendo en cuenta que debido a las amenazas
persistentes avanzadas llevando a cabo sofisticados intentos de hacking a
personas, negocios o países; ataques phishing para robar información
sensible; robo de contraseñas, y ataques ransomware o cualquier otra
actividad criminal que represente ingresos económicos, las agencias de la
ley toman conocimiento de estos hechos en el momento justo de su
ocurrencia, por lo que la investigación criminal se torna concomitante con
la misma ejecución del ciberdelito.
Esto se suma a la exposición de información privada en sitios públicos
como redes sociales, servicios de mensajería, consultas online a sistemas
de registro como whois de direcciones IP, dominios de sitios, bases de
380
datos públicas gubernamentales en el marco de las políticas de gobiernos
abiertos y la utilización por los usuarios de distintos servicios. Para poder
apreciar la magnitud de la cantidad de información dispuesta en forma
pública en la red, sólo basta comentar algunas cifras, por ejemplo el
gobierno argentino, en su sitio de datos abiertos, pública 693 bases de
datos2, la República del Paraguay 2223, la República de Chile 3.5004. Por
su parte, podremos hacernos una idea de la actividad de los usuarios en
las siguientes cifras: en sólo un minuto se envían 38 millones de mensajes
instantáneos por Whatsapp, 18 millones de mensajes de texto, 187
millones de correos electrónicos, se crean 2,4 millones de snap en
Snapchat, se observan 1,1 millón de fotografías en Tinder, se descargan
375 mil aplicaciones tanto de Google Play como del App Store, se
publican 490 mil tweets, se hacen 3,7 millones de búsquedas en Google y
se efectúan operaciones de comercio online por u$s 862.8235, entre otras
cuestiones.
Ante este panorama, la explotación de fuentes abiertas o, como lo
mencionamos anteriormente, las técnicas de OSINT adquieren un rol
predominante; existen técnicas para explorar en búsquedas iniciando con
cualquier tipo de dato con que se cuente: a partir de nombres de usuarios
o nicknames podríamos descubrir en sólo segundos si el mismo nombre
es utilizado en 560 redes sociales o sitios de distintas actividades; a partir
de un abonado de telefonía móvil podríamos conocer en qué red social se
encuentra suscrita una persona o conocer a qué compañía pertenece, si se
encuentra prendido o apagado, en su servicio habitual o utilizando
roaming, y en caso de ser así, qué compañía le presta el servicio; a partir
de un correo electrónico conocer si este es desechable o no; servicios
donde se encuentra suscripto, etc. Existen un sinfín de herramientas, cada
una para una situación de búsqueda en particular.
La utilización de estas novedosas herramientas de investigación trae
aparejadas cuestiones que hasta este momento no se habían planteado.
Una de ellas son las características de los investigadores criminales tal
como los conocemos. Este tipo de investigación proactiva requiere de
operadores entrenados no sólo en la disciplina de OSINT sino que deben
tener un vasto conocimiento de las garantías constitucionales, manejo de
evidencia digital y, sobre todo, interpretar y hacer conocer con claridad
las actividades de investigación que llevó a cabo.
381
El investigador debe conocer efectivamente el límite entre lo público y lo
privado; no sólo basta considerar en qué lugar del ciberespacio se
encuentra esa información, sino también poder discernir si la misma fue
obtenida, publicada o dejada disponible por medios lícitos. Si bien estas
son cuestiones de fondo que aún se encuentran en plena discusión, el
investigador debe garantizar este aspecto. De nada serviría información
obtenida a través de un phishing y publicada posteriormente en algún
medio público.
La proactividad está dada en que, al momento en que se toma
conocimiento de la comisión de un ciberdelito, los analistas pueden
lanzarse a la búsqueda de información concreta para el caso, tomar
medidas al respecto y luego verificar la misma. Es el formato que en la
actualidad utilizan las empresas que brindan el servicio de seguridad
informática o cibernética. Ya no se encuentran expectantes ante la
ocurrencia de algún ataque, campaña de infección mediante malware o
phishing, sino que al momento de la primera evidencia se lanzan a la
búsqueda del origen del mismo: lo denominan atacar al atacante. Teniendo
conocimiento de cuál es el origen de un ataque y de qué organización
criminal proviene, es posible predecir, de acuerdo al modus operandi de
los cibercriminales involucrados, la motivación, finalidad y formas de la
comisión delictiva. Ya no se dedican a crear remedios, previenen los
hechos. Podríamos pensar que el argumento de la película que protagoniza
Tom Cruise, “Minority Report”, finalmente se hizo realidad; pero para
bien o para mal no hemos llegado a ello aunque nos encontramos muy
cerca, más de lo que imaginamos.
Supongamos que detectamos un malware dentro de los sistemas de una
organización que viene, ya hace tiempo, recolectando información de
usuarios, comportamientos, sistemas, etc.; supongamos también que por
el análisis de su código fuente conocemos de qué banda cibercriminal
proviene, y según la información recolectada por el virus informático
podríamos conocer rápidamente el ataque que se está planeando llevar
adelante, fuese un ataque por denegación de servicio, a un sistema de
telemetría de alguna infraestructura crítica, o simplemente un business
email compromise (BEC) y poder reaccionar en consecuencia en la
prevención del evento. Esto no es futurismo, es actualidad.
382
Volvamos a la evolución de la investigación. Como se pudo observar,
podríamos pensar que en el método proactivo no necesitamos la
participación de las organizaciones privadas como los ISP y los ESP, que
tan sólo con la cantidad de información recolectada y analizada ya
resolvemos cualquier investigación. Esto no sería así, salvo en la
investigación judicial, ya que para que la información colectada se
convierta en evidencia irrefutable debería ser validada por algún medio:
es este el rol que juegan en la investigación estas entidades, y ya no el
papel central que ostentaban anteriormente.
En consecuencia, el modelo proactivo en la faz de la investigación
preparatoria quedaría conformado de la siguiente manera: OSINT;
individualización e identificación del posible autor del hecho investigado;
según la urgencia, disponer el allanamiento para el aseguramiento de la
evidencia; convalidación de la información obtenida por medio de la
explotación de fuentes abiertas con los ESP e ISP, y desde aquí pasar a la
fase siguiente de la investigación, el secuestro de la evidencia y su
posterior análisis o peritaje.
Como vimos, no sólo los cibercriminales evolucionaron en sus formas
delictivas, también lo hizo la investigación (con menor vertiginosidad)
logrando avanzar en el aspecto de la recolección de información que luego
se transformaría en evidencia, dado que por otra parte los métodos de
secuestro, tratamiento y análisis pericial de la evidencia digital también
han evolucionado satisfactoriamente.
En la actualidad, existen herramientas forenses informáticas que nos
permiten llevar a cabo una selección de evidencia útil a través de rápidos
análisis denominados triage en el lugar de los hechos, evitando de esta
manera el secuestro indiscriminado de dispositivos, por un lado, como así
también un innecesario desborde de los laboratorios informáticos
forenses. En breve, y mediante la adecuación de los procedimientos
judiciales, llegaremos a llevar adelante sólo el secuestro de la evidencia
digital sin necesidad de hacerse de los dispositivos que la contienen como
computadoras, teléfonos celulares, etc., o tal vez con las credenciales de
acceso secuestrar la información contenida en los servicios en la nube de
un sinnúmero de aplicaciones que la utilizan, o como el contenido de
teléfonos celulares allí resguardados.
383
Con esto último, también se plantean nuevas oportunidades, como la de
prescindir de las pericias informáticas tal como se las conoce en la
actualidad. Con las herramientas existentes, tanto las de código abierto
como las licenciadas, es posible garantizar la integridad, trazabilidad y
autenticidad de la evidencia digital; más aún, es imposible realizar una
actividad que pretenda socavar alguna de estas características.
Entonces, con todo lo mencionado podemos decir que este método
imprime proactividad de principio a fin, intentando llevar adelante una de
las nuevas premisas de la investigación moderna, que es la investigación
criminal inteligente mediante la utilización de la totalidad de los recursos
tecnológicos disponibles.
No todo es color de rosa. Con la notoriedad de lo acontecido en el caso de
Facebook y Cambridge Analítica, la utilización de información privada de
los usuarios con fines de manipulación masiva, la promulgación del nuevo
reglamento europeo de datos personales, las técnicas de investigación
basadas en la explotación de fuentes abiertas se vieron perjudicadas. Esta
situación, lejos de volver inútiles estas actividades, provocó el desarrollo
de nuevas herramientas que cumplen las funciones de aquellas que
quedaron obsoletas y requieren un mayor conocimiento y entrenamiento
de los operadores de las agencias de cumplimiento de la ley. Este nuevo
“inconveniente” es en realidad una oportunidad necesaria de contar con
investigadores con mejores y mayores conocimientos respecto a la lucha
contra la cibercriminalidad.
Cambia, todo cambia: la cibercriminalidad avanza con una vertiginosidad
nunca antes vista, la investigación criminal se adecua rápidamente, la
justicia aggiorna y se permite nuevas concepciones, la legislación aún no
parece haberse dado por enterada. No perdamos las esperanzas, cambia
todo cambia.
384
Notas -
1
https://glo
bbsecur
2
http://datos.gob
3
http://dato
4
http://datos.g
5 www.pcac tual.com
ity.com.
.ar/
s.gob.py/
ob.cl/
Protocolos de preservación de evidencia digital y cuestiones forenses
Ana Di Iorio
1. Introducción -
El término preservar es definido por el Diccionario de la Real Academia
Española como “Proteger, resguardar anticipadamente a alguien o algo,
de algún daño o peligro”. Esto significa, entonces, que al definir
protocolos, técnicas o mecanismos para la preservación de la evidencia,
se está previendo que existe la posibilidad de un “daño o peligro”.
Esto supone además, agregar algunas cuestiones específicas cuando lo que
se busca preservar es la evidencia digital, con las particularidades que
conlleva en sí misma.
Por otro lado, el término forense es definido por el DRAE como
proveniente del latín forensis, “perteneciente o relativo al foro”,
385
entendiéndose el foro como aquel sitio donde los tribunales oyen y
determinan las causas. Lo particular es que este mismo diccionario ya
incluye el término “médico forense”, indicando “médico adscrito
oficialmente a un juzgado de instrucción para llevar a cabo prácticas
periciales propias de la medicina legal”, definiendo a esta última como
“Aplicación de la medicina al asesoramiento pericial de los tribunales”.
Estas incorporaciones denotan el progreso y consolidación de la medicina
en la práctica forense, que seguramente, con el tiempo, será llevado a otras
ciencias de aplicación forense, como es el caso de las ciencias
informáticas.
El objetivo de este capítulo es plantear lineamientos generales de los
aspectos a considerar relativos la preservación de la evidencia digital en
cada una de las etapas del proceso de manipulación de la evidencia, así
como esbozar algunas recomendaciones básicas para ordenar el trabajo
entre los organismos que colaboran en una investigación. No se pretende
realizar un estudio exhaustivo de los protocolos existentes en esta
temática, sino, simplemente, mencionar algunos a modo de ejemplo de
buenas prácticas.
Los protocolos y las guías de buenas prácticas no son ajenos a las personas
que los ejecutan, es decir, a quienes los llevan al campo, a la escena del
hecho o al laboratorio pericial, así como tampoco son ajenos al contexto,
al equipamiento disponible o al entorno de trabajo.
Son escasas las posibilidades de que un muy buen protocolo de
preservación sea una buena solución, a la hora de llevarse a la práctica, si
no cuenta con la articulación adecuada con otros organismos con los que
interactúa, el compromiso y capacitación precisa de las personas que los
deben aplicar y la infraestructura acorde desde lo técnico y edilicio.
1.1. Evidencia digital
Se ha desarrollado el concepto de “evidencia digital” en este trabajo, dado
que este término está íntimamente relacionado al de “cibercrimen”.
386
Para la lengua española, el término “evidencia” tiene dos acepciones: 1.
Certeza clara y manifiesta de la que no se puede dudar, y 2. Prueba
determinante en un proceso1.
Al pensar en evidencia en un contexto criminal, probablemente la primera
imagen que se representa es la de un arma en un lugar del hecho, un rastro
de frenada de un automóvil, o cualquier otro elemento que pueda brindar
una “certeza clara y manifiesta de la que no se pueda dudar”, y que, en el
mejor de los casos, tomando los recaudos necesarios, se convierta en una
“prueba determinante en un proceso”. Lo importante es poder determinar,
y ser conscientes, de aquellas precauciones para que dicha evidencia tenga
validez en un proceso.
La criminalística es la disciplina que aplica los conocimientos, técnicas y
métodos de investigación de las ciencias naturales al examen de material
sensible y significativo relacionado con un presunto hecho delictivo2. Esta
tarea puede interpretarse de acuerdo al sistema en el que se aplica: en el
inquisitivo, por ejemplo, tendrá el fin de auxiliar a los órganos encargados
de administrar justicia; en el sistema acusatorio, en cambio, implica un
trabajo codo a codo en el proceso de investigación judicial.
Sin embargo, en un mundo atravesado por la tecnología, la criminalística,
con su experiencia y bagaje de conocimientos, se encuentra ante la
necesidad y disyuntiva de ampliar su campo de acción, no sólo al estudio
de las evidencias materiales, sino también de todo tipo de evidencia, tanto
material como digital, que se produce en la comisión de hechos delictivos,
con el fin último de brindar elementos reconstructores, identificadores y
probatorios para que conozcan la verdad técnica e histórica de los hechos
que se investigan3.
En la definición de evidencia del DRAE, que la define como “Prueba
determinante en un proceso”, nada se indica respecto de su característica
física o digital. Es importante, sin embargo, distinguir estos dos tipos de
evidencias, dado que requerirán tratamientos diferenciados. Existen varias
definiciones de evidencia digital, y todas convergen en la asignación de
una función específica a esa información o dato. En este orden de ideas,
se define evidencia digital como la información o datos, almacenados o
387
transmitidos en un medio informático, que pueden ser utilizados como
evidencia4.
Se considera evidencia digital a cualquier información que, sujeta a una
intervención humana, electrónica y/o informática, ha sido extraída de un
medio tecnológico informático. Técnicamente, la evidencia digital se
representa en un medio físico, en características y propiedades de un
material que se modifica por medio de técnicas y herramientas específicas.
La evidencia digital presenta características que la diferencian de la
evidencia física:
- Es intangible.
- Puede duplicarse tantas veces como sea necesario, y las copias son
idénticas al original.
- Puede modificarse fácilmente, por lo tanto, es necesario tomar medidas
para garantizar su integridad.
- Reside en un soporte físico, pero no es el soporte físico en sí. Se habla
entonces de la evidencia digital, y del “contenedor” de evidencia digital.
El NIST (Instituto Nacional de Estándares y Tecnología de los Estados
Unidos) clasifica la evidencia digital de acuerdo a la información que
incluye, ya sean archivos de computadoras, de audio, grabaciones de
video o imágenes digitales. Esta primera clasificación básica se puede
complementar con la función asignada a esa evidencia, esto es: evidencia
de transición o evidencia probatoria5. La evidencia de transición es
aquella que permitirá acceder a otra evidencia, y, de esa manera, hilando
la información es posible llegar a una evidencia que colabore con la
prueba de un hecho. Un ejemplo de una evidencia de transición puede ser
una dirección IP en el envío de un mensaje. Esta información sólo cumple
una función de “transición”, un dato que permite avanzar en la
investigación. La evidencia probatoria, en cambio, es aquella que se
constituye como prueba de la ocurrencia de un hecho.
388
Estas evidencias, además, pueden presentarse en dos contextos
temporales:
1. En sistemas vivos o en flagrancia: los datos se generan en el momento
en que está ocurriendo el hecho y son volátiles, propensos a ser perdidos
al momento de apagarse el sistema. Por ej.: la información que se
encuentra en la memoria principal de un equipo, o la que es transmitida
por las redes.
2. En sistemas apagados o cuando el hecho ya ha sucedido en el pasado:
en este caso los datos que se constituirán en evidencia persisten en algún
dispositivo o medio de almacenamiento digital.
1.2. Principios de la Criminalística aplicados a la evidencia digital
La aplicación forense de una ciencia implica para el profesional conocedor
de dicha ciencia incursionar en un ámbito y contexto que, en un principio,
no le es propio ni conocido. Al aplicar su ciencia con un fin forense, el
profesional se ve en la necesidad de incorporar a los principios y métodos
propios de su disciplina científica, aquellos que provienen de la
criminalística, que le proporcionan las orientaciones y saberes comunes
que harán que su conocimiento específico tenga un mejor desempeño en
el proceso penal.
Cistoldi y Núñez6 realizan un gran aporte al mencionar cómo los
principios de la criminalística, fundados en la evidencia física y las
ciencias naturales pueden ser reinterpretados a la luz de la evidencia
digital, y, además, pueden guiar el actuar del forense.
1. Principio de intercambio o transferencia: Este principio se atribuye al
Dr. Edmond Locard (1877-1966), y es conocido también como “Principio
de Locard”. Locard fue un médico francés que se incorporó al mundo de
la Criminalística, y se lo reconoce como el padre de la Medicina Forense
moderna. Locard afirmó que “es imposible que un criminal actúe,
389
especialmente en la tensión de la acción criminal, sin dejar rastros de su
presencia”7. Este principio generalizado es formulado como “cuando dos
objetos entran en contacto, intercambian parte de su material”. Se deduce
de este principio que en la escena del hecho, sea esta física o digital,
quedarán rastros y será el criminal quien, llegado el caso, se ocupe de
intentar borrarlos; pero también se desprende que quedarán rastros de
cualquier otra interacción que se produzca con la escena. En una escena
del hecho física, un ejemplo de transferencia puede ser una huella dactilar
a un objeto; en una escena del hecho virtual, puede ser una línea en un log
de transacciones, el registro de una dirección IP desde la que se conectó
un usuario, entre otros. Este principio está directamente relacionado con
el principio forense de evitar la contaminación, que será tratado más
adelante en este capítulo.
2. Principio de uso: Para cometer un delito, cualquiera que sea, las
personas “usan algo”. Este principio orienta al investigador a buscar
posibles instrumentos, ampliando las líneas de investigación. Además, ese
“algo” que se usa va a dejar sus rastros a partir del principio de
intercambio o transferencia. Las evidencias digitales que se obtengan
serán el resultado de eso que se utilizó: entonces, por ejemplo, no será lo
mismo usar uno u otro software para realizar una determinada maniobra.
Plantear las hipótesis adecuadas para conocer qué se utilizó y el modus
operandi, es decir, de qué manera y cómo se cometió un hecho, se vinculan
a este principio de uso.
3. Principio de producción: Toda acción física o humana genera
consecuencias o resultados. A su vez, estas consecuencias o resultados
presuponen la existencia de un agente, una acción y un objeto sobre el cual
recae dicha acción. Se puede concluir que el resultado “dice algo” respecto
a los otros tres componentes (agente, acción, objeto). El plan de
investigación, los puntos periciales a solicitar y, en consecuencia, el
análisis forense a realizar, estarán orientados en función de las
consecuencias o resultados. Un resultado, por ejemplo, de un golpe es un
hematoma, que en función de su forma y características dirá “algo”
respecto a ese golpe. De la misma manera, un resultado de la alteración de
una imagen es un cambio en los metadatos y estructura del archivo, que
hablará de esa acción.
390
4. Principio de correspondencia de características: La acción de un agente
deja impresas sus características en la superficie. La búsqueda de la
correspondencia de características guiará y también permitirá descartar
supuestos o hipótesis investigativas (por ej., la correspondencia de una
huella de calzado y un tipo de pisada, con el calzado y forma de caminar
de un sospechoso). Estas correspondencias también guían la búsqueda de
cotejos de datos y metadatos en la evidencia digital: una forma de
expresión escrita del sospechoso (por ej., un error ortográfico recurrente),
la huella de que cierto documento ha sido procesado por un determinado
software (por ej., metadatos o transformaciones que un software genera
en un archivo), la verificación de que el objeto ha sido descargado desde
un determinado sitio, entre otros, son sólo algunos de los ejemplos de la
utilidad de adoptar este principio.
5. Principio de reconstrucción de hechos: Es el principio que debe guiar
toda labor investigativa. La búsqueda, preservación y análisis de la
evidencia debe contribuir al conocimiento y reconstrucción de hechos
pasados, validando de esta manera, o no, las hipótesis planteadas en la
investigación. La evidencia digital se sumará a otras evidencias y aportará
a la reconstrucción de los hechos. Por ejemplo, de un análisis informático
forense puede surgir que un determinado “usuario” ha realizado cierta
acción en un equipo; serán otras evidencias la que aporte la conexión entre
ese “usuario” y la “persona” que efectivamente se ha logueado como
dicho usuario.
6. Principio de probabilidad: En la reconstrucción de los hechos y tras el
análisis de las evidencias, es posible realizar un cálculo de la probabilidad
del resultado con un grado variable de aproximación a la verdad. Este
principio será aplicado en función de su necesidad y de acuerdo a las
características del método aplicado y el tipo de resultados obtenidos. Por
ejemplo, en un estudio genético de filiación, los resultados se describirán
en base a probabilidades. Sin embargo, en un caso de análisis forense de
un equipo informático en el que se solicita la búsqueda de un determinado
documento, la respuesta es positiva o negativa; en este último caso las
probabilidades carecen de sentido.
7. Principio de certeza: Este principio se relaciona con la pertinencia de la
evidencia y su relación con el hecho. La investigación finaliza,
generalmente, con la valoración de las evidencias y su correspondencia
391
con el acto. De nada servirá, y no se procederá al análisis, por ejemplo, de
elementos que no estén relacionados con el hecho.
Los principios de la criminalística orientan la investigación criminal,
permitiendo además a peritos de diferentes disciplinas que integren sus
saberes científicos, técnicos y metodológicos con el foco puesto en la
búsqueda de la verdad sobre la ocurrencia de un hecho. Sin embargo, estos
principios nada dicen respecto al actuar.
En la asamblea de los Estados partes en el Estatuto de Roma de la Corte
Penal Internacional del año 20038, ya se plantea la necesidad de contar
con un cuerpo multidisciplinario, coordinado por investigadores
judiciales. En dicha estructura, se propone la presencia de un investigador
informático forense indicando: “I9 - Como es muy probable que la
información almacenada en elementos de computadoras se convierta en
pruebas, se necesitará un especialista en la recolección e investigación de
ese tipo de pruebas. Como en esos sistemas no se almacena ningún tipo
de información física, serán necesarios conocimientos de muy alto nivel
para garantizar la calidad y fiabilidad de las pruebas, y evitar su
contaminación o pérdida”.
Es indiscutible el avance en la amigabilidad que han tenido los
equipamientos informáticos desde 2003 a la actualidad, pero también es
cierto que los sistemas se han vuelto cada vez más complejos, por lo que
se puede desprender que esta aseveración no ha perdido vigencia. Sin
embargo, de acuerdo a lo planteado por los autores del documento, contar
con conocimientos de muy alto nivel podría garantizar de hecho la calidad
y fiabilidad de la prueba y evitar su contaminación o pérdida. De ser así,
puede entenderse que esta responsabilidad queda únicamente en poder del
informático forense y, a su vez, en la formación adquirida. Ahora bien,
¿es posible asignar esta responsabilidad sólo a la formación? De ser así,
¿quién garantiza esta formación? La experiencia de Argentina demuestra
que, pese a que en sus comienzos efectivamente dependía de la expertise
del perito sin que fuera obligatorio ningún tipo de formación en la temática
específica, luego, con el correr de los años, fueron los mismos
investigadores informáticos forenses quienes impulsaron la existencia de
procesos unificados, guías de buenas prácticas y protocolos que
permitieran defender ante un juez o tribunal las acciones realizadas y
aporten la organización de la tarea necesaria9, buscando, en definitiva,
392
respetar los principios forenses básicos: evitar la contaminación, actuar
metodológicamente y controlar la cadena de custodia.
1.3. Principios forenses aplicados a la evidencia digital
1.3.1. Evitar la contaminación
La evidencia digital debe ser adquirida del modo menos intrusivo posible
tratando de preservar la originalidad de la prueba y, en la medida de lo
posible, obteniendo copias de respaldo. Cada elemento, de acuerdo a sus
características, deberá ser protegido de diferente manera para evitar su
contaminación. Se utiliza el término “evitar”, dado que si bien no puede
asegurarse, es posible prever que se tomarán los recaudos necesarios para
procurar impedir que suceda la contaminación.
La norma ISO/IEC 27037: 201210 es considerada el primer estándar a
nivel mundial para adquirir evidencias digitales. Está centrada en los
procedimientos de actuación vinculados a la identificación,
recolección/adquisición y preservación de la evidencia digital, sin
considerar la etapa de análisis de la evidencia11.
Esta norma propone las siguientes recomendaciones a fin de evitar la
contaminación12:
- Minimizar el manejo de la evidencia digital original: Siempre que sea
posible se trabajará sobre una imagen forense, a fin de evitar cualquier
tipo de alteración del original. De igual manera, proceder sobre los objetos
soportes de evidencia digital potencial, es decir, aquellos que podrían
contener algún tipo de evidencia. Es importante recordar que un objeto
soporte de evidencia digital podría contener también otra evidencia, como
por ejemplo restos hemáticos o huellas dactilares.
- Documentar cualquier acción que implique un cambio irreversible:
Cualquier acción que se realice sobre un equipo que implique una
alteración deberá ser documentada, informada y autorizada por la
393
autoridad competente. El objetivo es evitar la contaminación; sin
embargo, es posible que la técnica a utilizar para recuperar la información
deje rastros que alteren el estado original y deban documentarse. Además,
la práctica de la documentación tiene incidencia directa sobre la
factibilidad del proceso de ser auditado. Un claro ejemplo son las técnicas
de volcado de memoria principal, que se utilizan para preservar los datos
volátiles, aquellos que están presentes en memoria pero se pierden al
apagar el equipo. Ejecutar una herramienta de volcado sobre un equipo
implica una serie de acciones que modificarán el estado original del
equipo (la conexión de un dispositivo externo que contiene la herramienta,
la asignación de un espacio de memoria al proceso de volcado para que
pueda ser ejecutado, la inclusión del proceso en la tabla de procesos, entre
otros). Será decisión del director de la investigación proceder con estas
acciones a fin de obtener la información presente en la memoria principal
en caso de presentarse un equipo encendido al momento del
procedimiento, o, simplemente, proceder a no realizar estas acciones
sabiendo que, al apagar el equipo, esa información se perderá.
- No extralimitarse en sus funciones: No actuar más allá de sus
competencias y no tomar decisiones sin la autorización correspondiente.
De hacerlo, se corre el riesgo de contaminar el original, y, por lo tanto, no
preservar la prueba. Para mitigar esta posibilidad se recomienda contar
con una adecuada estructura funcional donde se detalle las competencias
y habilidades de cada profesional.
- Adherirse a las regulaciones y leyes locales: Respetar las regulaciones,
códigos de procedimiento, protocolos y/o guías de buenas prácticas
locales, asegura la validez de la prueba obtenida y de lo actuado.
1.3.2. Actuar metódicamente
Toda investigación nace como consecuencia de un hecho. El perito, con
el método, garantiza una forma de observar, pensar y resolver problemas
de manera objetiva y sistemática. El método es un procedimiento de
trabajo que permite descubrir las circunstancias en que se presentan
hechos concretos y se caracteriza por ser: verificable, de observación
objetiva y de razonamiento riguroso.
394
La ISO/IEC 27037:2012 plantea, respecto al actuar metódico, que el
proceso a seguir para la identificación, recolección y preservación debe
ser:
- Reproducible: de manera que los métodos y procedimientos sean
reproducibles, verificables y demostrables para que otros profesionales
puedan dar validez a las actuaciones realizadas. Que el proceso sea
reproducible implica que se deben obtener los mismos resultados si se
aplica el mismo procedimiento, con herramientas distintas, en condiciones
distintas, en cualquier momento. La reproducibilidad del proceso
implicaría que, por ejemplo, dos peritos, en dos entornos de trabajo
distintos y con herramientas forenses diferentes, lleguen al mismo
resultado.
- Auditable: los procedimientos seguidos y la documentación generada
deben haber sido validados y contrastados por las buenas prácticas
profesionales. Se debe proporcionar trazas y evidencias de lo realizado y
sus resultados. Documentar todas las acciones que se realizan y justificar
sus decisiones en las etapas del proceso.
- Defendible: se deben nombrar las herramientas utilizadas, siendo estas
validadas y contrastadas para su fin. Un proceso será defendible ante
terceras partes, si es repetible y justificable13. Un proceso es repetible si
se obtienen los mismos resultados al aplicar el mismo procedimiento, con
las mismas herramientas, en las mismas condiciones, en cualquier
momento. Un proceso es justificable si se puede demostrar que las
acciones y métodos utilizados son el mejor curso de acción posible de
acuerdo al estado de la ciencia y la técnica.
En consecuencia, el método es el camino a recorrer para alcanzar un fin,
y la técnica es el medio por el cual se recorre el camino. El método
responde al “cómo”, mientras que las técnicas y herramientas responden
al “con qué”.
395
Los protocolos, recomendaciones y guías de buenas prácticas buscan
justamente brindar las respuestas y homogeneizar este “actuar metódico”.
1.3.3. Controlar la cadena de custodia
La cadena de custodia es una secuencia o serie de recaudos destinados a
trazar el origen, identidad e integridad de la evidencia, procurando que
esta no se pierda, destruya o altere. Se aplica a todo acto de aseguramiento,
identificación, obtención, traslado, almacenamiento, entrega, recepción,
exhibición y análisis de la evidencia, preservando su fuerza probatoria.
Permite, además, hacer transparente todo eventual cambio o alteración del
material probatorio14. En este marco, la preservación es el resguardo o
depósito seguro de la evidencia, durante los lapsos de tiempo en que esta
no es transportada ni utilizada.
La cadena de custodia puede estar protocolizada, como es el caso de la
res. 889/15, “Protocolo de Cadena de Custodia de la Procuración General
de la Provincia de Buenos Aires”15, o puede armarse a partir de encadenar
un conjunto de acciones que buscan este fin.
La cadena de custodia comienza desde el momento del hallazgo o
recepción de la evidencia y finaliza cuando la autoridad judicial
competente decida sobre su destino final.
En la cadena de custodia participan todos los funcionarios y/o empleados
que intervengan durante las diferentes etapas del proceso judicial sobre
las evidencias, y serán su responsabilidad las acciones de control que
ejerzan sobre los elementos recibidos y entregados en cada oportunidad.
El correcto tratamiento de la evidencia en general, y de la evidencia digital
en particular, implica una adecuada manipulación en la escena del crimen,
sea esta física o digital; la estandarización de criterios entre los operadores
intervinientes en el campo y el laboratorio pericial; un adecuado proceso
de “cadena de custodia”, y un análisis siguiendo los parámetros de
objetividad y transparencia de acuerdo a los desarrollos más avanzados de
las disciplinas correspondientes. Para ello, es necesaria una rigurosa
396
metodología científica durante todo el proceso, desde la recolección hasta
la producción de la prueba pericial16.
2. Protocolos de preservación de evidencia digital -
Un protocolo es un conjunto de reglas establecidas por norma o por
costumbre, en una secuencia detallada de un proceso de actuación
científica, técnica, médica, etc.17. Esta secuencia de actividades primero
surge en búsqueda de resolver una problemática y se van convirtiendo en
costumbre, para, finalmente, definiéndose como conjunto de buenas
prácticas, constituirse en un protocolo.
Al buscar el actuar metódico, cualquiera sea el ámbito, la primera
recomendación en este camino es reflexionar sobre las actividades y tareas
que se realizan, y escribir, documentar. Esta actividad de escritura implica
estructurar las tareas a realizar en un conjunto de procedimientos con un
fin determinado. Ahora bien, si la actividad es compartida por un conjunto
de profesionales, estos procedimientos deben ser compartidos y validados,
con el objeto de lograr un consenso.
Un protocolo, entonces, es un documento o una normativa que establece
cómo se debe actuar en ciertos procedimientos determinados. De este
modo, recopila conductas, acciones y técnicas que se consideran
adecuadas ante ciertas situaciones.
Los protocolos de preservación tienen como finalidad establecer
metodologías de recolección de evidencias, preservando su estado
original, para garantizar su posterior análisis con fines probatorios e
identificatorios.
El camino hacia los protocolos y guías de buenas de prácticas vinculadas
a la informática forense y la evidencia digital ha tenido diferentes actores
a lo largo del tiempo. En algunas provincias ha sido iniciado por el Poder
Judicial, como es el caso, por ejemplo, de los protocolos del Poder Judicial
de Neuquén18 y Río Negro19; en otros casos, como en el Ministerio
Público de la provincia de Buenos Aires, la Guía de Empleo de la
397
Informática Forense en el Proceso Penal fue desarrollada por el
Laboratorio de Investigación y Desarrollo de Tecnología en Informática
Forense “InFo-Lab”20, tomando como referencia el Proceso PURI
(Proceso Unificado de Recuperación de Información), resultado de una
investigación académica del Grupo de Investigación en Sistemas
Operativos e Informática Forense de la Universidad FASTA, para luego
integrarlo con los conocimientos propios de las ciencias jurídicas y del
campo práctico del procedimiento penal.
Los “protocolos” constituyen el marco para las prácticas. Son las reglas
fundamentales de ese hacer, son las guías de esa práctica. Conforman un
cuerpo de indicaciones institucionales que no deben obviarse y que no
pueden faltar en ningún proceso de trabajo. Independientemente de los
protocolos que establezca cada provincia, hay ciertos criterios de buenas
prácticas vinculados al quehacer científico que será igual. Se podrá variar
en cuestiones procesales, pero hay criterios comunes: por ejemplo, quien
recolecta la evidencia no puede tener diferencias de criterios respecto a
cómo embalar, o si puede o no explorar un equipo encendido.
En este sentido, y con el objeto de unificar criterios, el Ministerio de
Justicia y Derechos Humanos de la Nación, a partir del Programa Nacional
de Criminalística, define en su Protocolo Unificado de los Ministerios
Públicos de la República Argentina una guía para el levantamiento y
conservación de la evidencia.
En conclusión, las prácticas y los procesos pueden definirse localmente,
pero los criterios sobre el modo en que se protege la evidencia contra la
contaminación deben estar unificados a nivel país; los documentos de
cadena de custodia deben tener requisitos mínimos básicos, con
información elemental, a nivel país. De esta manera, las responsabilidades
se asignan localmente, pero las reglas que establecen su cumplimiento se
establecen con carácter nacional21.
Los criterios comunes, a fin de ser indiscutidos, siempre deben basarse en
los principios generales de la criminalística, las ciencias forenses y el
manejo de la evidencia digital, los cuales se pasan a detallar a
continuación.
398
2.1. Principios Generales del manejo de la evidencia digital
- Relevancia: La evidencia a recolectar debe ser útil para las necesidades
investigativas y/o los puntos probatorios de cada caso concreto. No debe
ser sobreabundante ni superflua (por ej., art. 338 del CPP BA). Este
principio opera fundamentalmente como criterio de selección de
evidencia22. En este sentido, en el Protocolo Unificado de los Ministerios
Públicos de la República Argentina se indica: “La pericia informática
conlleva tiempos elevados de trabajo y no es posible realizarla sobre
grandes cantidades de elementos. Debe evitarse el secuestro masivo de
elementos informáticos, en especial CD y DVD, los que sólo han de ser
enviados a peritaje únicamente si se tienen presunciones con un alto grado
de verosimilitud de poseer la evidencia buscada. Cabe aclarar que, de ser
posible, se sugiere realizar, previo al allanamiento, una investigación
minuciosa con el objeto de identificar con precisión la ubicación y
características técnicas generales de los elementos a secuestrar por medio
de inteligencia policial”.
- Suficiencia: Las evidencias obtenidas y eventualmente analizadas
deberían ser suficientes para lograr los fines investigativos.
- Validez legal: Para que la evidencia sea admisible, debe haber sido
obtenida respetando las garantías y formas legales.
- Confiabilidad: Para asegurar la confiabilidad debemos garantizar que el
proceso sea auditable, repetible, reproducible y justificable. Esta
característica, relacionada con el actuar metodológico, debiera estar
garantizada por la robustez del protocolo o guía de buenas prácticas que
rija.
2.2. La actuación del informático forense
Los procesos de investigación y litigación son complejos. En ellos
participan y se entrecruzan una gran variedad de procedimientos de
399
trabajo materializados en guías o protocolos, con aportes de disciplinas
diversas y una pluralidad de funcionarios intervinientes de diversas
fuerzas de la ley. Es así que la cooperación, la articulación de tareas y el
consenso de criterios para alcanzar las metas previstas entre todos los
participantes requiere de una especial atención y gestión.
Un investigador informático forense puede realizar diversas tareas en una
investigación penal, las que requieren del profesional diferentes
conocimientos, aptitudes y habilidades. No será lo mismo, por ejemplo, el
profesional que deba acudir a la escena del hecho a recolectar objetos
pasibles de contener evidencia digital, que quien deba analizar un
determinado equipamiento para encontrar rastros de la existencia de un
malware. En consonancia con las etapas de una investigación criminal, los
roles suelen dividirse en: rol de asesoramiento, rol investigativo y rol
pericial23.
El rol de asesoramiento intervendrá en la planificación y asistencia para
desarrollar tareas investigativas analíticas tales como planteos de
hipótesis, colaboración en informes o exámenes, redacción de posibles
puntos de pericias, entre otras tareas vinculadas al asesoramiento técnico
informático relacionado al caso a investigar. Luego, en la ejecución de las
medidas de investigación, se requiere contar con un rol investigativo que
participe en tareas que requieren otras habilidades, como la participación
en un allanamiento para el secuestro de equipos informáticos, volcado de
datos de la memoria física de un equipo, realización de una imagen
forense. Por último, es responsabilidad del rol pericial contar con los
conocimientos especiales para conocer o apreciar algún hecho o
circunstancia pertinentes a la causa. Será este quien efectúe el análisis
forense propiamente dicho, a la luz de su leal saber y entender.
Las tareas de identificación, resguardo y preservación de evidencia digital
se corresponden con el rol investigativo.
La Norma ISO 27037:2012 propone dos perfiles claves bien
diferenciados: el Digital Evidence First Responder (DEFR) y el Digital
Evidence Specialist (DES), que podría traducirse como el “Responsable
de Primera Respuesta” y el “Especialista en Evidencia Digital”.
400
El primero es aquella persona que está autorizada, capacitada y habilitada
para actuar en la escena del crimen, recolectando y adquiriendo las
evidencias digitales con las debidas garantías. Su formación dependerá de
cada legislación y política organizacional. En el contexto del ejercicio del
“Responsable de Primera Respuesta” se establecen las condiciones y
habilidades requeridas para asegurar la evidencia digital propia de la
situación en estudio. Al Especialista en Evidencia Digital (EED), en
cambio, la norma lo califica como aquella persona que puede llevar a cabo
las tareas del “Responsable de Primera Respuesta” y, además, cuenta con
conocimientos, destrezas y entrenamiento especializado en un amplio
rango de aspectos tecnológicos, y está capacitado para actuar como
analista forense.
En la Guía Integral de Empleo de la Informática Forense en el Proceso
Penal de la provincia de Buenos Aires, se toma el concepto general de la
Norma ISO 27037 y se la adapta distinguiendo cuatro niveles de
actuación, donde cada uno de ellos está vinculado a los roles antepuestos.
- Responsable de Identificación (RI): es la persona idónea para las tareas
de identificación de posible evidencia digital o contenedores de la misma;
no necesariamente es un especialista informático. Esta labor puede estar a
cargo de un investigador judicial debidamente capacitado en la materia, o
del personal auxiliar del Laboratorio de Informática Forense.
- Especialista en Recolección (ER): es la persona autorizada, entrenada y
calificada para recolectar objetos físicos pasibles de contener evidencia
digital. Puede necesitar el auxilio de un Especialista en Adquisición. Es
factible ubicar a este profesional en un rol de investigación.
- Especialista en Adquisición (EA): es la persona autorizada, entrenada y
calificada para recolectar dispositivos y adquirir evidencia digital de estos,
como imágenes de disco, volcados de memoria o red, copias lógicas, entre
otros tipos de evidencia digital. Es factible ubicar a este profesional en un
rol de investigación.
401
- Especialista en Evidencia Digital (EED): es el experto que puede realizar
las tareas de un Especialista en Adquisición y además tiene conocimientos
específicos, habilidades y aptitudes que le permiten manejar un amplio
rango de situaciones técnicas, tales como la realización de una pericia. Es
factible ubicar a este profesional en un rol pericial y/o de investigación.
El encargado de iniciar y ejecutar las tareas de identificación y
preservación será el Especialista en Recolección y/o Especialista en
Adquisición según esta Guía, y será el DEFR “Responsable de Primera
Respuesta” de las norma ISO 27037:2012.
2.3. Buenas prácticas en la identificación y preservación de la prueba
Los protocolos, guías y normas que se han referenciado a lo largo de este
capítulo, y muchos otros que se han tomado como bibliografía de base
para la elaboración de los aquí nombrados, coinciden en un conjunto de
buenas prácticas para la identificación y preservación. Algunos plantean
líneas generales y otros son más específicos. Se presenta a continuación
un compendio de estas prácticas, que pueden agruparse en cuatro grandes
puntos: 1) asegurar la escena; 2) registrar la escena y los elementos
identificados; 3) identificar los elementos; 4) evitar la contaminación, 5)
clasificar, rotular y embalar.
1. Asegurar la escena
a) Asegurar el área donde ocurre el evento informático y los elementos
materiales probatorios que se encuentren allí: notas, documentos,
dispositivos electrónicos, entre otros.
b) Evitar que personal extraño al área tenga acceso a la misma y a los
equipos que allí se encuentren.
c) Separar a las personas que trabajen sobre los equipos informáticos lo
antes posible y no permitirles volver a utilizarlos.
402
2. Registrar la escena y los elementos identificados
a) Tomar fotos o video de cómo se encontró el área. Documentar fecha,
hora y condiciones en las cuales se llega al sitio donde ocurren los hechos.
b) Registrar lo que es visible en los dispositivos de salida como pantallas
e impresoras.
c) Fotografiar todos los equipos informáticos antes de moverlos o
desconectarlos. Esto es, hacer una toma completa del lugar donde se
encuentren los equipos informáticos y de las pantallas de las
computadoras, si están encendidas. Así como también fotografiar los
equipos, con sus respectivos cables de conexión etiquetados.
d) Excepcionalmente, si se debiera inspeccionar los equipos informáticos
o material tecnológico en el lugar del hecho, puede ser conveniente
realizar una filmación o bien una descripción del trabajo que se lleva a
cabo ante los testigos.
3. Identificar los elementos
a) Identificar correctamente todo el material tecnológico a secuestrar.
Siempre debe preferirse secuestrar únicamente los dispositivos
informáticos que almacenen grandes volúmenes de información digital
(computadoras, notebooks y discos rígidos externos). Respecto a DVD,
CD, pendrives, etc., atento a que pueden encontrarse cantidades
importantes, debe evitarse el secuestro de este material si no se tiene una
fuerte presunción de hallar la evidencia en estos medios de
almacenamiento. Si se decide secuestrar todo, identificar claramente qué
dispositivos móviles están en uso y a quiénes pertenecen, como así
también los que se encuentran apagados, guardados o en aparente desuso.
403
b) Verificar si existen dispositivos externos: discos, CD, DVD, pendrive,
u otro medio de almacenamiento conectado en alguna unidad. Retirarlo,
protegerlo y guardarlo en un contenedor adecuado.
c) Identificar si existen equipos que estén conectados a una red o línea
telefónica y, en su caso, registrar el número telefónico y/o usuario en el
acta de allanamiento.
d) Indicar si el material recolectado se encuentra contaminado con
residuos biológicos o peligrosos de cualquier tipo.
e) Obtener, siempre que sea posible, las contraseñas y/o patrones de
bloqueo de aplicaciones, tabletas, celulares, etc., para registrar.
f) Dejar registrado el nombre del dueño o usuario del equipamiento
informático, ya que luego pueden ser de utilidad para la pericia.
4. Evitar la contaminación
a) Respetar el orden de volatilidad, estableciendo como criterio preservar
la muestra más volátil al principio –como registros, cachés, memoria de
periféricos, memoria principal, estado de las conexiones de red, procesos
que se están ejecutando–.
b) Levantar el material informático con guantes descartables, ya que
teclado, monitor, mouse, CD, DVD, etc., pueden ser utilizados para
análisis de huellas dactilares, ADN, etc.
c) Desconectar todos los cables de red.
d) No presionar cualquier tecla ni hacer clic con el mouse.
404
e) No abrir la tapa de una computadora portátil si está cerrada.
f) No encender si se encuentra apagado.
g) Para apagar, desconectar de su respectiva toma eléctrica, no del enchufe
de la pared, después desconectar el resto de cables, como la red de datos,
monitores, etc.
h) Si los equipos están apagados, deben quedar apagados; si están
prendidos, deben quedar prendidos y consultar con un especialista la
modalidad de apagado (en caso de no contar con asesoramiento, proceder
a apagarlos desenchufando el cable de corriente desde el extremo que
conecta al gabinete informático).
i) Si son notebooks o netbooks, es necesario quitarles la o las baterías y
proceder a secuestrar los cables y la fuente de alimentación. Para el caso
de celulares, retirar la batería. En caso de no poder extraer la batería,
apagarlo y proteger el botón de encendido con un cartón pegado con cinta
para evitar el encendido accidental. Como medida extra de seguridad, se
puede activar el “modo avión” antes de apagarlo24.
j) De ser necesario dejar el dispositivo encendido por algún requerimiento
específico –por ejemplo, para no perder información volátil, colocarlo en
una bolsa de Faraday o envolverlo con, al menos, tres capas de papel
aluminio.
k) No realizar búsquedas sobre directorios ni ver la información
almacenada en los dispositivos, ya que es posible que se altere y destruya
evidencia digital (esto incluye intentar hacer una “copia” sin tener
software forense específico y sin que quede documentado en el expediente
judicial el procedimiento realizado).
l) Si realiza algún cambio, registrarlo y justificar.
405
5. Clasificar, embalar y rotular (Este será el primer paso del procedimiento
de cadena de custodia)
a) Se debe registrar todo número de identificación de cada dispositivo.
b) Se debe recolectar todo cable, accesorio o conexión, colocando
etiquetas en los cables para facilitar una eventual reconexión.
c) Rotular el hardware que se va a secuestrar con los siguientes datos: i)
para computadoras, notebooks, tablets, celulares, cámaras digitales, etc.:
número del expediente judicial, fecha y hora, número de serie, fabricante,
modelo; ii) para DVD, CD, pendrives, etc.: almacenarlos en conjunto en
un sobre antiestático, indicando número del expediente judicial, tipo
(DVD, CD, pendrives, etc.) y cantidad, iii) cuando haya periféricos muy
específicos conectados a los equipos informáticos y se deban secuestrar,
deben identificarse con etiquetas con números los cables para indicar
dónde se deben conectar.
d) Debe sellarse con cinta cada entrada o puerto de información, como
también los tornillos del equipo, a fin de que no se puedan remover o
reemplazar las piezas internas del mismo.
e) Se recomienda el uso de cinta de evidencia.
f) La evidencia recolectada deberá ser clasificada y embalada según los
específicos requerimientos técnicos de cada objeto, a los fines de
preservar la integridad de continente y contenido.
g) Se sugiere utilizar bolsas especiales antiestática para almacenar
disquetes, discos rígidos y otros dispositivos de almacenamiento
informático que sean electromagnéticos (si no se cuenta con aquellas,
pueden utilizarse bolsas de papel madera).
406
h) Se debe evitar el uso de bolsas plásticas, ya que pueden causar una
descarga de electricidad estática, con riesgo de destruir o alterar datos.
i) Se procurará que no se incluya en un mismo embalaje evidencias que
tengan diferentes destinos periciales.
j) Cada elemento deberá ser rotulado por separado.
k) Se recomienda que el rótulo sea preimpreso y de carácter inviolable.
l) Se debe adherir el rótulo confeccionado al efecto o al embalaje que lo
contiene.
m) No debe efectuarse el rotulado sobre el propio elemento o su embalaje.
n) Controlar el llenado completo del rótulo con tinta indeleble, de manera
concisa, precisa y exacta, con letra clara imprenta, legible y comprensible.
Su contenido debe ajustarse a la información verdadera y no debe tener
enmiendas ni tachaduras.
Todas estas prácticas buscan asegurar que lo actuado pueda ser
reconstruido a posteriori.
3. Conclusiones -
La aplicación forense de la ciencia, como otras disciplinas, no está exenta
de riesgos. El perfil y grado del riesgo dependerán de la situación de
incertidumbre. Si se identifican los factores de riesgo potenciales en
tiempo oportuno y se planifican líneas de acción futura, ante la posibilidad
de su desarrollo problemático, se podrán evitar consecuencias
negativas25. La contaminación o pérdida de la evidencia es uno de estos
riesgos, entre tantos otros.
407
Reflexionar sobre los riesgos de cada tarea, escribir las guías o protocolos
adecuados, capacitar al personal que ejecutará estas tareas, contar con el
perfil acorde para el rol, entre otros, constituyen algunos de los aspectos a
considerar en un plan de acción para minimizar estos riesgos.
Sin embargo, todo factor de riesgo requiere de ciertos actores. En ese
contexto de riesgo ambos irán relacionados, si se identifican unos, a
continuación se identifican los otros. La preservación inicial es sólo una
fase dentro de toda una cadena, en la que intervienen todos los actores
mencionados entrelazados y, lo más probable, de diferentes fuerzas de la
ley. Las acciones de mitigación de riesgos no pueden ser aisladas, así
como tampoco sectorizadas.
Si se prevé algo negativo, hay que trabajar para evitarlo; si se vislumbra
algo positivo hay que hacer lo posible para asegurarlo26. Es
responsabilidad de todos y de cada uno, en el rol que le toque, que esto
suceda.
Notas -
1
Diccionario
de
la
Real
Academia
Española.
2 Moreno González, Luis R., Manual de Introducción a las Ciencias
Penales, Cap. “La Criminalística”, Secretaría de Gobernación, México
D.F.,
1976,
pp.
844-845.
3 Montiel Sosa, Juventino, Manual de Criminalística 1, Cap. 1 “Resumen
histórico”,
Limusa,
México,
1994,
pp.
37-38.
4
Portal
Wiki
Ius
http://www.derec
hofacil.g
ob.ar.
5 Di Iorio et al., El rastro digital del delito. Aspectos técnicos, legales y
estratégicos de la informática forense, Universidad FASTA, Mar del Plata,
2017.
408
6
Ídem,
pp.
55-59.
7 Locard, E., Manuel de Technique Policière, Payot, Lyon, 1928.
8 Asamblea de los Estados partes en el Estatuto de Roma de la Corte Penal
Internacional: Segundo período de Sesiones (Nueva York, 8 a 12 de
septiembre de 2003). Documentos Oficiales, pp. 72-74.
9 Di Iorio, Cistoldi, Lamperti, Giaccaglia, Constanzo, “De un proceso
unificado de recuperación de la información a un protocolo de actuación
en informática forense”, FODERTICS 4.0: estudios sobre nuevas
tecnologías y justicia, IV Fórum de expertos y jóvenes investigadores en
derecho y nuevas tecnologías, celebrado en la Facultad de Derecho de
Salamanca, en 2015, coord. Federico Bueno de Mata, 2015, pp. 253-260.
10 Las normas ISO/IEC 27037:2012 son una renovación del RFC 3227, y
están orientadas a los dispositivos y técnicas actuales. Sin embargo, pese
a que sus propuestas están orientadas a un esquema de investigación y
actuación que muchas veces difiere de las realidades propias de cada
sistema judicial, es importante observar estas buenas prácticas y
directrices para el manejo de las evidencias digitales (identificación,
recopilación, consolidación y preservación) que van a constituir valor
probatorio, a la luz de las regulaciones provinciales/nacionales.
11 La norma ISO/IEC 27037:2012 define los procesos sobre los que se
basa
de
la
siguiente
manera:
- La identificación consiste en la localización e identificación de
evidencias
potenciales.
- La recolección y/o adquisición es la incautación o incautación y copia
de los dispositivos y documentación que puedan contener la evidencia
digital
que
se
desea
recopilar.
- La conservación/preservación refiere a las prácticas a realizar con el fin
de que las evidencias se preserven de manera adecuada para poder ser
admitidas
como
pruebas.
12 La Guía Integral de Empleo de la Informática Forense en el Proceso
Penal de la Provincia de Buenos Aires incluye estas prácticas.
13 Di Iorio et al., Guía Integral de Empleo de la Informática Forense en el
Proceso Penal, 1ª ed., Universidad FASTA, Mar del Plata, 2015. Res.
483/16 del Ministerio Público de la provincia de Buenos Aires, disponible
en
www.info-lab.org.ar.
14
Ibídem.
15 Resolución 889/15, Procuración General de la Provincia de Buenos
Aires.
Disponible
en
www.mpba.gov.ar.
16 Protocolo unificado de los ministerios públicos de la República
Argentina: guía para el levantamiento y conservación de la evidencia,
Ediciones SAIJ, Buenos Aires, 2017, disponible en www.saij.gob.ar.
409
17 Definición del Diccionario de la Real Academia Española.
18 Protocolo de Actuación de Pericias Informáticas. Poder Judicial de
Neuquén,
disponible
en
www.jusneuquen.gov.ar.
19 Protocolo de Actuación del Departamento de Informática Forense.
Poder Judicial de Río Negro, disponible en http://digesto.ju srionegro.g
ov.ar.
20 El InFo-Lab (Laboratorio de Investigación y Desarrollo de Tecnología
en Informática Forense) es una iniciativa conjunta entre el Ministerio
Público de la provincia de Buenos Aires, la Universidad FASTA y la
Municipalidad de General Pueyrredón, destinada a desarrollar soluciones
tecnológicas para coadyuvar a la autonomía investigativa del Ministerio
Público
(www.info-lab.org.ar)
21 Protocolo unificado de los ministerios públicos de la República
Argentina…
cit.
22 Guía Integral de Empleo de la Informática Forense en el Proceso
Penal...
cit.,
Res.
483/16
cit.
23 Aspectos estratégicos, organizacionales y de infraestructura en el
diseño de Laboratorios Judiciales de Informática Forense, VII CIIDDI
(Congreso Iberoamericano de Investigadores y Docentes de Derecho e
Informática), La Habana, mayo 2017, disponible en http://info-lab.org.ar.
24 Algunos protocolos plantean dejar el equipo encendido y con la batería
puesta hasta que se agote, otros protocolos plantean apagarlo pero no
desarmar el equipo dejándolo sin batería, y por último, otros plantean
apagar y quitar la batería. Se recomienda en este caso actuar de acuerdo a
las indicaciones recibidas en su protocolo, dado que no hay un consenso
establecido.
25 Fernández Sánchez, Jesús I., “Inteligencia Criminal. Inteligencia y
Seguridad”,
Revista
de
Análisis
y
Prospectiva,
2009.
26 Serra del Pino, Jordi, “La prospectiva y la investigación del futuro”,
Revista Escuela de Medicina Legal, Inteligencia al Servicio de la Ciencia
Forense, junio 2011.
Cloud Act
La nueva ley y su impacto en investigaciones en entornos digitales
Daniela Dupuy
Mariana Kiefer
410
1. Planteamiento del problema -
Hoy en día resulta necesario, en el marco de las investigaciones penales,
contar con cierta información digital que se encuentra en poder de las
empresas proveedoras de servicios de Internet.
Estas compañías se encuentran –en la mayoría de los casos– instaladas en
el extranjero o poseen sus servidores centrales en extraña jurisdicción.
Frente a este panorama, se observan dos situaciones.
La primera de ellas consiste en casos de requerimientos de datos
informáticos por la Justicia de un determinado país, a una empresa
prestataria de servicios de Internet cuya central se encuentra en el mismo
territorio. La nota distintiva es que, si bien los datos pueden ser accedidos
desde ese territorio, la información se halla en realidad alojada en extraña
jurisdicción.
Este escenario ha sido debatido en el caso Microsoft/Irlanda, cuyo
desenlace ha sido observado desde todo el mundo y será analizado en este
artículo.
La segunda situación que se observa es que los gobiernos extranjeros
buscan, cada vez más, acceder a datos electrónicos en poder de las
empresas de tecnología asentadas en un país extranjero.
En este sentido, se observa que la mayoría de los requerimientos de datos
informáticos se dirigen a Estados Unidos, toda vez que este se ha
convertido en un país central, por encontrarse allí la mayoría de las
empresas proveedoras de servicios de Internet (Facebook, Microsoft,
Google, Twitter, Instagram).
411
En consecuencia, las empresas de tecnología y comunicación se enfrentan
a potenciales conflictos legales cuando los gobiernos piden datos que
podrían colisionar con las leyes extranjeras.
La promulgación de la denominada Cloud Act1, cuyo contenido y alcance
se explicarán en profundidad en este artículo, propone acuerdos
internacionales entre países que resolverían estos conflictos, con el
compromiso de respetar la protección de la privacidad y las libertades
civiles de los usuarios.
La Cloud Act2 es una ley federal de Estados Unidos promulgada el 23 de
marzo de 2018. La norma fue presentada en el mes de febrero pasado ante
el Congreso de Estados Unidos por una comisión compuesta por
miembros de diferentes partidos norteamericanos. Sin embargo, su
aprobación se ha producido sin ningún debate, y fue introducida como
parte de la Consolidated Appropriations Act de 2018, una enorme ley
presupuestaria de más de dos mil doscientas páginas de extensión,
destinada a tratar el cierre financiero del gobierno federal, pudiéndose
encontrar en la última sección la ley de referencia.
Lo expuesto llamó la atención, pues la ley tiene implicancias para debatir
en el orden interno norteamericano y en el ámbito internacional, como
veremos seguidamente.
La práctica demuestra que en investigaciones que implican recolección de
datos informáticos en poder de proveedores de servicios de Internet, para
lograr su eficiencia, requiere inexorablemente acceder a información
alojada físicamente en extraña jurisdicción y, sin esa información, se
vuelve imposible continuar con la persecución penal.
Pero, además de lo señalado, esa información no solamente significa un
dato fundamental para el avance de la investigación, sino que también, en
razón del carácter volátil de los datos necesarios, deviene fundamental
contar con ella de manera inmediata. Hoy, acudir a los mecanismos
tradicionales de cooperación internacional –como el MLAT3, que será
desarrollado posteriormente– implicaría poner en riesgo el avance de la
412
investigación, pues los tiempos que demanda su tramitación perjudican el
éxito de aquella.
En consecuencia, ante la ineficacia de estos mecanismos tradicionales de
cooperación internacional en materia penal, actualmente representa una
costumbre internacional obtener los datos mediante una comunicación
directa de los investigadores de un Estado determinado con las empresas
del sector privado ubicadas en extraña jurisdicción, en cuyos servidores
están alojados físicamente los datos necesarios para un proceso penal.
¿Se puede acceder a todo tipo de datos a través de estos nuevos
mecanismos de comunicación Estado/sector privado? Generalmente, las
empresas prestadoras de servicios en Internet prestan colaboración frente
a requerimientos en el marco de una investigación penal, en relación a
datos de suscripción o de abonado y datos de tráfico4 –debe tenerse en
cuenta que ciertas empresas no facilitan ningún dato mediante esta
modalidad de comunicación directa–. Sin embargo, en relación a los datos
de contenido5, las compañías –salvo determinadas excepciones, como
casos de extrema urgencia– solicitan se implementen los mecanismos
tradicionales de cooperación internacional: tratados de asistencia legal
mutua o rogatorias internacionales.
Lo cierto es que, en el marco de una investigación penal, el acceso por las
autoridades judiciales de un país determinado a datos alojados en extraña
jurisdicción a través de la cooperación de la empresa proveedora de
servicios en internet, viene generando problemas jurídicos tanto para el
derecho procesal penal como para el derecho internacional, cuyas normas
de jurisdicción para la obtención de prueba están basadas en el principio
de territorialidad.
Las complicaciones más frecuentes a las que se enfrentan los
investigadores consisten en poder entender la inexistencia de fronteras
físicas y la aceptación del desdibujado principio de territorialidad y
soberanía de los Estados, que surge en el marco de las investigaciones en
entornos digitales.
413
En ese sentido, Salt señala: “La carencia de herramientas procesales que
prevean esta nueva realidad, o de canales de cooperación internacional
entre países que permita la obtención de evidencia transfronteriza de
manera legítima y con la rapidez que la investigación requiere constituye
un obstáculo tanto para la eficacia de la investigación como para la plena
vigencia de las garantías, no sólo de los imputados de un delito, sino
también de terceras personas –ISP– que pueden resultar afectadas por las
distintas modalidades de acceso transfronterizo realizadas de hecho por
las autoridades de los diferentes países6”.
En consecuencia, es peligroso para las libertades individuales que un
Estado acceda a datos alojados en extrañas jurisdicciones, fuera de un
marco que regule los principios y garantías de las personas afectadas por
la intervención estatal.
Este tema también genera conflictos sobre la aplicación de normas de
protección de datos vigentes en los distintos países involucrados y en las
normas internacionales sobre protección de datos personales. Por ejemplo,
en el mes de mayo de este año entró en vigor el Reglamento del
Parlamento Europeo y del Consejo Europeo relativo a la protección de las
personas físicas en lo que respecta al tratamiento de datos personales7 y
la directiva del Parlamento Europeo y del Consejo Europeo relativa a la
protección de las personas físicas en lo que respecta al tratamiento de
datos personales por las autoridades competentes para fines de
prevención, investigación, detección o enjuiciamiento de infracciones
penales o de ejecución de sanciones penales, y a la libre circulación de
dichos datos8.
Desde el ámbito de la política internacional, en supuestos en que un
Estado accede a datos alojados en extraña jurisdicción puede interpretarse
por algunos países y organismos internacionales como violatorio a la
soberanía nacional del Estado en el que los datos informáticos están
alojados9.
En este sentido, varios países se encuentran debatiendo los desafíos ya
indicados y ensayando posibles respuestas y soluciones.
414
Es de destacar la Propuesta del Parlamento Europeo y del Consejo sobre
las órdenes europeas de entrega y conservación de pruebas electrónicas a
efectos de enjuiciamiento penal10.
Dicha propuesta tiene por objeto mejorar la seguridad jurídica para las
autoridades, proveedores de servicios y las personas afectadas,
manteniendo un elevado nivel en lo que se relaciona con las solicitudes de
las autoridades competentes, asegurando la protección de los derechos
fundamentales, la transparencia y la responsabilidad. También, la
propuesta pretende acelerar el proceso para obtener y asegurar pruebas
electrónicas que estén almacenadas o que obren en poder de proveedores
de servicios establecidos en otra jurisdicción. Paralelamente, la Comisión
está trabajando para reforzar los mecanismos de cooperación judicial
existentes a través de medidas como la creación de una plataforma segura
para el intercambio rápido de solicitudes entre autoridades judiciales de la
Unión y para formar profesionales de todos los Estados miembros de la
Unión Europea en materia de asistencia judicial y cooperación, prestando
especial atención a los Estados Unidos, pues se trata del país que recibe el
mayor número de solicitudes procedentes de la Unión Europea.
En consecuencia, la Comisión propone que para la notificación y
ejecución de órdenes en virtud de este instrumento las autoridades deberán
recurrir al representante legal designado por el proveedor de servicios.
Las órdenes de entrega de datos de los abonados y de datos relativos al
acceso podrán emitirse para cualquier infracción penal, mientras que las
órdenes de entrega de datos de transacciones o datos de contenido sólo se
podrán emitir en relación a infracciones penales punibles en el Estado
emisor, que prevén una pena máxima de privación de libertad de al menos
tres años, o para delitos específicos a los que se refiere la propuesta y,
cuando exista vínculo con herramientas electrónicas y delitos cubiertos
por la directiva sobre terrorismo.
Dados los distintos niveles de intromisión de la privacidad de las medidas
impuestas en relación con los datos solicitados, la propuesta establece una
serie de condiciones y garantías entre las que se incluye la obligación de
obtener la validación previa de las órdenes por una autoridad judicial,
415
aplicándose la propuesta sólo a los datos almacenados, pero no a la
interceptación instantánea de las telecomunicaciones.
En efecto, el alcance general y el objetivo de la propuesta señalada
consiste en establecer normas en virtud de las cuales una autoridad judicial
competente de la Unión Europea podrá ordenar al proveedor de servicios
de Internet que ofrezca servicios en la Unión, que entregue o conserve
pruebas electrónicas mediante una orden europea de entrega o
conservación.
Estos instrumentos sólo podrán utilizarse en situaciones transfronterizas,
es decir, en situaciones en que el proveedor de servicios esté establecido
en otro Estado miembro.
Los datos solicitados a través una orden europea de entrega deberán
comunicarse directamente a las autoridades sin intervención de las
autoridades del Estado miembro en que el proveedor de servicios esté
establecido o representado; descartando la ubicación de los datos como
factor de vinculación determinante, ya que el almacenamiento de datos no
da lugar a ningún control por el Estado en cuyo territorio se almacenan11.
Es importante destacar que su art. 4 hace referencia a que cuando se emita
una orden europea de entrega o conservación, siempre deberá intervenir
en el proceso una autoridad judicial que actúa en calidad de autoridad
emisora o de validación. En el caso de las órdenes de entrega de datos de
transacción y de datos de contenido, se requiere intervención de un juez.
Para la obtención de datos de los abonados y datos relativos al acceso, los
fiscales también podrán emitir órdenes. Estas órdenes europeas deberán
remitirse directamente al representante legal designado por el proveedor
de servicios a efectos de recabar pruebas para procesos penales, quienes
estarán obligados por dicho instrumento a responder directamente a las
autoridades, sin la intervención del órgano judicial en el Estado miembro
del proveedor de servicio.
Es importante considerar la nueva categoría de datos relativos al acceso
utilizada en el presente reglamento. Los datos de acceso se solicitan con
el mismo objetivo que los datos de los abonados, es decir, para identificar
416
al usuario, y, el nivel de interferencia con los derechos fundamentales es
similar al nivel de interferencia al solicitar los datos de los abonados. Los
datos relativos al acceso se registran normalmente como parte de un
registro de acontecimientos para indicar el comienzo y fin de la sesión de
acceso de un usuario a un servicio. A menudo, es una dirección IP –
estática o dinámica– u otro identificador el que señala la interfaz de red
utilizada durante la sesión de acceso. Si el usuario es desconocido, debe
obtenerse este identificador antes de que pueda pedirse al proveedor de
servicios los datos de abonado correspondientes a dicho identificador12.
En su caso, entendemos que la Cloud Act viene a iniciar, más allá de la
falta de debate y de las preocupaciones que causa a los organismos civiles,
un camino que requiere inexorablemente de una regulación inmediata de
cooperación internacional entre países que posibilite la obtención
transfronteriza de datos de manera legítima y con la rapidez que este tipo
de investigaciones requiere.
2. Acuerdos de Asistencia Legal Mutua (MLAT) -
Teniendo en cuenta que muchos de los proveedores de servicios de
Internet tienen asiento en países extranjeros, y en su mayoría en Estados
Unidos, ¿cómo solicitaremos desde la Argentina los datos informáticos
relacionados con un usuario que estamos investigando?
La ley 24.03413 aprobó el Tratado de Asistencia Mutua en Asuntos
Penales con el Gobierno de Estados Unidos, con el objeto de intentar
mejorar la eficacia en las investigaciones mediante la cooperación y
asistencia mutua.
El acuerdo prevé un mecanismo que aspira a lograr una comunicación más
ágil a la hora de requerir información alojada en el país extranjero, aunque
en la práctica esto no sucede14.
En el marco de las investigaciones llevadas a cabo en la Fiscalía
Especializada en Delitos Informáticos, hemos utilizado dicho instrumento
para la solicitud de datos de contenido de usuarios investigados en el
417
marco de casos penales a ciertos proveedores del servicio de
comunicaciones con asiento en Estados Unidos, previa autorización del
juez en atención a las protecciones previstas en nuestra Constitución en
relación a la privacidad de las comunicaciones.
El trámite debe cumplir con ciertas formalidades previstas en el Tratado y
los pasos a seguir son los siguientes:
1. Se dirige la solicitud al director nacional de Cooperación Internacional
Jurídica del Ministerio de Justicia de la Nación, acompañando el oficio al
fiscal y/o juez norteamericano, en donde se detalla la relación entre el
cliente respecto del que se solicita la información y el delito
investigado15. De esta forma, el pedido es remitido al Ministerio de
Justicia para su diligenciamiento, que luego lo enviará a la Oficina de
Asuntos Internacionales en la División Criminal del Departamento de
Justicia de Estados Unidos.
2. Esta oficina realiza una revisión de la solicitud de asistencia y en caso
de considerar que la misma posee toda la información y cuenta con el
formato requerido, transmite el pedido a un fiscal con jurisdicción en el
lugar en que la evidencia se encontraría (por ejemplo, donde se hallan las
oficinas comerciales de Google o de Microsoft en caso de requerir
contenido de correos electrónicos cuyo servicio es ofrecido por esas
empresas).
3. El fiscal lo remite a una Corte de Distrito Federal solicitando una orden
de presentación u orden de registro.
4. Antes de autorizar el pedido, la Corte revisará el pedido para asegurar
el cumplimiento del Tratado de Asistencia Mutua y el respeto a las leyes
y Constitución norteamericanas.
5. En caso de que esos requisitos estén cumplimentados, se emite la orden
a la empresa prestataria.
418
6. La respuesta de la compañía es recibida por la Justicia.
7. La información suministrada es remitida a la Oficina de Asuntos
Internacionales ya mencionada y al FBI. Estas oficinas estatales revisan
el material con el fin de verificar si la información divulgada por la
empresa guarda relación con lo requerido por el país solicitante16.
¿Cuánto tarda este proceso? De acuerdo a un informe realizado en Estados
Unidos, todo el proceso detallado (una vez que el pedido llega a la Oficina
de Asuntos Internacionales) toma alrededor de diez meses, período que se
corresponde con la demora de los requerimientos realizados desde la
Justicia de la Ciudad Autónoma de Buenos Aires17. Ello, en caso de que
todas las revisiones a las que fuera sometido el pedido fuesen exitosas.
Como se advierte, el mecanismo requerido por el MLAT detallado más
arriba es sumamente lento y no está a la altura del rápido desarrollo de la
tecnología y su correlativa necesidad de una intervención rápida y eficaz
por las autoridades judiciales frente a la comisión de un delito.
3. Contexto legal en Estados Unidos: Ley de Privacidad de
Comunicaciones Electrónicas y Ley de Comunicaciones
Almacenadas -
En el año 1986, el Congreso de Estados Unidos aprobó la Ley de
Privacidad de Comunicaciones Electrónicas18 –ECPA, sus siglas en
inglés– que reguló el desarrollo de las nuevas tecnologías. La ley está
estructurada en tres Títulos: El título I se aboca a la regulación de la
interceptación en tiempo real de comunicaciones orales o electrónicas19.
El Título II regula el acceso a comunicaciones electrónicas almacenadas
y es denominada “Ley de Comunicaciones Almacenadas”20, aplicable a
diferentes formas de comunicación electrónica, como así también a los
datos relacionados con estas: e-mails, mensajes de texto, mensajes
privados, publicaciones o comentarios realizados a través de diferentes
redes sociales21. Ofrece a los usuarios protección de la privacidad de los
datos en posesión de los proveedores del servicio de comunicaciones
electrónicas o de los proveedores de su almacenamiento o procesamiento
remoto. Finalmente, el Título III regula el uso de dispositivos que
419
permiten capturar información asociada a las comunicaciones, como
números de teléfono marcados22.
La Cloud Act enmendó en marzo de este año la Ley de Privacidad de
Comunicaciones Electrónicas –ECPA–, como veremos más adelante.
Por su parte, la Ley de Comunicaciones Almacenadas prevé dos
componentes fundamentales como excepción a la regla general, que es la
prohibición de divulgación de datos relativos a comunicaciones
electrónicas por los proveedores del servicio de comunicaciones
electrónicas o de los proveedores de su almacenamiento o procesamiento
remoto23.
El primero de ellos detalla los supuestos de divulgación voluntaria de la
información por parte de las empresas prestatarias de servicios en Internet,
y el segundo, los mecanismos necesarios que el gobierno debe satisfacer
para ordenar la revelación de esa información a las compañías.
En el primer caso, la ley prevé específicos supuestos en que la revelación
voluntaria de datos por la empresa que presta servicios al público está
permitida. La ley diferencia entre la divulgación de datos de contenido de
las comunicaciones y otros datos relacionados con las mismas.
En cuanto a los datos de contenido, se prevén ocho supuestos: cuatro de
ellos son de sentido común, por ejemplo si la persona cuyos derechos
serían afectados consiente la divulgación. Entre las cuatro excepciones
restantes encontramos que la empresa prestataria puede divulgar la
información del cliente en caso de emergencia grave, o cuando
inadvertidamente descubre evidencia relacionada con un delito; por
ejemplo, se encuentra específicamente prevista la situación en que la
empresa advierta imágenes de pornografía infantil en la cuenta del
cliente24, situación que da origen a muchos casos que llegan a nuestro
país a través del National Center for Missing and Exploited Children
(NCMEC). En consecuencia, estos supuestos constituyen las excepciones
que permiten la divulgación de datos de contenido por los proveedores del
servicio de comunicaciones electrónicas o de los proveedores de su
420
almacenamiento y procesamiento remoto, sin requerimiento específico
previo.
En el caso de otros datos relacionados a las comunicaciones, los supuestos
para la divulgación voluntaria resultan muy similares a los detallados
anteriormente25.
El segundo componente está relacionado a los mecanismos previstos para
que el Gobierno ordene la revelación de datos informáticos, que podrían
resumirse de la siguiente forma: la ley ofrece tres procedimientos según
el grado de intrusión que representan respecto del tipo de dato requerido.
1. En el escalón más bajo se encuentra el requerimiento de información26,
por ejemplo por el fiscal en nombre del Gran Jurado. A través de esta
solicitud, se logra obtener información básica del usuario. Este tipo de
solicitud, combinada con un aviso previo al cliente, permite obtener tres
categorías de información: información básica del usuario, correos
electrónicos leídos que fueron almacenados, u otros archivos almacenados
temporalmente, como e-mails no leídos, por más de 180 días.
2. El segundo procedimiento que se prevé es una orden de presentación
emanada de una Corte, con aviso previo al cliente y a través de la cual se
puede obtener la misma información que con el requerimiento anterior,
como así también otros datos como la historia de todos los correos
electrónicos recibidos y enviados por el cliente (no así su contenido). Para
este caso, el Fiscal debe demostrar que cuenta con elementos que permitan
razonablemente suponer que la información será relevante para la
investigación penal en curso.
3. El tercero y último mecanismo previsto es la orden de registro, que
resulta necesaria para poder hacerse de todos los datos e información
obrante en una cuenta de correo, por ejemplo correos no leídos
almacenados por menos de 180 días y sin aviso al cliente. El estándar
requerido para la orden de registro es mayor que el necesario para la orden
de presentación emanada por una Corte27.
421
4. El caso “Microsoft/Irlanda” como precedente de la Cloud Act -
El 4 de diciembre de 2013, un juez a cargo de un Tribunal de Distrito de
Nueva York emitió una orden de registro en un caso en el cual se
investigaba a una persona que poseía una cuenta de correo electrónico de
la empresa Microsoft Corp. La solicitud de la orden se basó en el estándar
de “causa probable”28 y fue dirigida principalmente a recopilar los
contenidos de todos los correos electrónicos del sospechoso, como así
también otros datos relacionados a esa cuenta: datos de creación, logs de
conexión, etc.
Una vez presentada la orden emitida por el magistrado, Microsoft proveyó
información básica sobre su cliente junto a una moción para anular la
orden respecto de los datos de contenido solicitados, basando su
requerimiento en que los datos requeridos se encontraban almacenados en
Dublín, Irlanda. La empresa indicó que cumplir con la orden emitida por
el juez implicaría aplicar extraterritorialmente las leyes norteamericanas.
El juez denegó la moción, argumentando que la orden prevista en la ley,
en este caso, se ejecutaba como un mero requerimiento, ya que los agentes
del gobierno no debían ingresar en ningún lugar de la empresa para buscar
y apoderarse de la cuenta de correo electrónico; tan sólo se esperaba que
la compañía suministrara la información en su posesión,
independientemente de su ubicación29.
La empresa Microsoft Corp. apeló la decisión y el Tribunal del Segundo
Circuito revocó la decisión del juez de Distrito con fecha 14 de julio de
2016. En su decisión, el Tribunal declaró que, según el texto la ley y el
análisis de extraterritorialidad realizado en Morrison v. National Australia
Bank Ltd.30, la Ley de Almacenamiento de Comunicaciones sólo tiene
efectos dentro del territorio de Estados Unidos. Por lo tanto, no se podría
utilizar una orden emitida por un magistrado nacional para obligar a la
proveedora del servicio a divulgar los correos electrónicos almacenados
en un país extranjero.
En consecuencia, el Departamento de Justicia presentó una petición para
una nueva audiencia, para que el caso sea revisado, que fue denegada el
24 de enero de 201731. Esta decisión fue muy ajustada (4 jueces a favor
y 4 en contra).
422
La jueza Susan L. Carney –que concurrió en la denegatoria de la nueva
audiencia– afirmó que la Ley de Comunicaciones Almacenadas no aplica
a los correos electrónicos almacenados en el extranjero y sólo tiene efectos
dentro del territorio en el que fue legislada (es decir, Estados Unidos).
Argumentó que el Congreso no tenía la intención de que los
procedimientos de autorización de divulgación de datos se aplicaran
extraterritorialmente. Este análisis se basó en consideraciones sobre los
conceptos de soberanía nacional, territorialidad y diferentes
preocupaciones emanadas de los conceptos del Derecho internacional.
También afirmó que el objetivo de la ley es la protección de la privacidad
del usuario, y que el lugar de la protección de la privacidad es el lugar de
almacenamiento de datos. En este caso, el lugar de almacenamiento es
Irlanda, por lo que la aplicación del estatuto sería extraterritorial. También
señaló que para abordar las necesidades de cooperación entre países, el
Gobierno ha acordado la asistencia judicial recíproca y el cumplimiento
de diferentes tratados internacionales –como los MLAT– con otros
Estados soberanos32.
Es muy interesante analizar las opiniones opuestas expresadas por los
jueces José A. Cabranes, Dennis Jacobs, Reena Raggi y Christopher F.
Droney33. Resumiremos algunos de los principales argumentos. Los
jueces indicaron que la disidencia ignoraba que Microsoft Corp. tiene en
realidad acceso a la información obrante en la cuenta de correo electrónico
que se encontraba alojada en Irlanda, desde suelo estadounidense y que
está legalmente en posesión de la misma. La decisión sostenida por los
demás jueces implicaría entonces que el Gobierno nunca obtendría una
orden para su producción, pese a que la información es accesible desde
suelo norteamericano, debido a que los datos se almacenan en el
extranjero. De ello se sigue que esta situación brindaría amplia protección
a posibles imputados de un delito. La decisión, asimismo generará que los
principales proveedores de servicios de Internet reduzcan su cooperación
con la ley. En esta misma línea, indicaron que la disidencia omitió analizar
la existencia de diferentes estructuras adoptadas por cada proveedor,
consistente en que la información puede ser fragmentada y almacenada en
diferentes países, o que la misma pueda migrar constantemente de un
servidor a otro en diferentes partes del globo, y que, a veces, la ubicación
en que los datos que se almacenan fuera de Estados Unidos se desconoce.
También argumentaron que es la ubicación de la divulgación del
proveedor lo que determinará si la Ley de Comunicaciones Almacenadas
423
se aplica a nivel nacional o extraterritorial. Dado que la divulgación y el
acceso tienen lugar desde la oficina de Microsoft Corp. en Redmond,
Washington, el caso demuestra una aplicación nacional del estatuto.
Además, argumentaron que la orden prevista en el art. 2703 (a) del cuerpo
legal no constituye una orden de registro tradicional, toda vez que no está
dirigida a la búsqueda o secuestro de evidencia digital en el lugar, por
agentes federales. Asimismo, esta es ejecutada en relación a un individuo,
que se encuentra en territorio norteamericano y sujeto a la justicia
estadounidense. En consecuencia, la ejecución de la orden es una
aplicación doméstica de la ley estadounidense. Justamente, lo que se está
solicitando es la “producción” o “presentación” de esa evidencia.
Existen varios puntos y argumentos por analizar en el presente caso. Sin
perjuicio de ello, nos centraremos en preguntas más generales: ¿Cómo
debemos proceder cuando la evidencia digital que se necesita en una
investigación se almacena en un servidor extranjero? ¿Se debe considerar
la evidencia en cuestión como obtenida en suelo extranjero? ¿O se puede
considerar, debido a que no se necesita presencia física en el extranjero y
que los datos se pueden recuperar desde el país donde se realiza la
investigación, que no surgen problemas territoriales?
Como señala Frederick Davis34, el ejercicio de la jurisdicción ha estado
tradicionalmente vinculado al territorio de un Estado. Por lo tanto, se
acepta generalmente que si un Estado ejerce sus poderes jurisdiccionales
en otro Estado, eso constituiría una violación de la soberanía nacional y
principio de territorialidad.
Orin Kerr35 indica que cuando la evidencia digital se encuentra en el
exterior, el mecanismo implementado entre los Estados para obtener dicha
evidencia se rige por la asistencia legal mutua. Hay dos caminos a seguir:
a) exhortos o,
b) tratados de asistencia legal mutua (MLAT) acordados por varios países.
424
Sin embargo, como ya se ha indicado, la práctica demuestra que este canal
de comunicación entre diferentes países en cuanto a la evidencia digital
no es tan eficiente como se supone debe ser, y para cuando el país
requerido analiza el MLAT, es posible que la evidencia digital ya no exista
y/o haya migrado a otro servidor, en otro país. Sin embargo, en lo que
respecta a la soberanía y a las preocupaciones territoriales, estos son los
pasos acordados por los países para reunir evidencias ubicadas en un país
diferente al que se lleva a cabo la investigación criminal, como se señaló
en la decisión del panel mayoritario en el caso Microsoft/Irlanda.
Sin embargo, a veces, la información o los datos pueden almacenarse en
un servidor desconocido o incluso fragmentado, lo que hace que la opción
del canal MLAT no sea aplicable. En este escenario, ¿a quién se dirigiría
el MLAT o el exhorto?
Este problema surgió en un caso en que se requirieron datos de un usuario
a la empresa Google, del 3 de febrero de 2017, con intervención de un juez
del Distrito de Pensilvania36. Allí, como en el caso Microsoft/Irlanda, se
emitió una orden solicitando a Google la producción de correos
electrónicos de un cliente de dicha compañía. Google respondió que la
empresa había fragmentado la información en diferentes servidores,
ubicados en diferentes países. Indicó además que los datos migraban
automáticamente de un lugar a otro. Por lo tanto, no podían conocer
exactamente la soberanía de qué país se vería implicada37. En
consecuencia, se negaron a revelar la información solicitada citando la
decisión del Tribunal del Segundo Circuito en el caso Microsoft/Irlanda.
Vale la pena señalar que el acceso a toda la información podía ser
habilitado por Google desde su oficina ubicada en Estados Unidos. El
juez, en consecuencia, decidió obligar a Google a cumplir con la orden.
En su decisión, argumentó que la conducta relevante para la Ley de
Comunicaciones Almacenadas tendrá lugar en Estados Unidos, que no
constituía una instancia de “búsqueda e incautación” fuera del país y que
la invasión real de la privacidad del cliente ocurre cuando la revelación
tiene lugar, es decir, en suelo americano. La mención de este caso apunta
a demostrar que encontrar una solución a esta discusión parecía una
expectativa lejana y extremadamente compleja, tanto desde un punto de
vista legal como político.
425
En este sentido, Orin Kerr38 predijo estos escenarios poco después de la
decisión del 14 de julio de 2016, cuando el Tribunal del Segundo Distrito
manifestó que no correspondía que Microsoft Corp. entregara los datos de
contenido requeridos. El autor afirmó que no todas las estructuras de cada
proveedor de servicios de Internet son iguales a las de Microsoft, y que la
información puede dividirse y fragmentarse en diferentes servidores en
distintos países. A veces, argumentó, la red es tan complicada en su
estructura que la información sólo puede ser consultada desde las oficinas
de Estados Unidos.
Ahora bien, en el caso en análisis –Microsoft/Irlanda–, el Gobierno apeló
la resolución a la Corte Suprema39. El 27 de febrero de 2018 se
desarrollaron los argumentos orales sobre las posturas sostenidas por las
partes. Todos los Jueces de la Corte efectuaron preguntas y discutieron los
principales puntos controversiales del caso: previsiones de la Ley de
Comunicaciones Almacenadas, MLAT, principio de territorialidad, entre
muchos otros. Asimismo y en el marco de esa audiencia, la juez Ginsburg
y otros jueces indicaron que la respuesta podría ser legislativa40. Se
esperaba una resolución de la Corte sobre la temática para este año; sin
embargo, la modificación efectuada a la Ley de Comunicaciones
Almacenadas, a través de la denominada Cloud Act, generó que la Corte
no tuviese necesidad de pronunciarse al respecto, ya que justamente se
ofreció una solución legislativa al conflicto planteado en el caso
analizado.
5. Una respuesta legislativa: la Cloud Act -
El Congreso resolvió el problema planteado en el caso Microsoft/Irlanda
a través de la sanción de la Cloud Act41, que modificó la Ley de
Privacidad de Comunicaciones Electrónicas y sus tres títulos, dentro de
ellos la Ley de Comunicaciones Almacenadas debatida en el caso.
Dentro de varios cambios que la legislación efectuó, podemos resaltar dos
aspectos principales. El primero relacionado con el alcance de las órdenes
emanadas por la autoridad norteamericana –tema tratado en el caso
Microsoft–, y en segundo lugar, y de interés para la Argentina, el problema
426
de países extranjeros que buscan datos relacionados a comunicaciones que
administran proveedores de servicio de Internet en Estados Unidos42.
A través de la reforma de la Cloud Act se habilita –de acuerdo con los
mecanismos previstos específicamente– la divulgación de los datos en
posesión de los proveedores de servicios de Internet con sede central en
Estados Unidos, sin perjuicio de que dicha información se encuentre
dentro o fuera de Estados Unidos43.
En relación al primer punto, es decir las órdenes efectuadas por Estados
Unidos en casos análogos a Microsoft solicitando datos a un proveedor
que aloja los mismos en un país diferente, la nueva ley establece un
sistema para que la empresa prestataria pueda oponerse a dicho pedido por
diferentes razones que deberán ser evaluadas por los tribunales.
El proveedor de servicios al que se requiere esa información dispone de
14 días para oponerse al requerimiento sólo cuando todas estas
condiciones se dan en el caso: a) se está solicitando el contenido de las
comunicaciones; b) el proveedor considera razonablemente que el cliente
o suscriptor no sea ciudadano de Estados Unidos o que no reside en ese
país, c) la divulgación involucra la ley de un país que ha sido designado
como un gobierno extranjero calificado, y d) que la divulgación de dicha
información requerida crearía un riesgo importante de que el proveedor
infringiera las leyes de un gobierno extranjero calificado, concepto que
será explicado más adelante44.
Asimismo, el tribunal puede modificar o anular el contenido del
requerimiento, sólo si determina: a) que la divulgación de la información
requerida provocaría que el proveedor infringiera las leyes de un gobierno
extranjero calificado; b) considerando el conjunto de circunstancias
concurrentes, el interés de la justicia determina que el proceso debe ser
modificado o anulado, y c) el cliente o suscriptor no es natural de Estados
Unidos y no reside en Estados Unidos.
A estos fines, el tribunal tendrá en cuenta, según proceda: a) los intereses
de Estados Unidos, incluidos los intereses de investigación de la entidad
gubernamental que solicita la información; b) los intereses del gobierno
427
extranjero calificado en prevenir cualquier divulgación de información
prohibida; c) la probabilidad, el alcance y la naturaleza de las sanciones
que pudiese sufrir el proveedor del servicio o cualquiera de sus empleados
como resultado de exigencias legales a las que pudiese estar sometido; d)
la ubicación y la nacionalidad del cliente cuyas comunicaciones son objeto
de investigación, si se conocen, y la naturaleza y alcance de la conexión
del suscriptor o del cliente con Estados Unidos, o si el proceso legal se ha
iniciado a solicitud de una autoridad extranjera, la naturaleza y el alcance
de la conexión del abonado o cliente con el país de dicha autoridad
extranjera; e) la naturaleza y el alcance de los vínculos del proveedor y su
presencia en Estados Unidos; f) la importancia para la investigación de la
información requerida; g) la posibilidad de acceso oportuno y efectivo a
la información a través de medios que causarían consecuencias negativas
menos serias, y h) si el proceso legal ha sido iniciado en nombre de una
autoridad extranjera45.
En el segundo supuesto, en relación a gobiernos extranjeros que buscan
acceso a información de comunicaciones alojada en Estados Unidos, la
Cloud Act permitiría superar los problemas de ineficiencia ya apuntados
en relación al MLAT en el punto 2).
Como ya se ha indicado, la ley enmendó los tres títulos de la Ley de
Privacidad de Comunicaciones Electrónicas para dar respuesta a
solicitudes realizadas por países extranjeros, como se explicará a
continuación.
Las modificaciones efectuadas permiten requerir directamente a
proveedores del servicio de comunicaciones electrónicas dirigidas al
público o a los proveedores de su almacenamiento o procesamiento
remoto ubicados en Estados Unidos, sin pasar por los canales de los
tratados de asistencia mutua46:
1. Los datos que posean respecto de las comunicaciones de un cliente (de
contenido y otros relacionados con la comunicación e información del
usuario)47.
2. Interceptar o divulgar comunicaciones electrónicas48.
428
3. Instalar un dispositivo de rastreo49.
La nueva ley remueve los obstáculos y prohibiciones legales para que la
empresa pueda divulgar esos datos de comunicaciones, sin que su accionar
sea ilegal50.
Para llegar a esta instancia, el país extranjero debe haber sido considerado
un “gobierno extranjero calificado”.
¿Cómo se considera que un gobierno es un “gobierno extranjero
calificado”? El mecanismo está detallado en el art. 18 U.S.C. § 2523, y
prevé la celebración de un acuerdo bilateral con el Gobierno
norteamericano. Como señala Kerr, el proceso es bastante complejo51 y
puede resumirse de la siguiente manera:
1. El país extranjero debe celebrar un acuerdo de asistencia legal mutua
con Estados Unidos que satisfaga diversos requerimientos, entre ellos se
analiza si:
a) el país extranjero posee leyes de fondo y forma y prácticas que
demuestren respeto a las leyes y principios de no discriminación,
protección de la privacidad y libertades civiles;
b) el país extranjero demuestra respeto a los derechos humanos;
c) el país extranjero posee suficientes mecanismos de control y
transparencia en relación a la recolección y uso de datos electrónicos.
2. Una vez celebrado, el fiscal general, junto con la secretaría de Estado,
remiten certificación al Congreso indicando que el Estado extranjero ha
sido calificado correctamente.
429
3. El Congreso puede rechazar el acuerdo: Si no lo hace después de ciento
ochenta días, el acuerdo entra en vigencia y el Gobierno extranjero se
considera “gobierno extranjero calificado” durante cinco años, período
que puede renovarse en igual cantidad de años, de manera consecutiva.
4. El acuerdo celebrado debe ser “mutuo”: tal como el gobierno
norteamericano permite a las empresas prestatarias cumplir con los
requerimientos de acuerdo a las leyes de los países requirentes y respecto
de los cuales se celebró el acuerdo previsto en la ley, los gobiernos
extranjeros deben permitir que aquellos proveedores que se encuentran en
su país cumplan con los requerimientos legales efectuados por el gobierno
de Estados Unidos.
5. El acuerdo sólo autoriza al gobierno extranjero a obtener datos de
extranjeros que residen fuera de Estados Unidos. Si el gobierno extranjero
requiere datos de norteamericanos, residentes permanentes en dicho país
y otros usuarios localizados en Estados Unidos, el gobierno extranjero
deberá implementar el proceso de MLAT52.
6. Está prohibido utilizar el acuerdo bilateral para solicitar a las empresas
prestatarias desencriptar datos53.
Los pedidos efectuados por un país extranjero deben cumplir ciertos
requerimientos y formalidades: deben referirse a una cuenta específica, o
persona, o dispositivo, o cualquier otro modo de identificación del usuario
respecto del cual se requieren los datos; debe basarse en la necesidad de
obtener información relacionada a la prevención, detección e
investigación de delitos serios; el pedido debe estar razonablemente
justificado en base a los hechos investigados; debe estar sujeto al control
o revisión por un juez o magistrado; no debe violar la libertad de
expresión; no deben existir medios menos intrusivos para obtener la
información requerida, entre otros. En el caso de una orden para la
intercepción de una comunicación electrónica, dicha orden i) debe
referirse a un período fijo y limitado; ii) no debe tener un plazo superior
al necesario para cumplir con los fines aprobados para la orden, y ii) debe
emitirse únicamente si la misma información no puede obtenerse de
430
manera razonable a través de métodos menos intrusivos. Asimismo, se
prevé que el gobierno extranjero acepte un control periódico en relación
al cumplimiento de los términos del acuerdo54.
En síntesis, la Cloud Act ofrece una respuesta al conflicto planteado en el
caso Microsoft/Irlanda. La Justicia en Estados Unidos podrá efectuar
pedidos de datos informáticos a las empresas proveedoras de servicios de
Internet con asiento en ese territorio, las que deberán dar respuesta al
requerimiento más allá de que la información se encuentre alojada en
extraña jurisdicción.
Sin embargo, la Cloud Act establece un procedimiento para que los
proveedores cuestionen los requerimientos de datos informáticos de sus
clientes. Este ofrece en realidad un fundamento limitado, ya que deben
darse en forma conjunta diferentes requisitos de manera simultánea que
impliquen un conflicto con la legislación extranjera.
Por otra parte, la ley resuelve el segundo problema explicado en el acápite
I, esto es, la búsqueda por gobiernos extranjeros de datos electrónicos en
poder de las empresas de tecnología con sede central en Estados Unidos.
Para ello, prevé la celebración de acuerdos bilaterales, sujetos a la
aprobación del Congreso y satisfacción de varios requisitos, a través de
los cuales Estados Unidos y el país con el que se celebre el acuerdo podrán
requerir datos informáticos en forma directa a los proveedores en el marco
de investigaciones penales.
Estos acuerdos constituyen una alternativa al proceso del MLAT y
rogatorias internacionales, modernizando y agilizando las reglas
existentes de cooperación internacional, en consonancia con el desarrollo
de las nuevas tecnologías.
6. Críticas vs. respaldos a la Cloud Act -
431
Los críticos de la Cloud Act señalan que no hubo oportunidad para realizar
un debate sobre sus disposiciones, pues se adjuntó a un proyecto de ley de
gastos, que fue aprobado por ambas cámaras del Congreso y se promulgó
el 23 de marzo de 2018.
Quienes se han pronunciado en contra de la ley55 manifestaron que dicha
legislación facilitará que los países con antecedentes deficientes en
materia de derechos humanos obtengan datos sensibles, otorgando mucho
poder al Poder Ejecutivo sin la supervisión suficiente, obteniendo un
amplio dominio sobre la privacidad digital.
Estos grupos argumentaron también que el proyecto de ley eliminó los
derechos de la Cuarta Enmienda –similar al art. 18 de nuestra Carta
Magna–, contra registros e incautaciones no justificados, toda vez que el
gobierno podría celebrar acuerdos de cooperación eludiendo los tribunales
estadounidenses y que los usuarios titulares de los datos no serían
notificados.
En consecuencia, sostienen que los estándares de respeto de los derechos
humanos no fueron precisados específicamente, siendo vaga la
explicación sobre qué prácticas excluirían a un determinado país de la
posibilidad de celebrar los acuerdos previstos en la Cloud Act. Algunos
de estos grupos fundamentan su oposición en que las empresas prestatarias
podrían no ser rigurosas al revisar las solicitudes de ciudadanos de otros
países almacenadas en servidores en Estados Unidos, permitiendo así la
obtención inapropiada de esos datos.
Es claro que, desde el ámbito de la política internacional, también existen
preocupaciones. En este orden se señaló: “Escondida en el proyecto de
Ley General de Gastos, hay una disposición que permite a Trump, y a
cualquier futuro presidente, compartir correos electrónicos privados de los
estadounidenses y otra información con los países que a él personalmente
le gustan. Eso significa que puede llegar a acuerdos con Rusia o Turquía,
con una participación casi nula en el Congreso y sin la supervisión de los
tribunales estadounidenses”56.
432
Por su parte, la Comisión Europea había presentado un informe en su
calidad de amicus curiae en el caso de Microsoft, en el que si bien no
apoyaba específicamente a ninguna de las partes del caso, defendió el
principio de territorialidad bajo el Derecho internacional público, de la
siguiente manera: “Desde la perspectiva de la Unión Europea y del
Derecho internacional público, cuando una autoridad pública exige que
una empresa establecida en su propia jurisdicción produzca datos
electrónicos almacenados en un servidor en extraña jurisdicción, los
principios de territorialidad y cortesía en el Derecho internacional público
están comprometidos, y los intereses y las leyes de esa jurisdicción
extranjera deben tenerse en cuenta”57.
La Cloud Act tuvo el apoyo del Departamento de Justicia y de las
principales compañías de tecnología como Microsoft, Apple y Google.
Por su parte, Microsoft manifestó que dicha ley representa un marco legal
moderno, alentando al gobierno a actualizar estos acuerdos sobre los datos
con otros países: “Damos la bienvenida a la decisión de la Corte Suprema
(…) a la luz de la entrada en vigor de la Cloud Act. Nuestro objetivo
siempre ha sido una nueva ley y acuerdos internacionales con fuertes
protecciones de privacidad que gobiernen cómo recolectar evidencia
digital a través de las fronteras, a la luz de la aplicación de la ley”58.
Recientemente, el presidente de la empresa Microsoft se ha pronunciado
nuevamente al respecto en su blog59. En este sentido, ha instado a los
gobiernos a que modernicen los procesos a través de los cuales se accede
a evidencia digital alojada en extraña jurisdicción. Asimismo, indica que
la Cloud Act ha sido la base fundante de una nueva generación de acuerdos
internacionales entre países para proteger la privacidad y facilitar el
acceso legítimo a la evidencia digital. Asimismo, destaca la propuesta de
legislación efectuada por la Comisión Europea en relación a la recolección
de evidencia digital, como así también los esfuerzos de otros países para
modernizar sus leyes, protegiendo la privacidad, promoviendo la
seguridad digital y haciendo frente a los desafíos que presenta este mundo
sin fronteras.
En esta línea, propone seis principios que deberían guiar las reformas
legislativas y la negociación de acuerdos internacionales, resaltando la
importancia de proveer a las fuerzas de la ley de las herramientas
433
necesarias para mantener la seguridad y al mismo tiempo proteger la
privacidad:
1. Derecho universal de los usuarios a tener conocimiento cuando un
gobierno accede a sus datos –siempre y cuando no concurran
determinadas circunstancias que justifiquen la omisión de dar noticia al
cliente–. Las compañías deberían tener derecho a comunicar esta
información.
2. Autorización judicial basada en un pedido debidamente fundado, para
la solicitud de datos de contenido y de otros datos sensibles del usuario.
Asimismo, debe haber sido acreditada una situación fáctica y legal que
justifique el pedido.
3. Proceso legal específico y detallado que permita analizar la solicitud de
información y existencia de mecanismos claros que permitan cuestionar
solicitudes inapropiadas de información de los usuarios.
4. Mecanismos para resolver planteos por conflictos con la legislación
extranjera. Los acuerdos internacionales deben evitar conflictos con las
leyes de terceros países.
5. Modernizar las reglas de solicitud de datos a una empresa. Las empresas
tienen derecho al control de sus datos y deben recibir los pedidos de
información por las fuerzas de la ley en forma directa.
6. Transparencia: el público tiene derecho a saber cuándo y cómo un
gobierno busca acceder a evidencia digital, y sobre las protecciones que
aplican a sus datos.
La compañía sostiene que sus clientes tienen derecho a ser protegidos por
sus propias leyes y que los principios enunciados anteriormente
representan derechos universales y una base mínima que debe gobernar el
acceso a datos en la era moderna60.
434
7. Conclusión -
Como hemos visto, de acuerdo con los enfoques tradicionales para reunir
pruebas de otro país, deberían implementarse los canales diplomáticos.
Sin embargo, esta parece ser una respuesta extraña cuando la información
necesaria se encuentra en la computadora de los empleados de la empresa
proveedora del servicio de internet, en una oficina ubicada en Estados
Unidos, a solo un clic de distancia. Esto demuestra la necesidad de
repensar los conceptos de soberanía nacional y territorialidad
tradicionales. Sin embargo, debe tenerse en cuenta que los diferentes
países tienen diferentes leyes con respecto al almacenamiento y la
privacidad de los datos personales.
Esta discusión también se está llevando a cabo en la comunidad
internacional, donde se implementaron diferentes mecanismos para tratar
de mitigar estos inconvenientes, ninguno de los cuales resultó ser tan
eficiente como era necesario.
Como podemos ver, la tecnología impone nuevos desafíos a los conceptos
de soberanía y territorialidad. Estas ideas nacieron en un mundo físico, en
un período en el que los medios electrónicos de comunicación y la
revolución de la tecnología estaban lejos de ser realidad.
Estos conceptos son difíciles de conciliar con el hecho de que Internet no
tiene límites ni fronteras. No hay consenso sobre la respuesta política y
legal correcta a estos fenómenos. Mientras tanto, las investigaciones
criminales están en riesgo, ya que a veces la información requerida se
almacena en el exterior.
El caso Microsoft/Ireland ha sido evidencia de los desafíos de esta nueva
realidad, y la sanción de la Cloud Act es una aproximación a una posible
solución, en la incesante búsqueda de un equilibrio entre la necesidad de
la persecución penal y la protección de datos personales y la privacidad.
435
Notas 1 La traducción literal sería “Ley de la Nube”. Sus siglas en inglés
significan Ley Aclaratoria del Uso Legal de Datos en el Extranjero
(Clarifying Lawful Overseas Use of Data). De ahora en más nos
referiremos
a
dicha
ley
como
Cloud
Act.
2 H.R.1625 – 115th Congress (2017-2018), Clarifying Lawful Overseas
Use of Data, que se encuentra dentro de la Consolidated Appropriations
Act de 2018. Disponible en idioma inglés en www.congress.gov.
3 Tratados de Asistencia Legal Mutua. En Argentina se celebró el Tratado
de Asistencia Mutua en Asuntos Penales con el Gobierno de Estados
Unidos, ley 24.034, sancionada el 27 de noviembre de 1991 y promulgada
21
de
diciembre
del
mismo
año.
4 Datos de abonado: Es la información que posee una empresa prestadora
de servicios de internet relacionada con los abonados de sus servicios
(identificación, dirección, n° de teléfono, datos de facturación, pago, lugar
en donde están los equipos). Datos de tráfico: Es la información sobre el
circuito de una comunicación realizada por medio de un sistema
informático: origen, destino, ruta, hora, duración y fecha de la
comunicación.
5 Datos de contenido: Son los que permiten determinar la información
intercambiada por las partes que intervinieron en la comunicación.
6 Salt, Marcos, Nuevos desafíos de la evidencia digital: acceso
transfronterizo y técnicas de acceso remoto a datos informáticos, Ad-Hoc,
Buenos
Aires,
2017,
p.
199.
7 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, del
27 de abril de 2016, relativo a la protección de las personas físicas en lo
que respecta al tratamiento de datos personales y a la libre circulación de
estos datos y por el que se deroga la directiva 95/46/CE (Reglamento
general de protección de datos) que en su art. 48 prevé: “Transferencias o
comunicaciones no autorizadas por el Derecho de la Unión. Cualquier
sentencia de un órgano jurisdiccional o decisión de una autoridad
administrativa de un tercer país que exijan que un responsable o encargado
del tratamiento transfiera o comunique datos personales únicamente será
reconocida o ejecutable en cualquier modo si se basa en un acuerdo
436
internacional, como un tratado de asistencia jurídica mutua, vigente entre
el país tercero requirente y la Unión o un Estado miembro, sin perjuicio
de otros motivos para la transferencia al amparo del presente capítulo”.
8 Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, del 27
de abril de 2016, relativa a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales por las autoridades
competentes para fines de prevención, investigación, detección o
enjuiciamiento de infracciones penales o de ejecución de sanciones
penales, y a la libre circulación de dichos datos y por la que se deroga la
decisión
marco
2008/977/JAI
del
Consejo.
9 Salt, Nuevos desafíos de la evidencia digital… cit., pp. 187 y ss.
10 Propuesta del Reglamento del Parlamento Europeo y del Consejo sobre
las órdenes europeas entrega y conservación de pruebas electrónicas a
efectos de enjuiciamiento penal, Estrasburgo, 17/4/18. https://eur-lexeuropa-eu.ebook.21.edu.ar
11 Capítulo I, art. 1 de la Propuesta del reglamento de Parlamento Europeo
sobre las órdenes europeas de entrega y conservación de pruebas
electrónicas
a
efectos
de
enjuiciamiento
penal.
12 Los datos de acceso no revelan ninguna información sobre los
interlocutores relacionados con el usuario. Por lo expuesto, la propuesta
introduce una nueva categoría de datos que debe tratarse como los datos
de los abonados si el objetivo de la obtención de estos datos es similar.
13
Véase
supra
nota
3.
14 Ver art. 1 (2) (b): “1. Las Partes Contratantes conforme a lo dispuesto
en el presente tratado, se prestarán asistencia mutua, en materia de
prevención, investigación y enjuiciamiento de delitos, y en los
procedimientos relacionados con cuestiones penales. 2. La asistencia
comprenderá: (…) b) la facilitación de documentos, expedientes y
elementos
de
prueba…”.
15 Ver art. 4 (2): 2. La solicitud habrá de incluir lo siguiente: a) el nombre
de la autoridad encargada de la investigación, del enjuiciamiento o de los
procedimientos a que la solicitud se refiera; b) la descripción del asunto y
la índole de la investigación, del enjuiciamiento o de los procedimientos,
con mención de los delitos concretos a que el asunto se refiera; c) la
descripción de las pruebas, de la información o de otro tipo de asistencia
que se solicite, y d) la declaración de la finalidad para la que se solicitan
las pruebas, la información u otro tipo de asistencia.
16 Mulligan, Stephen P., “Cross-Border Data Sharing Under the Cloud
Act”, CRS report prepared for Members and Committees of Congress. 23
de
abril
de
2018,
pp.
14
y
s.
17 Ver President’s Review Group on Intelligence & Communications
437
Technologies, Liberty and Security in a Changing World: Report and
Reccomendations
227
(2013).
18 Electronic Communications Privacy Act. Pub. L. No. 99-508 (1986).
18
U.S.C
§
2701-11.
19
Wiretap
Act
18
U.S.C
§
2510-22.
20 Stored Communications Act SCA. 18 U.S.C § 2701-11.
21 Mulligan, “Cross-Border Data Sharing Under the Cloud Act”, cit., p.
3.
22
Pen
Register
Statute.
18
U.S.C
§
3121-27.
23
Ver
art.
18
USC
§
2702
(a).
24 Ídem, (b). Específicamente (b) (6) en lo referido al NCMEC.
25
Ver
art.
18
USC
§
2702
(c)
26
En
inglés,
denominado
específicamente
“subpoena”.
27 Ver Kerr, Orin, Computer Crime Law, Fourth Edition, American
Casebook Series. West Academic Publishing, 2018, p. 681, y Davis,
Frederick T., A U.S. Prosecutor’s Access to Data Stored Abroad – Are
There Limits?, pp. 4 y 5. Publicado en The International Lawyer. A
triannual publication of the ABA/Section of International Law, vol. 41, nº
1.
Verano
2015.
Disponible
en:
www.americanbar.org.
28 Aquí alude al estándar de “probable cause”. De acuerdo a la doctrina y
jurisprudencia norteamericanas, es un estándar sustantivo que define el
nivel de sospecha necesario para poder registrar o secuestrar determinadas
personas, inmuebles, cosas (...). La Corte norteamericana lo ha definido
como “razonable de acuerdo a las circunstancias totales del caso”.
Livingston, Debra et al., Criminal Procedure. Investigation and right to
Counsel, 3ª ed., Wolters Kluwer, pp. 417 y 432. El mecanismo para
solicitar una orden de registro y secuestro en estos términos se encuentra
en la Reglas Federales de Evidencia, Procedimiento Criminal. Art. 41.
29 Microsoft Corp. v. United States (In the Matter of Warrant to Search a
Certain E-Mail Account Controlled and Maintained by Microsoft Corp).
829
F.3d
197
(2nd
Cir.
2016).
30 Morrison v. National Australia Bank Ltd. 561 U. S. 247. (2010).
31
Microsoft
Corp
v.
United
States,
cit.
32
Ídem,
pp.
2-12.
33
Ídem.
pp.
1-18.
34 Davis, Frederick T., A U.S. Prosecutor’s Access to Data Stored Abroad
–
Are
There
Limits?,
cit.,
p.
7.
35 Kerr, Orin, Computer Crime Law, Third Edition, West Editor, 2012, p.
752.
36 In re Warrant No. 16-960-M-01 to Google en Kerr, Orin, “Google must
turn over foreign-stored emails pursuant to a warrant, Court rules”, The
438
Washington
Post
(3
de
febrero
de
2017).
37
In
re
Warrant
No.
16-960-M-01
pp.
26-27.
38 Kerr, Orin, “The surprising implications of the Microsoft/Ireland
warrant case”, The Washington Post (29 de noviembre de 2016).
39 United States v. Microsoft Corp., 135 S. Ct. 356 (2017) (mem. granting
government’s
petition
for
certiorari).
40 Argumentos orales de la Corte Suprema, 27 de febrero de 2018,
disponible en www.supremecourt.gov. En este sentido la jueza Ginsburg
expresó: “…If Congress takes a look at this, realizing that much time and
– and innovation has occurred since 1986, it can write a statute that takes
account of various interests. And it isn’t just all or nothing. So wouldn’t it
be wiser just to say let’s leave things as they are; if – if Congress wants to
regulate in this brave new world, it should do it?”, p. 6.
41 Clarifying Lawful Overseas Use of Data Act, parte de la Consolidated
Appropiations
Act,
2018,
Pub.
L.
115-141.
42 Daskal, Jennifer, “Microsoft Ireland, the Cloud Act, and International
Lawmaking 2.0”, en Stanford Law Review, vol. 71, mayo 2018, p. 11.
43 Ver art. 18 U.S.C § 2713 que indica bajo el título “Conservación e
información obligatoria sobre comunicaciones y grabaciones”, que un
proveedor de servicios de comunicaciones electrónicas o de computación
remota (en la nube) deberá cumplir con las obligaciones de este capítulo
para preservar, conservar (…) o revelar el contenido de una comunicación
electrónica o por cable y cualquier registro u otra información
perteneciente a un cliente o suscriptor en posesión, custodia o control de
dicho proveedor, independientemente de si dicha comunicación, registro
u otra información se encuentra dentro o fuera de Estados Unidos.
44
Ver
art.
18
U.S.C
§
2703(h)(2)(A).
45
Ídem,
(B)
y
ss.
46 Kerr, Orin, “Computer Crime Law. Summer 2018 Case Supplement”,
pp.
35
y
ss.
47
Ver
art.
18
U.S.C
§
2702(b)(9).
48
Ídem,
§
2511
(j).
49
Ídem,
§
3121
(a).
50 Kerr, “Computer Crime Law. Summer 2018 Case Supplement”, pp. 35
y
ss.
51 Ídem, p. 36. Ver 18 U.S.C § 2523, en donde se enumeran todos los
requisitos
y
el
mecanismo
en
detalle.
52 Daskal, “Microsoft Ireland, the Cloud Act…” cit., p. 14.
53
Ibídem.
54
Ver
art.
18
U.S.C
§
2523.
55 Electronic Frontier Foundation, American Civil Liberties Union,
439
Amnistia Internacional, Human Rights Watch y Open Technology
Institute.
56
Senador
Ron
Wyden
(D-Ore).
57 Amicus Curiae Unión Europea en el caso US. vs. Microsoft.
58 Declaraciones de Brad Smith, presidente de Microsoft.
59 Disponible en https://blogs-microsoft-com.ebook.21.edu.ar “A call for
principle-based international agreements to govern law enforcement
access
to
data”,
11
de
septiembre
de
2018.
60 Ibídem.
Desafíos del cibercrimen para el Derecho Internacional
Enrique H. del Carril
1. El cibercrimen como problema transnacional -
Más allá de las complicaciones doctrinarias ya conocidas con relación a
la definición del delito informático y la delimitación concreta del ámbito
semántico de aplicación de este concepto1, lo cierto es que, en el ámbito
de la aplicación concreta de los tipos penales a los que este puede
corresponder (en su acepción amplia o restringida), se generan problemas
concretos que superan en mucho a la simple discusión doctrinaria sobre el
concepto.
Estos problemas están más bien relacionados con aspectos procesales, de
validez probatoria y, además, de eficiencia en la investigación y represión
de estos delitos.
Porque lo cierto es que la aparición de la lógica de una
intercomunicabilidad absoluta y universal y la extensión de esta
posibilidad a toda (o casi) la humanidad ha significado un cambio de
paradigma fundamental2.
440
En efecto, no es en absoluto una idea novedosa señalar los desafíos de la
transnacionalidad del delito3. Hace tiempo que venimos asistiendo a ese
fenómeno (y a los problemas que conlleva) a partir del surgimiento de las
organizaciones criminales cuya infraestructura y logística se extienden
más allá de las fronteras nacionales. Los ejemplos del narcotráfico, la trata
de personas o el contrabando de armas u objetos culturales dan cuenta
clara de ello. Y la comunidad internacional viene hace tiempo haciendo
esfuerzos para tender puentes entre los órdenes jurídicos nacionales para
ampliar la coordinación y asistencia mutua internacional en el combate a
la delincuencia organizada.
El Protocolo de Palermo sobre criminalidad transnacional o la
Convención de la OCDE sobre soborno transnacional son algunos
ejemplos del accionar de la comunidad internacional para encontrar
soluciones a estos problemas.
Pero el nacimiento de la llamada “sociedad de la información” y de los
delitos surgidos en consecuencia ha proyectado a un nivel distinto el
problema de la transnacionalidad.
La capacidad de comunicarnos a despecho de las fronteras que marcó el
surgimiento de internet (más bien su popularización) trajo consigo la
posibilidad de que casi cualquier delito pueda, en cualquier tramo de su
iter criminis, ocurrir en múltiples jurisdicciones nacionales. Y, al contrario
de lo que ocurría antes con los delitos transnacionales, no es preciso para
eso tener algún nivel organizativo o logístico: sólo hace falta una conexión
a internet.
2. Los problemas probatorios en el ámbito internacional -
La consecuencia, en clave jurídica, de la transnacionalidad del delito son
los problemas que surgen a partir de la investigación y, en especial, de la
obtención de prueba útil y válida para el proceso4.
Para ello, los diversos instrumentos de asistencia internacional prevén
mecanismos de colaboración. Básicamente, las convenciones más
441
modernas establecen el principio de amplitud en la prestación de
colaboración y el establecimiento de una “autoridad central” para la
recepción, gestión y ejecución de los requerimientos provenientes de los
otros Estados partes en el convenio que corresponda.
Este mecanismo es, cuando menos, ineficiente para el desafío del delito
informático, si tenemos en cuenta que estaba pensado para investigaciones
o procesos judiciales puntuales y excepcionales en los que aparecía
involucrado un aspecto transnacional. Pero cuando todos los delitos lo
tienen –cuando en todos ellos es necesario recolectar prueba en el
extranjero–, la cantidad de casos se vuelve inconmensurable y, por ende,
el sistema de “autoridad central” se hace claramente ineficiente y
anacrónico.
En este sentido, la Convención de Budapest5, si bien establece el principio
de colaboración a partir de autoridades centrales (art. 27.2a), instituye una
red 24/7 con el objetivo de que las partes tengan un interlocutor válido
disponible en los Estados parte (art. 35). La constitución de la red 24/7
facilita muchos de los problemas inherentes al sistema de autoridad
central, pero no resuelve la cuestión relacionada al volumen de
información que le será requerida a cada uno con el crecimiento de la
interconectividad6.
Por otro lado, cualquier mecanismo de asistencia judicial presupone que
la información que un país requiere se encuentre, efectivamente, en el
otro. Pero esto está lejos de ser un dato cierto y verificable en internet.
La ubicuidad de la información que precisa ser incorporada a un proceso
penal ha preocupado a la reflexión académica especializada7. Suponer una
localización precisa de la información en un mundo conformado por redes
de servidores que permiten trasladar datos de un punto al otro del planeta
en cuestión de segundos, es a todas luces una ilusión, en especial si el
dueño de esos datos quiere eludir la acción de la justicia.
3. Un nuevo actor de la asistencia judicial internacional: las ESP -
442
Es que, en el juego de la asistencia internacional, la sociedad de la
información ha forzado la inclusión de un nuevo protagonista de
características especiales: las denominadas “ESP”.
Esta denominación corresponde, por sus siglas en inglés, a las empresas
que proveen servicios o contenido en internet (Electronic Service
Provider). Estos servicios pueden tratarse tanto de contenidos
consumibles por el público en general (v. gr. una página web de noticias),
una plataforma para que el público aporte contenido propio (una red
social) o un servicio de alojamiento de datos (un servicio de memoria en
la nube).
No es difícil advertir que la información que poseen estos proveedores de
servicios puede llegar a ser crucial para cualquier investigación en
entornos digitales. Para el correcto funcionamiento de su esquema de
negocios estas empresas deben guardar no sólo los contenidos que los
particulares decidan alojar, sino también información de tráfico y
conectividad, datos personales de los usuarios, etc.
Tradicionalmente, para solicitar este tipo de información los instrumentos
de asistencia internacional preveían un sistema de comunicación entre
Estados, fundado en el presupuesto de la potestas, que, se suponía, cada
Estado podía ejercer sobre las personas (físicas o jurídicas) que se
encontraban en su territorio, esto es, bajo su soberanía.
Este horizonte también ha cambiado, por dos razones básicas. En primer
lugar, las empresas que prestan servicios centrales en internet (v.gr. redes
sociales, servicios en la nube) retienen indistintamente información
sensible de prácticamente todos los habitantes del mundo. Facebook, por
ejemplo, cuenta al día de la fecha con más de cuatro mil millones de
perfiles activos.
Esta ubicuidad de los ESP tiene bastante desorientados a los operadores
del derecho, quienes, en la actualidad, consideran que la información debe
requerirse en el domicilio donde se encuentra la sede social de la empresa.
Pero fundar la capacidad estatal de requerir información a estas empresas
con el argumento más bien formal de la ubicación de su sede societaria,
443
parecería, cuando menos, extravagante. Y no sólo desde la perspectiva de
las nuevas tecnologías, sino incluso desde la investigación tradicional.
Fijar la sede societaria como el lugar donde se encuentra la información
es una pura abstracción; y lo había sido aún antes de la existencia de los
sistemas electrónicos unificados de gestión empresarial.
Suponer, antes de la existencia de los sistemas informáticos, que para que
un juez pudiera hacerse, por ejemplo, con información bancaria de un
cliente argentino (que se encontraba en formato papel), que desenvuelve
su actividad en Argentina y tiene su cuenta en una filial argentina de un
banco internacional, debía requerirla a la casa matriz ubicada en el
extranjero, es simplemente inadmisible. Los jueces nunca han actuado así;
piden la información a la entidad de su país, en el lugar donde está la
información.
Pero, como se dijo, este problema parece estar planteándose en la era de
la informática. Resultaría, según afirman algunos, que la práctica ha
cambiado y ahora es necesario requerir esa información a la casa matriz
de la empresa o al proveedor de servicios en internet que se encuentra en
otro país bajo el argumento de que allí está la información.
Este argumento adolece de dos defectos importantes. En primer lugar,
supone que la información es un elemento físico, que “está” en un lugar
determinado; en segundo lugar, asume sin más que ese lugar es donde se
encuentra la empresa en cuestión.
Es falso que la información tenga esa entidad y presencia física que se le
atribuye. Precisamente, el concepto mismo de información prescinde del
soporte físico que la contiene8.
En esta época que transitamos esto se hace más evidente: ni siquiera es
posible determinar el lugar en que se encuentra la información original.
444
Una rápida reflexión basta para darnos cuenta de que la utilización del
verbo “copiar”, para referirse a los archivos digitales, no es más que una
metáfora que no se ajusta verdaderamente a la realidad: la supuesta
“copia” es totalmente indistinguible del que identificamos como
“original”. Quizás una expresión más adecuada sea la de “clonación”.
La información no está en algún lugar geográfico sino simplemente donde
accedemos y la… copiamos.
El criterio que debe primar debería ser mucho más elástico. El lugar donde
“está” la información es aquel en que se la encuentre disponible.
También es falsa la asunción de que esta información se encuentre
estáticamente en un lugar y que este coincida con la ubicación geográfica
de la empresa, entidad o institución que la provee o guarda. En especial a
partir de la aparición de lo que se ha dado en llamar el cloud computing
(computación en la nube), los contenidos van migrando de servidor en
servidor dependiendo de razones técnicas9, jurídicas10 o comerciales11
que nada tienen que ver con domicilios sociales, geografías o lugares de
tributación de las empresas.
La conclusión inevitable de esta reflexión es que el paradigma de la
colaboración Estado-Estado para obtener información o pruebas no sólo
es anacrónico sino virtualmente impracticable.
De allí que es necesario idear y poner en práctica métodos superadores,
que permitan compatibilizar el resguardo de las garantías constitucionales
y la eficiencia de la investigación penal, sin caer en la lógica de un “orden
público” referido a un Estado nacional concreto como único garante de la
correcta aplicación de la ley, y que pretenda imponer sus razones a las
personas (naturales o jurídicas) que se encuentren bajo su soberanía12.
Afortunadamente, muchos sistemas jurídicos y poderes judiciales están
asumiendo esta problemática e ideando soluciones creativas a estos
problemas.
445
En los puntos que preceden nos referiremos a una de esas experiencias,
que cuenta con dos aspectos interesantes en materia de colaboración
interjurisdiccional, y con el sector privado.
4. Un modelo de colaboración articulado -
4.1. Cooperación con el sector privado: El National Center for Missing
and Exploited Children
El Centro Nacional para los Niños Desaparecidos y Explotados (NCMEC,
por sus siglas en inglés: National Center for Missing and Exploited
Children) es una organización sin fines de lucro con sede en los Estados
Unidos de Norteamérica, cuyo objetivo primordial es trabajar con los
organismos públicos, los profesionales y las personas, en la búsqueda de
niños desaparecidos y contra la explotación sexual de menores13.
Para llevar a cabo su trabajo, el NCMEC recibe financiamiento del sistema
federal norteamericano y aportes y donaciones de un amplio sector
privado que incluye corporaciones, fundaciones y personas individuales.
A partir de que internet se convirtió en un canal prepondetante para la
explotación sexual de menores, el NCMEC recibió la autorización del
Congreso de los Estados Unidos para establecer un sistema que se
denominó “CyberTipline”, que brinda un mecanismo centralizado para
que el público y los proveedores de servicios en la web denuncien este
tipo de hechos.
Esta “autorización del Congreso”14 permitió al NCMEC potenciar sus
objetivos de protección de la niñez. En el acto legislativo, el Congreso de
los Estados Unidos habilitó a la organización a realizar veintitrés tareas
específicas:
446
1. Operar el Centro nacional de recursos y Centro de información oficial
para los niños desaparecidos y explotados.
2. Operar una línea telefónica gratuita para que las personas puedan
reportar información sobre la ubicación de cualquier niño desaparecido, y
solicitar la información relativa a los procedimientos necesarios para
reunir a esos niños con su custodio legal.
3. Proporcionar a los gobiernos, instituciones públicas o privadas sin fines
de lucro y dedicadas a la educación, y a las personas individuales,
información relativa a servicios legales, operativos o de capacitación para
ayudar a los menores y sus familias.
4. Coordinar los programas públicos o privados para localizar, recuperar
o reunir a los niños perdidos con sus familias.
5. Difundir información relativa a los programas innovadores y de
modelos, servicios, y la legislación que beneficien a menores
desaparecidos y explotados.
6. Confeccionar estadísticas y estudios relacionados con el número de
niños desaparecidos, víctimas de secuestros o de apropiaciones parentales,
y el de su aparición o hallazgo.
7. Proporcionar, a petición de los organismos gubernamentales y agencias
públicas y privadas sin fines de lucro, orientación sobre cómo facilitar el
uso legal de los registros escolares y certificados de nacimiento para
identificar y localizar a los niños desaparecidos.
8. Proporcionar asistencia técnica y capacitación a los organismos del
sistema judicial o policial (law enforcement), gobiernos, organismos
públicos y privados sin fines de lucro e individuos, en la prevención,
investigación, persecución y tratamiento de casos de niños desaparecidos
y explotados.
447
9. Proporcionar asistencia a las familias y a los organismos del sistema
judicial o policial en la localización y recuperación de niños
desaparecidos.
10. Proporcionar apoyo y asistencia técnica a los organismos del sistema
judicial o policial a través de búsquedas en bases de datos de registros
públicos de localización y recuperación de niños desaparecidos y
explotados para localizar e identificar a los secuestradores.
11. Proporcionar asistencia directa a los organismos del sistema judicial y
policial en los casos de secuestro y explotación infantil.
12. Proporcionar asistencia forense y asesoramiento a los organismos
judiciales o policiales en la identificación de niños fallecidos no
identificados.
13. Realizar estudios de seguimiento de la incidencia de intentos de
secuestro de niños, con el fin de identificar los vínculos y patrones y
proporcionar dicha información a los organismos policiales.
14. Proporcionar capacitación y asistencia a los organismos policiales y
judiciales en la identificación y localización de los delincuentes sexuales
contra menores que han incumplido las condiciones por las cuales se les
otorgó libertad condicional, suspensión del juicio a prueba, etc.
15. Colaborar en el Centro Nacional de Localización de Emergencia
Infantil de los Estados Unidos de Norteamérica, para ayudar en la
reunificación de los niños desaparecidos con sus familias durante los
períodos de desastres naturales.
16. Operar el Cybertipline para proporcionar a los usuarios en línea y
proveedores de servicios electrónicos de un medio eficaz para informar la
explotación sexual infantil.
448
17. Comunicar los casos que se reciban mediante el CyberTipline a los
órganos de incumbencia.
18. Trabajar con los organismos judiciales o policiales, los proveedores
de servicios en Internet, proveedores de servicios de pago electrónico y
otros, sobre los métodos para reducir la distribución en internet de
imágenes y videos de niños explotados sexualmente.
19. Operar un programa de identificación de niños víctimas con el fin de
ayudar a los organismos judiciales o policiales en la identificación de
víctimas de la pornografía infantil y otros delitos sexuales.
20. Elaborar y difundir programas e información al público en general,
escuelas, funcionarios públicos, organizaciones de servicio a la niñez y
organizaciones sin fines de lucro, sobre prevención de la sustracción de
menores y su explotación sexual, y sobre la seguridad en Internet.
21. Proporcionar asistencia técnica y capacitación a los organismos
policiales y judiciales para la coordinación mutua en la identificación y
recuperación de niños desaparecidos.
22. Prestar apoyo a los órganos judiciales y policiales en la coordinación
con los órganos dedicados al bienestar infantil para responder a la
desaparición de niños del sistema de bienestar estatal.
23. Proporcionar asistencia técnica a los organismos policiales y de
primera respuesta en la identificación, localización y recuperación de las
víctimas y niños en riesgo de tráfico sexual infantil.
Como se ve, el abanico de facultades otorgadas legalmente a esta
institución es bastante amplio, pero aquí nos centraremos en los reportes
CyberTipline, puesto que la función NCMEC en este tema ha tenido un
profundo impacto dentro y fuera de las fronteras de su país y ha sido un
449
motor de la colaboración internacional en la lucha contra el abuso sexual
infantil en línea.
4.2. Los Reportes CyberTipline
Básicamente, los reportes CyberTipline son formularios estandarizados
para denunciar tráfico de pornografía infantil en las redes.
Cabe, en este sentido, hacer una aclaración: la referencia al tráfico de
“pornografía infantil” en las redes implica todo tránsito de imágenes,
videos u otro contenido multimedia en el que pueda verse a menores
exhibiendo sus genitales o implicados en actividades sexuales explícitas,
tal como se refiere en la Convención de Budapest15.
La referencia al “tráfico” no se trata de una calificación jurídica sino
fáctica. Esto implica que los motivos por los cuales se da este tráfico
pueden ser variados y no necesariamente delictivos por parte de quien
comparte estas imágenes en las redes; es más, puede resultar que la
persona que envía la imagen resulte ser, por ejemplo, un menor víctima
del delito de grooming que ha sido forzado a enviar esas imágenes a su
victimario; también puede deberse a razones enteramente no delictivas,
como el envío de imágenes con fines médicos, por ejemplo.
Si bien el NCMEC provee un servicio de denuncias on line para
particulares, el mayor caudal de información proviene de otras fuentes.
En efecto, la mayoría de los reportes CyberTipline son confeccionados
por los proveedores de servicios públicos y electrónicos en internet (ESP,
Electronic Service Providers). Los ESP están obligados por ley de los
Estados Unidos de Norteamérica16 a informar el tráfico de aparente
pornografía infantil a través de sus respectivas aplicaciones.
Por su parte, el NCMEC realiza el ingente trabajo de clasificación de los
reportes que recibe, para asegurar que los niños en peligro inminente
reciban tratamiento prioritario. Los analistas revisan las denuncias,
450
examinan y evalúan su contenido, añaden información relacionada que
pueda ser útil, utilizan herramientas de búsqueda para determinar la
ubicación geográfica del hecho denunciado y, finalmente, proporcionan
toda la información a las autoridades para el inicio de una posible
investigación penal.
Así, el mecanismo de información CyberTipline ayuda a las autoridades
judiciales y policiales en la detección, investigación y enjuiciamiento de
los delitos de explotación sexual infantil.
Este análisis se hace sobre la base de un protocolo determinado, a partir
del cual los analistas del NCMEC clasifican los reportes en cuatro
categorías, según el grado de riesgo en que pueda encontrarse el menor.
La categoría 3 comprende los casos en que se detectan imágenes de factura
casera o poco usual; la categoría 2 cuando existen indicios de que la
persona que envió las imágenes puede tener contacto con el menor, y la
categoría 1, la más grave, cuando hay indicios de que se está abusando
sexualmente de un menor. Por último, existe otra categoría identificada
como “E”, que engloba a todas las demás imágenes no prioritarias.
4.3. Cooperación internacional: El convenio NCMEC - MPFCABA
Si bien el NCMEC tiene un declarado alcance local dentro de las fronteras
de los Estados Unidos de América, la insoslayable realidad de los delitos
informáticos, en los que la transnacionalidad es una característica
esencial, impuso la necesidad de generar lazos con otros países para poder
dar una respuesta rápida ante casos de abuso infantil detectados en línea.
Es así que, en lo que atañe a la Argentina, el NCMEC firmó un convenio
con el Ministerio Público Fiscal de la Ciudad Autónoma de Buenos Aires
con el objeto de transmitir directamente los reportes CyberTipline que se
correspondieran con direcciones IP de este país.
El Acuerdo para el acceso remoto a CyberTipline entre ambas
instituciones se firmó en noviembre de 201317, entre el representante de
451
NCMEC y el Dr. Germán Carlos Garavano, en ese entonces Fiscal
General de la Ciudad Autónoma de Buenos Aires.
En dicho instrumento se constituye una Red Virtual Privada (VPN, Virtual
Private Network) para el envío y descarga de reportes al Ministerio
Público Fiscal. Más allá de las exigencias técnicas y de confidencialidad
comunes en este tipo de acuerdos, se establece la obligación por este
último de descargar y gestionar los reportes cuando estén disponibles en
la VPN y, en especial, a darles tratamiento prioritario a aquellos así
categorizados por el NCMEC.
Por parte del Ministerio Público Fiscal de la Ciudad Autónoma de Buenos
Aires, el responsable es el Cuerpo de Investigaciones Judiciales18, que se
compromete en ese convenio (y así lo hizo) a integrar un equipo
especializado y uno de respaldo para atender los reportes CyberTipline.
4.4. Cooperación interjurisdiccional: La “Red 24/7”
El ingreso del Ministerio Público Fiscal de la Ciudad Autónoma de
Buenos Aires en el convenio y la puesta en funcionamiento de la VPN
generó un aluvión de casos que debían gestionarse. Además, la
información aportada por el NCMEC se categoriza en función de la
dirección IP que, como es sabido, se distribuye por países, por lo que no
es posible determinar (con ese único dato) con mayor precisión la
ubicación geográfica de ocurrencia del hecho.
Ante esta situación, la aplicación tradicional de las reglas de distribución
de competencia habría obligado a los jueces de la Ciudad de Buenos Aires
a declararse incompetentes e invitar al juez de la otra jurisdicción a aceptar
el caso o, si correspondiera, dar por trabada la cuestión de competencia y
enviarla a la Corte Suprema de Justicia de la Nación para que dirima el
conflicto.
Es fácil advertir que esta solución hubiera conspirado contra la eficiencia
en la investigación de estos delitos. Se hubiera llegado a la situación
paradójica e inadmisible de que, enterados de un hecho de esta índole, con
452
apenas unas horas de ocurrido, la determinación del fiscal y el juez que
debían investigarlo podía demorar días, e incluso meses.
El asunto se planteó en el seno del Consejo de Procuradores, Fiscales,
Defensores y Asesores Generales de la República Argentina19 y el
Consejo Federal de Política Criminal20 quienes finalmente resolvieron la
cuestión mediante la firma del “Protocolo de Intervención Urgente y
Colaboración Recíproca en caso de detección de uso de pornografía
infantil en Internet”.
En el referido Protocolo se establece la constitución de una “Red de
Puntos de Contacto contra la Pornografía Infantil en Internet”
(denominada “Red 24/7”). Estos puntos de contacto se corresponden con
dos fiscales, miembros de la policía judicial o de la policía administrativa
en función judicial o funcionarios de cada uno de los Ministerios Públicos
provinciales que están disponibles las veinticuatro horas de los siete días
de la semana para atender las urgencias que se vayan suscitando, recibir
directamente los casos conforme se vaya determinando que el hecho
ocurrió en su jurisdicción y, por último, para nutrir de información al
sistema (a partir de los casos resueltos) para hacer más eficiente la
persecución criminal de estos delitos.
Como se dijo, la conformación de esta red, que comienza a partir de una
organización de la sociedad civil extranjera que recibe la información de
empresas privadas, la deriva directamente a autoridades gubernamentales
de otros países, que en lo que respecta a la Argentina es de orden local y
a su vez deriva los casos directamente a otros órganos territoriales, sin
formalidades ni cauces procesales tradicionales, resulta un ejemplo
superador de las prácticas usuales en la materia. Ello, por ende, se ajusta
mejor a la investigación de delitos informáticos.
La característica diferencial de estos delitos es su velocidad y la
volatilidad de la prueba, por lo que era necesario pensar en un proceso que
pudiera generar una reacción inmediata del sistema judicial sin reparar en
fronteras internacionales o internas.
453
5. Impugnaciones eventuales a estos nuevos paradigmas y sus
respuestas -
El sistema al que se viene haciendo referencia, como se dijo, resulta
disruptivo de las prácticas judiciales usuales.
Usualmente, la radicación de una denuncia por hechos ocurridos en el
extranjero se formaliza mediante un acta formal a un órgano judicial para
que este se lo remita por conducto diplomático al país que tiene
jurisdicción. A su vez, el país de ocurrencia del hecho fija el juez o fiscal
que deberá investigarlo mediante consideraciones relacionadas con los
límites jurisdiccionales y territoriales, y la determinación de esta
competencia se realiza mediante un acto formal (resolución o sentencia
interlocutoria) que, en caso de oposición, genera un mecanismo de traba
de competencia para la dilucidación final del “juez natural”.
Todos estos mecanismos, establecidos por lo general en los códigos
procesales, son sistemas de organización del flujo de casos y, en último
término, de la garantía constitucional del debido proceso, fundados en el
presupuesto –común a todos los sistemas jurídicos modernos– de la
validez territorial de la ley21. Pero este presupuesto no se aplica con esa
simpleza cuando nos referimos a ese espacio “a-territorial” que implica
internet22.
De allí que, por ejemplo, el nuevo procedimiento al que venimos haciendo
referencia ha sufrido impugnaciones relacionadas con este esquema
disruptivo respecto de los sistemas tradicionales.
A continuación, se hará referencia a alguna de estas objeciones que han
sido resueltas por distintos tribunales de la República Argentina. Sin
embargo, podemos aventurar que esto es sólo el comienzo de una
tendencia que irá profundizándose en el futuro. Como se dijo, el sistema
de detección y encauzamiento de los casos de pornografía infantil,
establecido entre el NCMEC y la República Argentina (y los demás países
que han adherido a él) rompe con los esquemas tradicionales sobre los
cuales los operadores judiciales están acostumbrados a transitar.
454
Se impugnó, por ejemplo, que el Reporte NCMEC que sirvió de base para
la acusación fiscal estuviera escrito en otro idioma distinto del nacional
(en inglés, en este caso)23, puesto que el Código Procesal establece bajo
pena de nulidad el idioma nacional para todos los actos procesales24.
La base constitucional de esta impugnación se funda en el derecho de
defensa en juicio. Según esta tesis, un idioma extranjero conspira contra
una adecuada defensa, puesto que la persona bajo proceso puede tener
dificultades para aprehender la materia de la imputación en su contra.
En el caso, el tribunal rechazó el planteo por cuanto no se había
determinado en el caso un perjuicio concreto y comprobable. Por su parte,
en otro caso donde se intentó la misma impugnación, el tribunal rechazó
que el Reporte CyberTipline deba ser considerado un “acto procesal” en
los términos del art. 40 del Código Procesal25.
La cuestión del idioma es, evidentemente, un tema menor. Nos basta
señalarla para exponer el grado de formalismo al que es posible llegar. En
estos casos del CyberTipline es solo un formulario con campos
preconstituidos, con poco margen de interpretación o análisis: lo central
en él es la información técnica referida a direcciones IP, referencias al
funcionamiento de la red social denunciante o aproximaciones geográficas
basadas en datos técnicos.
Pero quizá la impugnación más interesante y que presenta apreciables
ribetes constitucionales es la realizada sobre el modo de detección de estos
casos de pornografía infantil por el NCMEC.
En los casos que acabamos de citar, y en otros a los que se hará referencia,
se cuestionó por inconstitucional el modo en que el NCMEC accedía a la
información de transmisión de pornografía infantil por las redes sociales.
Como se señaló más arriba, la organización NCMEC reúne los eventos de
transmisión de pornografía infantil denunciados por los ESP con asiento
455
en los Estados Unidos de Norteamérica que se inscriban en el programa
de protección de la niñez que propone esta organización.
Para combatir la pornografía infantil en sus redes, las ESP desarrollan una
batería de medidas tecnológicas que permiten detectar, en el enorme flujo
de información que corre por sus plataformas, aquellas que se
corresponden con la clasificación de “pornografía infantil”. Uno de los
recursos más utilizados para lograr esta detección eficiente es la
tecnología denominada PhotoDNA26.
El PhotoDNA es una tecnología desarrollada por Microsoft y mejorada
por el profesor Hany Farid del Dartmouth College, que computa valores
hash de archivos de imágenes, videos y audios con el objeto de
identificarlos, aun cuando los archivos no sean exactamente iguales entre
sí. Aunque podría tener muchos usos alternativos, esta tecnología se
utiliza principalmente para la prevención de pornografía infantil y trabaja
computando un único hash, que representa la imagen a pesar de posibles
cambios de tamaño y calidad o alteraciones menores de color.
A partir de este desarrollo, los ESP generan una “lista negra” de hashesphotoDNA (es decir, de aquellos que pueden detectar un archivo sin
importar si ha sido modificado, por ejemplo, para ocultarlo) con la cual
confrontan el tráfico que pasa por sus servidores y así detectan la
circulación de pornografía infantil27.
A partir de estas explicaciones, podemos retomar la impugnación de
inconstitucionalidad a la que veníamos haciendo referencia.
Esta impugnación trae a escena cuestiones importantes y que hacen a la
vida misma de la sociedad de la información y de las posibilidades de
regulación –y de protección de sus ciudadanos– por los Estados
nacionales.
En breve síntesis, en los casos que estamos analizando28 se dice que la
detección del tráfico de pornografía infantil en redes sociales por la ESP
y, eventualmente, el NCMEC, debe considerarse como una interceptación
456
de correspondencia en los términos del art. 18 de la Constitución
argentina29 y, en definitiva, una indebida injerencia en la intimidad de las
personas, también protegido constitucionalmente como un derecho
fundamental30. En ambos casos, al menos en lo que respecta a la
Constitución argentina, la única medida que puede avanzar sobre esos
derechos es la autorización judicial.
El análisis de esta cuestión tiene varios tramos que se examinarán a
continuación. En primer lugar, desde la órbita del derecho internacional
(o de la validez del derecho nacional más allá de sus fronteras) y, en
segundo término, sobre la tensión entre seguridad y derechos
fundamentales en entornos digitales. Veamos.
Desde el punto de vista del derecho internacional, la cuestión es menos
compleja de lo que en realidad parece.
Haciendo el paralelismo con los órdenes nacionales, también el derecho
internacional tiene su “derecho constitucional”, esto es, aquel cuerpo de
normas que establecen y protegen los valores supremos del sistema
jurídico: los tratados de derechos humanos.
En todas estas normas, el valor de la protección de la niñez es supremo31.
Pero, en particular, la Convención de los derechos del Niño ofrece
criterios interpretativos para el uso de todo el sistema. El “interés superior
del niño”32 establecido en la convención es un criterio interpretativo (más
precisamente, un estándar33) para el accionar de las instituciones.
Esto quiere decir, en sede judicial, no sólo que el niño tiene un nivel de
protección eminente, sino que además, ante un conflicto de derechos,
primará aquel que contemple más adecuadamente esta protección34. De
allí que una impugnación a la detección de pornografía infantil fundada
en una consideración general y abstracta del derecho a la intimidad o la
protección de los papeles privados no será suficiente si no está
acompañada de una ponderación complementaria de los derechos que
corresponden a la niñez y se encuentran en juego y de por qué deben ceder
en el caso.
457
Más allá de esto, desde la perspectiva del derecho internacional existen
otros y buenos argumentos que sostienen la validez de la inspección.
Uno de los principios liminares en lo que se refiere al derecho
internacional englobado en la denominación “asistencia jurídica mutua”
o, simplemente, “asistencia internacional”, es la necesidad de congeniar
distintos órdenes jurídicos, a veces heterogéneos, para que la colaboración
entre los países sea efectiva y útil.
En esta línea, el principio locus regit actum, con un desarrollo y aplicación
ininterrumpidos desde principios del siglo XIX, o incluso antes35, en el
ámbito del derecho internacional privado, viene a aportar una solución a
estas disparidades. Según esta máxima, la validez formal de los actos se
juzga según la ley del lugar de su celebración; de no ser así, “la realización
del acto se vería innecesariamente complicada si la reglamentación de sus
solemnidades tuviera que regirse por una ley extraña a los eventuales
funcionarios u otros participantes en su otorgamiento”36.
Una manifestación por todos conocida de este principio podemos verla en
los códigos procesales argentinos. Al ser un país estructurado en un
sistema federal, en el cual los órdenes locales tienen la potestad legislativa
de darse sus propios códigos de procedimientos, se buscó una regla para
compatibilizarlos. Esta regla podemos verla, por ejemplo, en el art. 50 del
Código Procesal Penal de la Nación37, art. 28 del Código de la provincia
de Buenos Aires, o art. 46 de la provincia de Córdoba, por nombrar sólo
algunos. Según ella, los actos procesales realizados en una jurisdicción
extraña conservan su plena validez salvo que hayan sido realizados en
expresa violación de las reglas de competencia, esto es, cuando se ha
violado adrede el orden material o territorial de jurisdicciones para
sustraer un caso de sus jueces naturales.
El principio locus regit actum tiene una pertinencia muy especial en el
caso, y su inadvertencia es la que genera confusiones en el análisis de la
validez de los Reportes CyberTipline: si la detección de los archivos de
pornografía infantil en las redes sociales se realiza a partir de una
458
específica habilitación legislativa otorgada al NCMEC por el Congreso de
aquel país, no existe razón de peso para considerar ese acto inválido.
Promover esta postura implicaría juzgar la validez de actos extranjeros
bajo el prisma de la legislación de nuestro país. En definitiva, cuestionar
actos soberanos de otra Nación. Declarar una suerte de
inconstitucionalidad de una ley de un país extranjero.
Quienes sostienen que esto es posible pierden de vista que el modo en que
cada Constitución reglamenta los derechos en el marco de su soberanía no
es el único válido. Otros órdenes jurídicos pueden optar por soluciones
distintas o disímiles, sin que implique que alguna de ellas sea violatoria
de los derechos humanos, sino, simplemente, un modo distinto de
legislarlas. Se caería en una situación inaceptable: los actos jurídicos
realizados en otro país, según su propio orden jurídico, serán válidos en la
Argentina si (y sólo si) nuestro país los legisla de la misma manera. Lo
cual es sólo una manera elíptica de sostener que el único orden jurídico
válido es el propio.
Además, esta postura nos pone frente a una evidente paradoja. Suponer,
por ejemplo, que el agente encubierto era violatorio del art. 18 de la
Constitución Nacional hasta que este instrumento de investigación tuvo
recepción legislativa, implicaría que la Constitución se va adecuando a las
leyes y no lo contrario. La Constitución –precisamente– es un marco
jurídico fundamental, una guía para el dictado de las leyes.
Por último, sostener que la utilización del PhotoDNA –es decir, un filtro
automatizado– para la detección de pornografía infantil implica una
violación de la intimidad de las personas resulta, cuando menos, una
afirmación controvertida. Es verdad que la intimidad puede estar en juego
cuando nos referimos a internet, pero esta máxima debe ser matizada38.
Es cierto que la tensión entre seguridad e intimidad en nuestra época es un
tema controvertido y que viene generando intensos debates39. Las
posibilidades potenciales de control absoluto de la sociedad que parece
aportar la tecnología viene generando alarma y es motivo de análisis en la
reflexión académica.
459
Pero precisamente las impugnaciones a esta realidad no parecen fundarse
en la existencia misma del control, sino en la opacidad con la que ese
control se configura y en los límites que debe tener40.
No es este el caso que examinamos. La tecnología PhotoDNA es un
proceso conocido y transparente (lo hemos explicado más arriba), con un
objetivo muy determinado (la detección de pornografía infantil) que,
además, es un valor preeminente de nuestra sociedad (el interés superior
del niño).
Se ha dicho, en los supuestos a los que venimos haciendo referencia, que
el problema queda salvado porque el usuario de cualquiera de las redes
sociales ha aceptado un acuerdo de términos y condiciones que le
prohibían cometer conductas ilícitas. Y se ha respondido a ello que un
acuerdo entre particulares, instrumentado en un contrato de adhesión que
el individuo no puede discutir, no debe ponerse por encima de derechos
que tienen protección constitucional.
Pero en este contexto la obligatoriedad de los Términos y Condiciones de
las redes sociales adquiere otra dimensión. Es cierto que ese simple “clic”
con el cual aceptamos el extenso y complejo contrato de adhesión al
ingresar a cualquier red social es un tópico bastante discutido41. Esa
discusión tiene un marco muy diferente: puede ser debatible si, al adherir
a ese contrato, renunciamos, por ejemplo, a la propiedad de nuestras
fotografías familiares, pero difícilmente podríamos afirmar que asumimos
que la red social nos permitiría intercambiar pornografía infantil o
utilizarla para acosar a un niño. Nadie vería eso como una obligación que
asumió sin imaginarla.
6. Conclusión -
Lo cierto es que la nueva configuración de la sociedad ante esta realidad
omnipresente que es internet debe interpelar a los operadores del
derecho42. No es posible utilizar recetas viejas para problemas nuevos.
460
El cibercrimen, en particular, y las nuevas dinámicas de la sociedad de la
información nos plantean desafíos continuos. Las nuevas realidades
digitales que aparecen día a día son también actuales o potenciales
problemas jurídicos que deben ser resueltos si el Derecho quiere continuar
siendo lo que es: una herramienta para la paz social y el resguardo de la
dignidad humana.
Antes podíamos ver al derecho como una gran cantidad de sistemas
jurídicos cerrados y autónomos, que tenían relaciones más bien
ocasionales entre sí. Pero esto se está acabando.
Bajo la matriz de la lógica de la sociedad de la información, donde las
fronteras no existen y las comunidades se van generando y desvaneciendo
a ritmos dispares, el derecho también debe configurarse en estos
contornos. Una sociedad líquida –por usar la denominación de Zygmunt
Bauman– no se contiene con moldes rígidos.
Notas 1 Cfr., entre otros, González de Chaves Calamita, María Eugenia, “El
llamado ‘delito informático’”, Anales de la Facultad de Derecho de la
Universidad de La Sabana, 21; diciembre 2004, pp. 45-65.
2 Cfr., por ejemplo, Escobar, Arturo, “Bienvenidos a Cyberia: notas para
una antropología de la cibercultura”, Revista de Estudios Sociales nº 22,
pp.
15-35.
3 Schiff Berman, Paul, “From International Law to Law and
Globalization”, Columbia Journal of Transnational Law, 43:485.
4 Deluca, Santiago - Del Carril, Enrique, “Cooperación internacional en
materia penal en el Mercosur: el cibercrimen”, Revista de la Secretaría del
Tribunal Permanente de Revisión del Mercosur, año 5, n° 10 (2017), pp.
461
13-28.
5 Sobre este convenio, cfr. Bélanger, Pierre Gilles, “Derechos humanos y
el derecho penal en el ciberespacio”, Revista de la Secretaría del Tribunal
Permanente de Revisión del Mercosur, vol. 5, nº 10, 2017, pp. 274-286.
6 Díaz Gómez, Andrés, “El delito informático, su problemática y la
cooperación internacional como paradigma de su solución. El Convenio
de Budapest”, Revista electrónica del Departamento de Derecho de la
Universidad de La Rioja, REDUR nº 8, 2010, pp. 169-203.
7 Zittrain, Jonathan, “Searches and Seizures in a Networked World”, 119
Harvard
Law
Review
Forum
83.
8 Gleick, James, La información: historia y realidad, Crítica, 2012.
9 Por ejemplo, los países con climas fríos son ideales para la instalación
de
servidores
y
nodos
de
internet
www.bbc.com.
10 El reciente Reglamento (UE) 2016/679 del Parlamento Europeo y del
Consejo de Europa, del 27 de abril de 2016, relativo a la protección de las
personas físicas en lo que respecta al tratamiento de datos personales y a
la libre circulación de estos datos, generó un reacomodamiento de la ESP
quienes empezaron a prestar servicios desde países ajenos al espacio
europeo.
11 Algunos países han promovido la instalación de empresas de servicios
en internet mediante políticas impositivas o de otra índole. Por ejemplo,
Irlanda vivió durante los años pasados un resurgimiento comercial
motivado justamente por un tratamiento fiscal preferencial para este tipo
de
empresas;
www.forbes.com.mx.
12 Brenner, Susan W. – Koops, Bert-Jaap, “Approaches to Cybercrime
Jurisdiction”, Journal of High Technology Law, vol. 4, nº 1, 2004
13 A partir de aquí y en lo que se hace referencia en este punto, la
información ha sido extraída íntegramente de la página web de la
organización
(www.missingkids.com).
14
42
USC
§
5773.
15 Art. 9.2 “A los efectos del anterior apartado 1, por ‘pornografía infantil’
se entenderá todo material pornográfico que contenga la representación
visual de: a) Un menor comportándose de una forma sexualmente
explícita; b) una persona que parezca un menor comportándose de una
forma sexualmente explícita; c) imágenes realistas que representen a un
menor comportándose de una forma sexualmente explícita”.
16
18
USC
§
2258A
17 Protocolizado en los registros del Ministerio Público Fiscal de la
Ciudad Autónoma de Buenos Aires por resolución FG 435/2013.
18 El Cuerpo de Investigaciones Judiciales (CIJ) es una institución civil
que forma parte del Ministerio Público Fiscal de la Ciudad de Buenos
462
Aires y tiene la misión de investigar los delitos y contravenciones de esa
jurisdicción. Es un organismo técnico y especializado creado por ley para
llevar a cabo las tareas de investigación y análisis de información en el
marco de un caso judicial. Según la ley 2986 de creación, este organismo
debe cumplir funciones de policía judicial dependiente orgánica y
funcionalmente del Ministerio Público Fiscal de la Ciudad de Buenos
Aires.
19 Conforme a su Estatuto, este Consejo está constituido por los miembros
titulares que ostentan la jefatura del órgano constitucional de cada
provincia o, en su caso, el que ejerza la titularidad del Ministerio Público.
20 Según su acta constitutiva, este órgano está integrado por el Procurador
general de la Nación y los procuradores generales y fiscales generales de
las
provincias
argentinas
21 Por ejemplo, el Código Procesal Penal de la República Argentina
establece en su art. 18: “La competencia penal se ejerce por los jueces y
tribunales que la Constitución Nacional y la ley instituyan, y se extenderá
a todos los delitos que se cometieren en su territorio, o en el alta mar a
bordo de buques nacionales, cuando estos arriben a un puerto de la
Capital, o a bordo de aeronaves en el espacio aéreo y de los delitos
perpetrados en el extranjero cuando sus efectos se produzcan en nuestro
país o fueren ejecutados por agentes o empleados de autoridades
argentinas en el desempeño de su cargo. Es improrrogable y se extiende
al conocimiento de las contravenciones cometidas en la misma
jurisdicción.
”El mismo principio regirá para los delitos y contravenciones sobre los
cuales corresponda jurisdicción federal, cualquiera que sea el asiento del
tribunal”.
22 “As currently structured the Internet presents a rather basic challenge
to territorially based regulatory regimes”. Holland, H. Brian, “The Failure
of the Rule of Law in Cyberspace?: Reorienting the Normative Debate on
Borders and Territorial Sovereignty”, 24 J. Comp. & Info. L. 1 (2005).
23 Cámara de Apelaciones en lo Penal, Contravencional y de Faltas
CABA, Sala II, Causa nº 6790-00-15, “A., C. s/infr. Art(s). 128, párr. 2°,
CP”,
20
de
abril
de
2016.
24 Art. 40 (Idioma) “En los actos procesales se usará idioma nacional bajo
consecuencia de nulidad. Se designará un intérprete cuando el/la
imputado/a no pueda o no sepa expresarse en castellano o cuando lo
impongan
sus
necesidades
especiales”.
25 Cámara de Apelaciones en lo Penal, Contravencional y de Faltas
CABA, Sala III, causa nº 8235-00-00/15 “NN s/art. 128 parr. 1° delitos
atinentes a la pornografía (producir/publicar imágenes pornogr. c menores
463
18)
CP
(p/
L
2303)”,
29
de
abril
de
2016.
26 Microsoft la utiliza para servicios propios tales como Bing y OneDrive.
También la utilizan Google, Gmail, Twitter, Facebook y Adobe. A su vez,
Microsoft donó esta tecnología al National Center for Missing &
Exploited Children y a Proyecto Vic, una iniciativa del ICMEC mediante
la cual se generan bibliotecas de hashes para su uso en la detección de
pornografía infantil en las pericias informáticas (fuente: Wikipedia).
27 Cabe señalar que, cuando se refiere en este punto a pornografía infantil,
implica toda imagen que tenga esa característica y no hace referencia a la
intencionalidad de quien la envíe; bien podría ser un menor víctima que,
forzado por un groomer, envía imágenes sexuales propias.
28 Además del caso citado en la nota 25, el planteo se reiteró en CPCyF,
Sala I, causa n° 12322/2015-0 “NN s/inf. art. 131 CP”, 23 de noviembre
de
2017.
29 Art. 18: “Ningún habitante de la Nación puede ser penado sin juicio
previo fundado en ley anterior al hecho del proceso, ni juzgado por
comisiones especiales, o sacado de los jueces designados por la ley antes
del hecho de la causa. Nadie puede ser obligado a declarar contra sí
mismo; ni arrestado sino en virtud de orden escrita de autoridad
competente. Es inviolable la defensa en juicio de la persona y de los
derechos. El domicilio es inviolable, como también la correspondencia
epistolar y los papeles privados; y una ley determinará en qué casos y con
qué justificativos podrá procederse a su allanamiento y ocupación.
Quedan abolidos para siempre la pena de muerte por causas políticas, toda
especie de tormento y los azotes. Las cárceles de la Nación serán sanas y
limpias, para seguridad y no para castigo de los reos detenidos en ellas, y
toda medida que a pretexto de precaución conduzca a mortificarlos más
allá de lo que aquélla exija, hará responsable al juez que la autorice” (el
resaltado
me
pertenece).
30 Art. 19: “Las acciones privadas de los hombres que de ningún modo
ofendan al orden y a la moral pública, ni perjudiquen a un tercero, están
sólo reservadas a Dios, y exentas de la autoridad de los magistrados.
Ningún habitante de la Nación será obligado a hacer lo que no manda la
ley,
ni
privado
de
lo
que
ella
no
prohíbe”.
31 Pacto Internacional de Derechos Civiles y Políticos (art. 24); Pacto
Internacional de Derechos Económicos, Sociales y Culturales (art. 10);
Convención Americana sobre Derechos Humanos (art. 19), entre tantos
otros.
32 Art. 3: “En todas las medidas concernientes a los niños que tomen las
instituciones públicas o privadas de bienestar social, los tribunales, las
autoridades administrativas o los órganos legislativos, una consideración
464
primordial a que se atenderá será el interés superior del niño”.
33 Del Carril, Enrique, “La teoría de la interpretación y el principio pro
homine”, en Constitución, Neoconstitucionalismo y Derechos, Juan
Cianciardo
Ortega
(coord.),
Porrúa,
México,
2012.
34 “La primera consecuencia que se extrae de la correcta aplicación del
principio es la priorización del interés del niño sobre cualquier otro interés
legítimo en presencia, tanto si ello supone considerar en menor medida
este último como si se trata de no poder ponderarlo para resolver la
situación en presencia”. Torrecuadrada García-Lozano, Soledad, “El
interés superior del niño”, Anuario Mexicano de Derecho Internacional,
vol.
XVI,
2016,
pp.
131-157.
35 Argúas, Margarita, “La regla locus regit actum”, Lecciones y Ensayos
29
pp.
9
y
ss.
(1965).
36
Fallos,
318:2639.
37 “Los actos de instrucción practicados hasta la decisión de la
competencia serán válidos, con excepción de lo dispuesto en el artículo
36, pero el tribunal a quien correspondiere el proceso podrá ordenar su
ratificación
o
ampliación”.
38 Simari, Virginia, “¿Más internet importa menos derecho a la
intimidad?”,
LL,
2016-B-1276.
39 Kesan, Jay P. – Hayes, Carol M., “Creating a circle of trust to further
digital privacy and cybersecurity goals”, Michigan State Law Review
1475
(2014).
40 Richards, Neil M., “The Dangers of Surveillance”, Harvard Law
Review,
2013.
41 Rodríguez, Rafael - Martínez Cabezudo, Fernando, “Herencia digital,
términos y condiciones de uso y problemas derivados de la praxis social.
Un análisis desde la filosofía del derecho”, Revista internacional de
pensamiento
político
nº
12,
2017,
pp.
77-104.
42 Del Carril, Enrique H., “¿Capitalismo digital?”, Revista Empresa,
octubre 2016.
Victimización sexual de menores A través de las TIC
Irene Montiel
José R. Agustina
1. Introducción: victimología del desarrollo en la era digital La victimología del desarrollo estudia las victimizaciones que
experimentan los niños y adolescentes en función de su edad, etapa de
465
desarrollo y su nivel de dependencia respecto a los adultos (Finkelhor,
2007). Sin embargo, la anticipación en la edad de acceso a las TIC
experimentada en los últimos años ha supuesto cambios muy
significativos en las actividades cotidianas en el ciberespacio por parte de
los menores (García Guilabert, 2017: 43-49). En efecto, estos interactúan
virtualmente fuera del hogar mucho antes y en todo momento, accediendo
a tales interacciones desde su smartphone, que se ha convertido no sólo en
una ventana al mundo, sino en un verdadero espacio ampliado de
victimización.
Asimismo, la investigación criminológica arroja suficiente evidencia
empírica que sustenta que la victimización de los menores es más
frecuente que la que experimentan los adultos y que, en muchas ocasiones,
los menores ni siquiera tienen conciencia de su propia victimización,
convirtiéndose de este modo en víctimas ideales (Herrera Moreno, 2006;
Pereda, Abad y Guilera, 2012). Los investigadores también señalan que la
exposición a distintos tipos de victimización varía a lo largo de la infancia
y adolescencia, tanto en naturaleza como en cantidad e impacto
psicológico. Y la polivictimización parece ser la norma (Finkelhor,
Ormrod, Turner y Hamby, 2005c) o, dicho de otro modo, la combinación
de distintas formas de victimización resulta más común que la presencia
de una única forma (Finkelhor 2007)1.
A este respecto, los análisis unidimensionales que sólo se centran en una
única forma de victimización suponen una visión reducida y limitada de
la realidad, al omitir la valoración de factores relevantes que, desde un
punto de vista holístico, ayudarían a explicar la co-ocurrencia, la
acumulación
de
distintos
acontecimientos
victimizantes
o
polivictimización. Como también supondría un reduccionismo
considerable dejar de considerar el potencial victimógeno que entraña el
uso temprano de las TIC por los menores.
Con todo, en las líneas que siguen trataremos de enfocar la preocupación
por proteger a los menores ante una categoría de victimización digital
particularmente sensible: la victimización sexual. Tras analizar una
posible clasificación general de tipos de menores cibervíctimas según los
riesgos experimentados y el daño asociado, nos centraremos en el análisis
de los estudios existentes y la literatura criminológica relativos a la
cibervictimización sexual de menores de edad; (1) conceptualización y
características; (2) prevalencia; (3) dinámica victimógena; (4) perfiles de
cybergroomers y entorno ambiental; (5) impacto psicológico y
466
psicosocial, y (6) factores de riesgo y protección en relación a la
cibervictimización sexual de menores.
2. Tipos de menores usuarios de las TIC según los riesgos
experimentados y daño asociado En los últimos años, una de las tendencias observadas en los diversos
estudios revisados sobre menores y tecnologías de la información y la
comunicación es la creación de tipologías de cibervíctimas. La mayoría
consisten en clasificaciones empíricas de usuarios jóvenes de internet,
obtenidas a partir del análisis estadístico de la información proporcionada
por los propios jóvenes en torno a distintas variables entre las que se
encuentran algunos riesgos online, lo que permite conocer las
características compartidas por los miembros de cada grupo y sus
diferencias respecto de los otros.
Las distintas propuestas se fundamentan en “ideas claves” que han sido
contrastadas empíricamente, como la posible combinación de roles y de
formas de victimización (tipología de Ybarra, Espelage y Mitchell, 2007);
la posible combinación de riesgos y oportunidades online (tipología de
Livingstone, Bober y Helsper, 2005a), o de comportamientos online,
riesgos y daños (tipología de Hasebrink, Görzig, Haddon, Kalmus y
Livingstone, 2011); la posible combinación de distintos riesgos (tipología
de Helsper, Kalmus, Hasebrink, Sagvari y De Haan, 2013); la posible
combinación de experiencias problemáticas online y offline (tipología de
Mitchell, Finkelhor y Becker-Blease, 2007), y la posible combinación de
factores de vulnerabilidad y de contribución de la víctima (tipología de
Webster et al., 2010, 2012).
Helsper, Kalmus, Hasebrink, Sagvari y De Haan (2013) elaboran una
clasificación de usuarios europeos menores de edad otorgando un papel
preponderante a la naturaleza del uso (cómo lo usan), por encima de un
enfoque más cuantitativo (cuánto usan Internet). Esta clasificación tiene
en cuenta no sólo los riesgos encontrados online y el daño experimentado
por los jóvenes, sino también las oportunidades y las estrategias de
mediación que emplean sus padres para proteger su bienestar online.
Respecto a los riesgos y daños, se realiza un análisis cluster con los
menores que han experimentado alguno de los riesgos principales
evaluados (porque si incluyen a todos los menores el análisis sólo arroja
dos clusters: los jóvenes que han experimentado algún riesgo y los que no
467
han experimentado ninguno), que son ver imágenes sexuales, conocer
extraños y bullying (n = 5.722). Como el sexting no se analiza en los niños
de 9-10 años, no se incluye en el análisis cluster, pero sí se incluyen
riesgos relativos a los contactos como la exposición de información
personal y las interacciones arriesgadas (riesgos relativos a contactos).
Los tres primeros son evaluados mediante una escala entre 0 (no
experiencia de riesgo) y 6 (experiencia de riesgo y gran molestia o
alteración por ello) que también contempla si el suceso ha tenido lugar
sólo fuera de línea (1, no incluido en el análisis cluster) y el nivel de daño
experimentado (entre ninguna molestia y gran alteración). Los riesgos
relativos a contactos se evalúan mediante una escala entre 0 (ninguno de
los riesgos) y 5 (todos los planteados). Los cuatro tipos de riesgos
presentan bajas correlaciones entre ellos (entre -,09 y ,42), hallándose la
más elevada entre los encuentros con extraños fuera de línea y los riesgos
relativos a contactos. En general, las experiencias de riesgo y
especialmente las dañinas son bajas, por lo que cuando se hace referencia
a “elevado” riesgo o daño en la clasificación hay que entenderlo como
relativo, es decir en comparación a la media y los otros grupos. En la tabla
1 pueden verse los porcentajes de riesgos y daño de cada uno de los
clusters.
Los tres grupos identificados por Helsper et al. (2013) son los siguientes:
1. “Riesgos sexuales y daño” (n = 2.299): formado por menores de todas
las edades (edad media 13,9 años), principalmente chicos, cuyos padres
presentan más educación superior que los otros grupos. Estos jóvenes
presentan los porcentajes más altos de exposición a imágenes sexuales y
de daño asociado. También experimentan otros riesgos como bullying
online y conocer offline a personas conocidas online, pero se asocian a
niveles moderados de daño. Además, este grupo presenta las puntuaciones
más bajas en la escala de contactos de riesgo. Un 9% de menores
españoles pertenecen a este grupo (promedio europeo 11% y promedio en
el grupo de países denominado “menor riesgo/daño” 8%).
2. “Mayor riesgo y daño” (n = 1.250): formado por menores de todas las
edades (edad media 13,5 años), principalmente chicas, cuyos padres
presentan más educación secundaria que los otros grupos. Estos jóvenes
presentan porcentajes relativamente altos en todos los riesgos evaluados
excepto los relativos al contacto, y los más elevados niveles de daño
asociados al bullying online y conocer offline a personas conocidas
468
online. Un 4% de los menores españoles pertenecen a este grupo
(promedio europeo 5% y promedio en los países del mismo cluster 4%).
3. “Riesgos relativos al contacto” (n = 2.172): formado por los jóvenes
más mayores (edad media 14,3 años), principalmente chicos, cuyos padres
presentan la misma proporción de educación secundaria que el grupo
anterior. Puntúan más alto en los riesgos de contacto, referidos a la
facilitación de información personal, y experimentan más daños asociados
al contacto offline con personas conocidas online. Un 6% de los menores
españoles pertenecen a este grupo (promedio europeo 10% y promedio en
los países del mismo cluster 7%).
Respecto a la clasificación específica de países en función de los riesgos
y daños experimentados por sus menores, España se incluye en el grupo
de países denominado “Menor riesgo/daño”, junto a Chipre, Alemania o
Italia, entre otros. Este grupo se caracteriza por presentar proporciones
más elevadas de menores en el grupo de usuarios denominado “No
riesgo”, formado por los niños y niñas (en proporción similar) más
pequeños/as (edad media 12,3 años) que no han experimentado durante el
último año ninguno de los riesgos online evaluados, y por tanto tampoco
ningún daño, cuyos padres presentan la mayor proporción de educación
primaria y la menor de educación universitaria superior. También
presentan las proporciones más bajas de menores (en relación a los otros
grupos de países) en cada uno de los tres clusters o grupos de menores
identificados (8% en el grupo de riesgos sexuales, 4% en el grupo de
elevado riesgo y daño y 7% en el grupo de contactos de riesgo). En
España, el 81% de los jóvenes pertenece a este grupo (el 73% de toda la
muestra europea, n = 19.420).
Tabla 1. Distribución de distintas categorías de riesgo/daño en grupos de
niños de EU Kids Online (Helsper et al, 2013).
469
Esta clasificación pone en evidencia que no existe una clara tendencia
lineal entre la no experimentación de riesgos online (ni daño asociado) y
un elevado riesgo (y daño asociado). Además, según Helsper et al. (2013),
los niños que tienen más probabilidades de encontrar un tipo particular de
riesgo no necesariamente presentan más probabilidades de encontrar otros
tipos de riesgos y daño, y cuando encuentran varios tipos de riesgo el daño
experimentado es mayor respecto a un tipo de riesgo u otro.
3. Cibervictimización sexual de menores Cualquier forma de violencia sexual contra los niños y las niñas es un
problema social que tiene consecuencias en su vida, en su entorno y en
todos y cada uno de los contextos en que los niños víctimas se desarrollan.
Cualquier forma de abuso sexual infantil, con contacto físico o sin él,
implica la transgresión de los límites íntimos y personales del niño o la
niña. Supone la imposición de comportamientos de contenido sexual por
parte de una persona (un adulto u otro menor de edad) hacia un niño o una
niña, realizado en un contexto de desigualdad o asimetría de poder,
habitualmente a través del engaño, la coacción o la manipulación. El
abuso sexual infantil puede incluir actividades sin contacto físico directo
que encuentran en el ciberespacio un contexto idóneo para su desarrollo,
como el exhibicionismo, la exposición de niños o niñas a material
pornográfico, el online child grooming, la utilización o manipulación de
niños o niñas para la producción de material sexual y el ciberacoso sexual.
3.1. Conceptualización y características
Antes de hablar de la victimización sexual infantil en el ciberespacio o
facilitada por las tecnologías de la información y la comunicación (TIC),
es necesario contextualizar el fenómeno partiendo de las definiciones más
aceptadas de las principales formas de violencia sexual infantil: el abuso
sexual infantil, la explotación sexual y el acoso sexual entre iguales.
El Informe Mundial sobre la Violencia y la Salud (OMS, 2003) define la
violencia sexual como sigue:
Todo acto sexual, la tentativa de consumar un acto sexual, los comentarios
o insinuaciones sexuales no deseados, o las acciones para comercializar o
utilizar de cualquier otro modo la sexualidad de una persona mediante
coacción por otra persona, independientemente de la relación de esta con
470
la víctima en cualquier ámbito, incluidos el hogar y el lugar de trabajo
(Jewkes, Sen y García-Moreno, 2002, p. 161).
Según O’Donohue y Geer (1992), la inexistencia de una definición
unánimemente aceptada del abuso sexual infantil por los investigadores
se debe, fundamentalmente, a las dificultades para delimitar los conceptos
de infancia, relación sexual y abuso (Cantón y Cortés, 2007, p. 172). El
National Center of Child Abuse and Neglect (NCAAN, 1978) define el
abuso sexual infantil como una forma de maltrato infantil referida a:
Contactos entre un niño y un adulto en los que se utiliza al niño como
objeto gratificante para las necesidades o deseos sexuales del adulto,
interfiriendo o pudiendo interferir esta experiencia en el desarrollo normal
de la salud del niño.
Finkelhor y Hotaling (1984) y López (1994) emplean dos criterios básicos
para definirlo: a) La asimetría de edad, que implica una diferencia de edad
de cinco años en la infancia (hasta 12 años) y 10 años en la adolescencia
(13 a 16 años). Esta asimetría impide la verdadera libertad de decisión del
niño o niña e imposibilita una actividad sexual compartida, ya que los
participantes tienen experiencias, grado de madurez biológica y
expectativas muy diferentes respecto a la relación sexual. b) La coerción,
entendida como el contacto sexual mantenido con un menor mediante el
uso de la fuerza física, la amenaza, la presión, la autoridad o el engaño,
considerada criterio suficiente para etiquetar una conducta de abuso
sexual, independientemente de la edad del agresor (Cantón y Cortés,
2007).
Por su parte, Echeburúa y Guerricaechevarría (1998, 2000) hablan de
desigualdad entre víctima y agresor/a (por asimetría de edad, madurez o
poder) y utilización del menor de edad como objeto sexual. Se puede
concluir, por tanto, que cualquier definición debe contener tres aspectos
fundamentales: la desigualdad de poder o autoridad entre el niño y el
adulto, la cosificación del niño como objeto sexual, independientemente
de que exista o no contacto físico, y el impacto real o potencial del abuso
en el niño.
La explotación sexual infantil, por su parte, constituye una categoría de
abuso sexual infantil en la que existe un abuso sexual y una explotación
económica del abuso. Por un lado, el cliente tiene relaciones sexuales con
el menor, por el otro, el explotador, que puede o no ser la misma persona
471
que el cliente, obtiene un beneficio económico de dichas relaciones
sexuales. Este fenómeno engloba a la prostitución y la pornografía
infantil, así como el tráfico sexual infantil y el turismo sexual infantil
como modos de lograr el acceso a las víctimas de explotación sexual
infantil. Se suele equiparar la explotación sexual con el comercio sexual
infantil.
Figura 1. Tipología del maltrato sexual infantil (Pereda, 2010).
El acoso sexual existe en todos los países y culturas, aunque las
percepciones y juicios en torno al fenómeno y, por tanto, su definición,
difieren significativamente de una cultura a otra (Barak, 2005), por lo que
no existe una definición común (Ortega, Sánchez, Ortega-Rivera,
Nocentini y Menesini, 2010). Tradicionalmente, ha sido considerada una
forma de violencia de género o de discriminación (Gruber y Fineran,
2007). Autores como Goldstein, Malanchuck, Davis-Kean y Eccles
(2007) enfatizan la naturaleza agresiva proactiva del fenómeno, que
emerge junto a los cambios propios de la pubertad y el incremento del
interés sexual en las relaciones interpersonales. Otros fijan la atención en
las percepciones negativas de la víctima sobre la situación como indeseada
e inaceptable (Attar-Schwartz, 2009; citado por Ortega et al., 2010). La
American Association of University Women (AAUW, 2001) define el
acoso sexual entre iguales como “comportamientos sexuales indeseados y
desagradables que interfieren en la vida del que los padece”, e incluye
conductas verbales y físicas, como ser llamado gay o lesbiana o ser
desnudado.
Petersen y Hyde (2009) observan que, a diferencia de lo que ocurre en el
bullying u otras formas de victimización, en el caso del acoso sexual por
472
pares no se observa la existencia de una clara desigualdad de poder entre
la víctima y su agresor a favor de este último, por lo que el poder o el
dominio del otro no es considerado una motivación para el acoso sexual
entre iguales, siendo más bien el interés en alcanzar un acercamiento
íntimo o sexual lo que lo motiva.
Como ya se ha comentado, el ciberespacio se configura como un nuevo
espacio de oportunidad criminal (Miró, 2012) en el que niños, niñas y
jóvenes continúan siendo víctimas (Pereda, Abad y Guilera, 2014; Pereda,
Guilera y Abad, 2014b) y la victimización sexual infanto-juvenil ha
adquirido una nueva dimensión, la virtual o cibernética, quedando
definida como sigue:
Toda conducta intencional (no accidental) de índole sexual o regida por
una motivación sexual, mediada por cualquier tecnología de la
información y la comunicación, que cause daño a un menor de edad o le
coloque en situación de riesgo de sufrirlo (daño real o potencial),
disminuyendo o amenazando su bienestar físico, psíquico y/o social y/o
interfiriendo en su óptimo desarrollo.
Las numerosas posibilidades que brindan hoy las TIC hacen que la
victimización sexual infanto-juvenil pueda adoptar diversas formas y
etiquetas (ver figura 2), pero en la práctica suelen alcanzar tal nivel de
interrelación que resulta realmente difícil diferenciar unas de otras, o
aislarlas para su estudio, no sólo por la frecuente superposición de las
conductas victimizantes en una misma dinámica o episodio, sino también
porque las víctimas de unas formas de victimización suelen serlo también
de otras, lo que se conoce como polivictimización (Saunders, 2003;
Finkelhor, 2007), y cuya presencia ha sido corroborada también en el
entorno digital (Montiel, Carbonell y Pereda, 2016).
El proceso de acercamiento online a un menor con fines sexuales recibe
nombres diversos, engloba comportamientos distintos y enfatiza aspectos
esenciales diferentes que van desde la edad del agresor y la víctima,
pasando por la intención sexualmente hostil del agresor, hasta la
reiteración de la conducta, sin que exista una definición unitaria y
compartida por todos los investigadores, lo que deriva en instrumentos de
evaluación distintos cuyos resultados son difícilmente comparables.
Una definición que recoge la complejidad del fenómeno de la
victimización infantil sexual online es la aportada por el equipo de trabajo
473
del Proyecto Europeo Risktaking Online Behaviour Empowerment
through Research and Training (ROBERT), que emplea el término de
abuso sexual en un sentido amplio al definir el “ciberabuso sexual
infantil” o “abuso sexual infantil online” (Quayle, Lööf, Soo y Ainsaar,
2012; en Kolpakova, 2012), como sigue:
Toda implicación de un menor en cualquier actividad sexual online,
siempre que se dé alguna de las siguientes circunstancias: a) el menor no
alcance la edad de consentimiento sexual propia de cada país; b) se
produzca mediante coerción, fuerza o amenazas; c) desde una reconocida
posición de superioridad, confianza o autoridad; d) exista una situación de
especial vulnerabilidad de la víctima como discapacidad física o mental o
situación de dependencia.
Las “solicitudes sexuales indeseadas online” han sido definidas por el
equipo norteamericano del Crimes Against Children Research Center
(CCRC), liderado por David Finkelhor, como sigue:
Peticiones para implicarse en actividades o conversaciones de carácter
sexual o para dar información personal que no se quiere dar o provenientes
de un adulto (Finkelhor, Mitchell y Wolak, 2000; Mitchell, Finkelhor y
Wolak, 2004; Wolak, Mitchell y Finkelhor, 2006; Ybarra, Espelage y
Mitchell, 2007) o alguien al menos cinco años mayor (Jones, Mitchell y
Finkelhor, 2012), aunque el menor consienta.
En un nivel más específico, la captación de menores a través de internet
por personas adultas para su implicación en actividades sexuales dentro o
fuera de la red, con la finalidad última de satisfacer necesidades sexuales
propias o ajenas y/u obtener otros beneficios como dinero o estatus social
en redes de pornografía infantil al intercambiar o vender las imágenes, es
conocida como online grooming.
Davidson y Martellozzo (2008) lo definen como un proceso de captación
o seducción online que comprende el proceso de socialización, durante el
cual el agresor interactúa con el menor a fin de prepararlo/a para ser
abusado/a sexualmente, lo que podría traducirse como “preparación en
línea”. Mientras, el equipo del European Online Grooming Project
(EOPG) concreta un poco más en cuanto a la edad de la víctima y el
contexto del abuso, definiéndolo como el proceso en el que un individuo
se hace amigo de un menor (16 años o menos) para tener un contacto
sexual online, a veces con la participación de webcams que permiten
474
compartir la explotación con otros abusadores de menores, y que puede
extenderse a un encuentro físico para cometer un abuso o agresión sexual
(Webster et al., 2010).
Por su parte, el ROBERT matiza que la “solicitud sexual online” del
CCRC (2001) no implica un proceso de seducción o preparación del
menor, sino únicamente peticiones directas y explícitas (producción de
imágenes sexuales, hablar de temas sexuales, llevar a cabo cualquier otra
actividad sexual online o incluso acordar un encuentro fuera de línea con
la intención de llevar a cabo alguna actividad sexual), mientras que el
“sexual grooming” incluye todo el proceso por el que el agresor accede al
menor, se gana su confianza y establece un vínculo emocional con él antes
de pasar a la solicitud sexual (Quayle et al., 2012; en Kolpakova, 2012).
Este enfoque permite establecer un paralelismo con el abuso sexual
infantil tradicional, entendiendo que el “grooming” en sí mismo no
implica necesariamente una actividad sexual ni se limita al contexto
cibernético, ni siquiera es una conducta exclusiva de los adultos, sino que
constituye la estrategia de “cortejo” empleada por el perpetrador para
acercarse a su víctima, captar su atención e interés, seducirla y reducir sus
inhibiciones para incrementar las posibilidades de éxito cuando le plantee
alguna solicitud sexual dentro o fuera de la red (Whittle et al., 2013a).
Mediante el proceso de grooming, las inhibiciones de la víctima son
rebajadas a través del compromiso activo, la desensibilización, el poder y
el control, todo lo cual forma parte de la manipulación ejercida por el
agresor sobre su víctima (Berson, 2003) y es facilitado por las TIC y la
arquitectura del ciberespacio.
Por su parte, Barak (2005) establece que la mayoría de expresiones de
acoso sexual que tienen lugar en internet aparecen en forma de atención
sexual indeseada, que implica cierta comunicación entre el acosador y su
víctima mediante el envío de mensajes sexuales o comentarios sobre
aspectos íntimos de la vida de la víctima, o invitaciones a hablar sobre
sexo o involucrarse en actividades sexuales, todo ello con la intención de
conseguir la cooperación sexual de la víctima en el entorno online u
offline. Quayle et al. (2012; citado por Kolpakova, 2012) entienden la
atención sexual indeseada como un nexo de unión entre el acoso sexual y
la solicitud sexual, y reconocen el frecuente solapamiento entre el sexual
grooming, las solicitudes sexuales, el acoso sexual online y la atención o
cortejo sexual indeseado, e incluso el online harassment y el
cyberbullying, y afirman que muchos investigadores utilizan términos
475
distintos para hablar de un constructo similar, como en el caso del acoso
sexual y la solicitud sexual.
Para organizar los distintos conceptos y diferenciarlos, Montiel, Carbonell
y Pereda (2016) distinguen dos tipos básicos de solicitudes sexuales
indeseadas en función de las estrategias empleadas por el perpetrador. En
el “ciberabuso sexual” la solicitud sexual no incluye violencia ni
intimidación, por lo que el elemento abusivo básico sería la relación
asimétrica de poder entre víctima y agresor, por edad o madurez, y podría
equipararse al “online child grooming”. En el “ciberacoso sexual”, la
dinámica se caracteriza por estrategias intimidatorias y reiteradas de
presión y/o coerción orientadas a conseguir que el menor acceda a la
solicitud sexual planteada, dentro o fuera de la red, resultando indiferente
la edad del agresor, puesto que la coerción constituye elemento suficiente
para determinar la existencia de una conducta abusiva potencialmente
dañina (ver figura 2).
Figura 2.
Formas básicas de Victimización Infantil Sexual Online
(VISO; Montiel, Carbonell y Salom, 2014).
La expresión sexting es un neologismo conformado por la contracción de
los términos “sex” y “texting”, utilizado para referirse a las
comunicaciones de contenido sexual que incluyen tanto mensajes de texto
como imágenes que son transmitidas empleando teléfonos móviles y otros
476
medios electrónicos (Lenhart, 2009; Calvert, 2009-2010; Chalfen, 2009;
Agustina, 2010; Katzman, 2010; Ferguson, 2011; Wolak y Finkelhor,
2011).
Aunque aparentemente se trata de conductas voluntarias y consentidas por
los menores, también pueden darse en un contexto de abuso o dominación
tanto dentro como fuera de la red, como la violencia de pareja o dating
violence, el online grooming o ciberacoso sexual, el bullying o
ciberbullying, o, simplemente, el deseo de venganza por parte de quien ha
sido pareja o amigo/a de la víctima y ya no lo es (porn revenge). En este
sentido, vale la pena mencionar el trabajo de Drouin, Ross y Tobin (2015),
según el cual en muchas ocasiones las conductas de sexting en una pareja
son ciertamente “consentidas”, pero al mismo tiempo “indeseadas”, lo que
denominan sexting coerción. En efecto, su presencia está asociada a
formas tradicionales de violencia en la pareja y a sintomatología de
ansiedad, depresión y estrés traumático, tanto en varones como en
mujeres, por lo que su presencia puede ser un potente indicador de
violencia en la pareja (intimate partner aggression) (Agustina y Montiel,
2016).
La conducta introducida en el art. 183 ter 2 en la reforma del Código Penal
español de 2015 permite incriminar conductas de embaucamiento para
que un menor practique sexting (Villacampa, 2016). Los supuestos en que
estas conductas consistan en la producción o autoproducción, posesión,
acceso o distribución de imágenes de menores que cumplan con las
condiciones legalmente establecidas para constituir pornografía infantil
pueden ser directamente incriminados como conductas relacionadas con
la pornografía infantil, del art. 189 CP, cuyos autores cabe que sean
menores de edad (Villacampa, 2016).
El sexting primario es aquel en que se produce o autoproduce la imagen o
el texto, mientras que el secundario consiste en la transmisión de dicha
información (Villacampa, 2016), o incluso su acceso o posesión (Agustina
y Montiel, 2016). Tanto uno como otro pueden ser o no consensuales. Es
consensual el sexting primario cuando quien aparece en la imagen acepta
su producción o incluso la autoproduce, lo mismo que el sexting
secundario cuando quien aparece en la imagen acepta su difusión o
reenvío. Por contra, no es consensual –el primario– cuando la imagen se
toma sin contar con la anuencia de quien aparece en ella o –el secundario–
cuando se distribuye sin consentimiento de esa misma persona
(Villacampa, 2016).
477
Por su parte, Wolak y Finkelhor (2011) definen el sexting como imágenes
de menores creadas por menores (17 años o menos), que son o podrían ser
calificadas como pornografía infantil. Estos autores establecen, además,
una tipología de episodios de sexting basada en la revisión de más de 550
casos obtenidos de una encuesta nacional a cuerpos de seguridad y
prefieren emplear el término de “imágenes sexuales producidas por
menores”, limitándolo a aquellas imágenes que podrían considerarse
pornografía infantil según las leyes vigentes, debido a que la aplicabilidad
de las leyes de pornografía infantil es la principal fuente de controversia
sobre estas imágenes y a menudo es el requisito principal para que
intervengan los cuerpos policiales. Incluyen el envío de esas imágenes por
cualquier tecnología electrónica (teléfono móvil, webcam, cámara digital,
etc.) y la gama completa de incidentes que llaman la atención de la policía,
incluidos aquellos que implican a adultos, incidentes experimentales entre
menores y situaciones que no tienen que ver con relaciones románticas,
tal como muestra la figura 3. (Wolak y Finkelhor, 2011; Wolak, Finkelhor
y Mitchell, 2012).
478
Figura 3. Tipología de imágenes producidas por jóvenes en casos
conocidos por los cuerpos de seguridad.
(Wolak y Finkelhor, 2011).
Junto a quienes mantienen el discurso de la desviación, considerando el
sexting como una conducta de riesgo que puede conllevar efectos
perjudiciales para el que la emprende y que debe evitarse (p. ej., Agustina
y Montiel, 2016; Temple et al., 2012; Benotsch et al., 2013; Dir y Cyders,
2013; Gordon-Messer, Bauermeister, Grodzinski y Zimmerman, 2013;
Baumgartner et al., 2014; Rice et al., 2015), resulta cada vez más habitual
adoptar en este aspecto lo que se conoce como discurso de la normalidad
(p. ej., Döring, 2014; Kerstens y Stol, 2014; Nielsen, Paasonen y Spisak,
2015; Villacampa, 2016). Conforme al mismo, el sexting se considera una
actividad normal, connatural al proceso de maduración sexual de los
adolescentes, para la que debe educarse a los mismos sin imponer la
abstención de su práctica como única alternativa (Villacampa, 2016).
3.2. Prevalencia
En general, las tasas observadas de solicitudes sexuales indeseadas oscilan
entre un 13% y un 23% (Livingstone, 2006; Mitchell, Finkelhor y Wolak,
2001; Mitchell et al., 2007). Según la revisión de 13 estudios publicados
entre el año 2000 y 2009 realizada por Ospina, Harstall y Dennet (2010),
en cuatro de los estudios basados en medidas de autoinforme en jóvenes
entre 10 y 17 años (población general), entre un 13% (Wolak, Mitchell y
Finkelhor, 2006) y un 19% (Finkelhor, Mitchell y Wolak, 2000) han
experimentado solicitudes sexuales online. En esta misma revisión,
Ospina et al. (2010) observa que, en un estudio del Reino Unido basado
en casos policiales, sólo un 2% de todos los casos de abuso sexual infantil
que llegaron a la policía se habían iniciado mediante solicitudes sexuales
online o grooming (Gallagher, Fraser, Christmann y Hodgson, 2006),
mientras que otro estudio con una muestra clínica formada por pacientes
de centros de salud mental, obtiene prevalencias de hasta un 26% de
víctimas de solicitudes sexuales indeseadas (Mitchell y Wells, 2007).
Hay que destacar un estudio llevado a cabo por el Crimes against Children
Research Center (CCRC) en Estados Unidos, en el que analizan la
tendencia observada respecto a estas situaciones entre los jóvenes
norteamericanos, entre los años 2000 y 2010, a partir del análisis de tres
estudios independientes transversales realizados mediante entrevistas
479
telefónicas a 1500 jóvenes entre 10 y 17 años (YISS 1, 2 y 3), Jones,
Mitchell y Finkelhor (2012) encuentran, en general, un decremento en la
prevalencia de solicitudes sexuales indeseadas de cualquier tipo (19% en
el año 2000, 13% en 2005 y 9% en 2010), y en las solicitudes angustiosas
(5%, 5% y 2%). Sin embargo, la prevalencia de solicitudes sexuales
agresivas (con intentos de contacto fuera de línea) no disminuyó de
manera significativa, manteniéndose alrededor del 3% (3% en 2000, 4%
en 2005 y 3% en 2010).
En España, según Pereda, Guilera y Abad (2014b), únicamente un 10,7%
de los estudios sobre victimización infanto-juvenil publicados entre 1994
y 2010 abordan el fenómeno de la victimización electrónica o mediada
por las TIC, y prácticamente todos se centran en el ciberbullying o
ciberacoso. Pereda et al. (2012b) observan que entre un 10% y un 12% de
los jóvenes atendidos en servicios de salud mental de Catalunya han
experimentado algún episodio de acoso sexual por internet alguna vez a
lo largo de su vida, y entre un 6% y un 7% lo ha experimentado en el
último año. Además, observan que los porcentajes son mayores cuantas
más victimizaciones distintas han experimentado los jóvenes a lo largo de
su vida. Concretamente, el 27,3% de los jóvenes del grupo de “alta
polivictimización” han sido víctimas de solicitudes sexuales indeseadas
(frente al 9% en el grupo de baja victimización y el 14,7% en el de baja
polivictimización; V de Cramer = ,20), lo que sugiere la existencia de una
asociación, pequeña pero significativa, entre las solicitudes sexuales
indeseadas y la condición de polivíctima, también observada en otras
muestras de menores (Pereda et al., 2014).
Pereda, Guilera y Abad (2014a) analizan la prevalencia de distintas
formas de victimización en una muestra comunitaria de adolescentes
españoles entre 12 y 17 años (N = 1107), y obtienen que, tanto a lo largo
de la vida como en el último año, predomina la victimización electrónica
por solicitudes sexuales indeseadas sobre la victimización por ciberacoso
o harassment no sexual (8,4% frente a 5,9% a lo largo de la vida; 6,3%
frente a 3,6% durante el último año). La misma tendencia se observa en
una muestra de jóvenes catalanes tutelados por la Dirección General de
Atención a la Infancia y la Adolescencia (n = 129 jóvenes entre 12 y 17
años) o atendidos por la Dirección General de Ejecución Penal en la
Comunidad y de Justicia Juvenil (n = 101 jóvenes entre 14 y 17 años),
siendo en el primer caso la prevalencia a lo largo de la vida del 19,4% y
la incidencia anual del 15,8%, frente al 24,8% y el 22,4%,
respectivamente, en la segunda muestra mencionada.
480
Más recientemente, Montiel, Carbonell y Pereda (2016), a partir de una
muestra comunitaria de 3897 adolescentes españoles entre 12 y 17 años,
obtienen que el 39,5% han experimentado alguna forma de victimización
sexual online, especialmente las chicas y los adolescentes más mayores.
Entre los tres tipos de solicitudes sexuales analizados, el más común es el
online grooming por un adulto, que oscila entre un 9,6% en los menores
de 12-13 años, hasta un 25,6% en los de 16-17 años. Respecto a la presión
sexual (solicitudes reiteradas no violentas ni intimidatorias), también se
observa un crecimiento entre los 12-13 años (8,4%) y los 16-17 años
(14,8%), mientras que las solicitudes sexuales más agresivas (coacción
sexual) se mantienen constantes a lo largo de toda la adolescencia (6,7%).
Los autores concluyen que uno de cada cinco menores ha experimentado
alguna solicitud sexual indeseada a través de internet, y en más del 90%
de los casos esta situación les ha provocado algún malestar. Además,
también observan una significativa asociación entre las solicitudes
sexuales indeseadas y la condición de ciberpolivíctima, en la línea de lo
apuntado por Pereda et al. (2014a), pero referido al entorno virtual.
Respecto al sexting, según una revisión sistemática de 31 estudios
(Klettkle, Hallford y Mellor, 2014), se estima que entre un 2,5%-30% de
los adolescentes y entre un 28,2%-80,9% de los adultos se han visto
involucrados en prácticas de sexting. Si bien no se pone en cuestión que
nos hallemos ante un fenómeno global, con todo, existe todavía un alto
grado de imprecisión al delimitar y definir los contornos de dicho
fenómeno, generándose de este modo análisis inconsistentes y resultados
que presentan una enorme variedad en función, sobre todo, de los
parámetros definicionales (graduación del contenido erótico y tipo de
mensajes: escritos o audiovisuales), el tipo de muestra (edad, género y
factores culturales y socio-demográficos) y la metodología empleada
(Klettkle et al., 2014; Agustina y Gómez-Durán, 2016).
3.3. Dinámica victimógena
Tal y como comentábamos al inicio de este capítulo, la victimización
infantil sexual online puede manifestarse en distintas formas o
modalidades, cada una de ellas con sus características y dinámicas
propias, aunque todas interrelacionadas e incluso, en muchos casos,
solapadas. Las solicitudes sexuales pueden implicar estrategias o
conductas agresivas por parte del ciberagresor (amenazas, chantajes,
sextorsión, exposición indeseada a contenido sexual, etc.), en cuyo caso
481
estaríamos hablando de ciberacoso sexual, o pueden realizarse en el marco
de una interacción que simula una relación romántica simétrica, tratándose
entonces de ciberabuso sexual, o pueden sucederse o superponerse en el
tiempo (Montiel, Carbonell y Salom, 2014).
El online grooming, tal como se ha expuesto ya, constituiría la estrategia
básica inicial de acercamiento al menor y configuraría un etapa previa de
“cortejo” o seducción mediante la que el ciberabusador trata de ganarse la
confianza de su víctima y establecer con ella un vínculo afectivo que lo
sitúe en una situación de superioridad idónea para la manipulación y el
control emocional, además de asegurarle el silencio de su víctima por su
percepción de implicación y, por tanto, de responsabilidad compartida.
Según Gámez-Guadix y Santisteban (2017), los adultos van estudiando a
fondo el entorno del menor y sus vulnerabilidades, para desarrollar a
continuación estrategias adaptadas a las necesidades de los menores, con
el fin último de conseguir su implicación en el abuso.
Las distintas fases o momentos que pueden aparecer, no necesariamente
de forma lineal, en el proceso de victimización sexual infantil online son
(figura 4):
1. Preparación del ciberabusador. El ciberabusador observa las
interacciones entre los menores, recaba información sobre estos y
selecciona a sus potenciales víctimas. Forma redes sociales discretas con
otras personas que comparten y refuerzan sus intereses desde una posición
de anonimato e impunidad.
2. Primer contacto. Consiste en el primer acercamiento a la víctima
potencial, adaptada a las características y los intereses de esta. Los
menores presentan algunas creencias erróneas que pueden facilitar este
primer contacto.
3. Seducción u online child grooming. El objetivo del ciberabusador es
establecer un vínculo afectivo con su víctima para, desde su posición de
poder, abusar de este y hacer sentir a la víctima que es corresponsable de
la situación.
4. Abuso explícito online. Aprovechando el vínculo establecido, o
precisamente porque este no se produce y el ciberabusador no puede
esperar más, este plantea una solicitud de tipo sexual que puede ir desde
mantener una conversación sobre aspectos íntimos o sexuales, realizar
482
alguna actividad sexual o enviar imágenes, hasta quedar en persona para
mantener relaciones sexuales.
5. Difusión del abuso. Las imágenes o conversaciones de contenido sexual
pueden ser difundidas por el propio ciberabusador o por terceras personas,
contribuyendo a que otras personas motivadas para abusar de menores
sientan reforzados sus intereses y distorsiones cognitivas, además de
cronificar la victimización de la víctima y dificultar seriamente su proceso
de recuperación.
A partir de los resultados de un estudio cuantitativo de Montiel, Carbonell
y Orts (2011) y otro cualitativo (Montiel, Robredo y Carbonell, 2013), los
autores concluyen que los menores mantienen ciertas creencias erróneas
y/o distorsiones cognitivas sobre la dinámica, que podrían contribuir no
sólo al inicio y mantenimiento de la misma, sino también a su percepción
de la experiencia y a su renuencia a revelar y/o denunciar las situaciones
abusivas. Algunos de estos mitos y creencias erróneas son los siguientes:
- El “mito del viejo del parque” o “la detectabilidad”: creen que los
ciberabusadores son fácilmente identificables mediante determinadas
“señales de alarma” que, gracias a su inteligencia y sentido común, pueden
detectar en el primer contacto online con ellos.
- La “falacia de control” y la idea de “relación romántica simétrica”: creen
que controlan la situación en todo momento y minimizan los riesgos de
mantener relaciones con personas adultas interesadas sexual o
sentimentalmente en ellas, llegando a considerar “normales” ciertas
situaciones abusivas.
- La “culpabilidad de la víctima” y la “inmunidad masculina”: creen que
este fenómeno exclusivamente afecta a las chicas porque mantienen
estereotipos de género, y además las responsabilizan de su situación por
no haber sabido detectar las señales de alarma y frenar la situación a
tiempo.
- El “mito de la invencibilidad”, “fábula personal” y “audiencia
imaginaria”: creen que la vivencia de situaciones dañinas es algo que no
puede sucederles a ellos ya que sus vidas son únicas y especiales y no se
rigen por las mismas reglas que las de los demás, distorsión derivada de
la fábula personal descrita por Elkind en 1998 asociada a la inmadurez
cognitiva y el egocentrismo propio de la etapa evolutiva de la adolescencia
483
e íntimamente relacionada con el desarrollo de conductas imprudentes y
arriesgadas (Arnett, 1992), tanto dentro como fuera de la red. También
consideran que si revelan la situación de abuso serán juzgados y
castigados injustamente, estigmatizados, por la audiencia imaginaria que
está tan pendiente de su vida como ellos mismos.
En el estudio del CCRC del año 2001, se observó que únicamente en el
5% de los casos de crímenes sexuales iniciados por internet el abusador
usó la violencia o amenazas para conseguir su objetivo, el 38% expuso a
su víctima a pornografía y un 21% la fotografió en poses sugestivas o
sexuales. Respecto a la dinámica de interacción, el abusador conoció a su
víctima en una sala de chat en el 76% de los casos y se comunicaron online
durante un período de uno a seis meses en casi la mitad de los casos. Se
llegaron a conocer en persona en el 74% de los casos y, de estos, en el
93% hubo contactos sexuales, la mayoría en lugares públicos (46%) o en
casa de la víctima (20%). Sólo el 8% de las víctimas fueron retenidas
ilegalmente. En el año 2006, los primeros contactos entre abusador y
víctima ya no tenían lugar en salas de chat (del 80% al 40%), sino en redes
sociales (33%). Según estos investigadores, salvo aterradoras y peligrosas
excepciones, los abusadores no usan la coerción para abusar sexualmente
de sus víctimas, ni las secuestran, y la mayoría de los abusadores son lo
suficientemente pacientes como para desarrollar relaciones íntimas con
sus víctimas y suficientemente espabilados o inteligentes para trasladarlas
al mundo presencial.
Figura 4. Fases de la dinámica de victimización sexual online
484
(Montiel, Carbonell y Salom, 2014).
Por su parte, O’Connell (2003), a partir de un estudio realizado en salas
de chat durante cinco años, establece una serie de fases en el desarrollo
del online grooming, entendido como una forma de ciberexplotación en la
que la intención final del ciberabusador es abusar sexualmente del menor
en el mundo real, aunque el contacto tenga lugar en el ciberespacio.
1. Fase de formación de la amistad, en la que tiene lugar un primer
contacto amable entre el abusador y su víctima y algún intercambio de
información superflua o incluso de fotografías.
2. Fase de formación de la relación: Es una extensión de la primera y
consiste en la formación de una relación más íntima y profunda.
3. Fase de valoración del riesgo: El abusador trata de averiguar hasta qué
punto está siendo arriesgada su actuación preguntándole al menor desde
dónde chatea, si sus padres lo vigilan o utilizan el mismo ordenador, etc.
4. Fase de exclusividad: La siguiente fase consiste en la consolidación del
vínculo, la corroboración de la confianza de la víctima en el abusador, la
inculcación de la idea de reciprocidad y el logro del compromiso de
confidencialidad/secreto o exclusividad, lo cual facilita el paso a la fase
sexual.
5. Fase sexual: El abusador introduce temas más íntimos y la intensidad
de la comunicación y las estrategias varían en función de la motivación
del abusador, pudiendo adoptar distintos roles (mentor, futura pareja,
acosador, etc.). Puede incluir conversaciones sobre sexo, la petición de
imágenes eróticas o el intercambio de las mismas y/o la reproducción de
fantasías sexuales (cibersexo), con o sin coerción y agresividad. Los
encuentros pueden concluir de formas diversas, pero lo más habitual es
que el abusador emplee palabras de ánimo y elogio que refuercen el
ocultamiento de la situación (limitación del daño) si quiere continuar la
relación, o que desaparezca rápidamente si no es así (hit and run).
Estudios posteriores han tratado de corroborar la progresión elaborada por
O’Connell, apareciendo inconsistencias que reflejan la no linealidad y/o
universalidad de los elementos del modelo (Black, Wollis, Woodworth y
Hancock, 2015; Williams, Elliott y Beech, 2013) y puede durar minutos,
485
horas, días o incluso meses (Webster et al., 2010, 2012), debido a la
constante retroalimentación que van obteniendo los agresores de sus
víctimas a lo largo de sus interacciones.
Por su parte, Katz (2013), mediante entrevistas a niños víctimas de abuso
sexual infantil relacionado con internet, observa cómo los agresores online
hacen sentir a los menores cómodos y seguros con ellos en el inicio de la
relación, preguntándoles sobre su día a día e intereses o preocupándose
por sus problemas. Posteriormente aparecen elementos de contenido
sexual, como preguntarles sobre sus experiencias sexuales, mandarles
fotos o videos de contenido sexual explícito esperando que el menor
conteste con material suyo, para después concertar un encuentro. A lo
largo del proceso aparecen elementos de control sobre el entorno del
menor, como por ejemplo, comprobaciones sobre horarios, cerciorarse de
que la puerta de la habitación del menor estaba cerrada o de que no hubiera
ningún familiar presente, lo cual coincide con el discurso de los menores
de mantener la relación en secreto como muestra de intimidad y confianza
(Katz, 2013).
Por último, vale la pena resaltar que la literatura científica pone de
manifiesto que muchos ciberabusadores no pretenden llegar a encontrarse
en persona con sus víctimas (Briggs, Simon y Simonsen, 2011), ni mucho
menos raptarlos o agredirlos físicamente (Wolak, Finkelhor y Mitchell,
2004), sino únicamente mantener relaciones virtuales o intercambiar
experiencias íntimas y/o imágenes sexuales, lo cual no deja de ser una
experiencia potencialmente dañina para un menor de edad en pleno
desarrollo psicológico y psicosocial.
3.4. Cybergroomers: perfiles y entorno ambiental
Del mismo modo en que no es posible establecer el perfil exacto de un
abusador sexual infantil, tampoco es posible hacerlo del ciberagresor
sexual infantil (Martellozzo, Nehring y Taylor, 2010), ya que no son un
grupo homogéneo en términos de características demográficas o
comportamentales. La heterogeneidad de los ciberagresores, sus
características y motivaciones concretas harán variar la dinámica que
protagonizan, adaptándose no sólo a las reacciones que va mostrando su
víctima (Webster et al., 2012; Grosskopf, 2010) sino también a sus
preferencias (Wolak, Finkelhor, Mitchell e Ybarra, 2008). Como dato
curioso, en los casos en que la víctima es un chico, Grosskopf (2010) ha
hallado diferencias en la dinámica respecto de la que tiene lugar con
486
víctimas chicas: los temas sexuales se introducen al inicio de la relación
online, aunque de forma más suave y sutil, menos explícita, la interacción
se focaliza en la víctima, su sexualidad y sus características físicas y el
ciberabusador es menos agresivo, más cauto y moderado, sin necesidad
de que exista intención de concertar un encuentro fuera de línea o
satisfacer necesidades sexuales de forma inmediata.
Lo que sí resulta posible y útil es identificar patrones comportamentales
que facilitan la distinción de diversos tipos de ciberabusadores. En este
sentido, Webster et al. (2012) distinguen tres tipos de “online groomers”
dependiendo de sus necesidades y motivaciones, lo que marcará los ritmos
y estrategias de acercamiento, entre aquellos que buscan relaciones
románticas e íntimas a largo plazo con menores (“intimacy-seeking” o
“distorted attachment offender”), aquellos que necesitan satisfacer
impulsos sexuales de manera inmediata (“hyper-sexualised offender”), y
un grupo intermedio que se adaptaría a las características del menor y a
como este reaccionara durante la dinámica (“adaptable offender”).
Por su parte, los estudios del Crimes Against Center Research Center
(CCRC) ponen de relieve que la mayoría de los ciberagresores son
hombres cuya edad media ha disminuido en los últimos años hasta el
punto que en 2009, un 50% de estos tenía menos de 25 años, aunque, en
general, no solían mentir sobre sus intereses sexuales ni sobre su edad al
conocer a su víctima. Además, otra tendencia que se consolida con el paso
del tiempo es que, a diferencia de lo que se observaba en estudios
anteriores, la mayoría de los ciberabusadores eligen cada vez más víctimas
que ya conocen en persona, incluso miembros de su propia familia. La
posesión de pornografía infantil también se consolida como una de las
características de los ciberabusadores, así como cierta tendencia
exhibicionista, pues algunos envían fotos eróticas o sexualmente
explícitas de sí mismos a sus víctimas con la intención de reducir sus
inhibiciones, como expone Krone (2005) en la siguiente definición de
“preparador en línea”:
Una persona que ha iniciado un contacto en internet con un niño con la
intención de establecer una relación sexual que implique sexo virtual o
físico. En este caso, las imágenes suelen utilizarse para desensibilizar al
niño respecto de la actividad sexual (o “prepararlo”): muestra las
imágenes al niño para reducir sus inhibiciones respecto de las actividades
sexuales.
487
En la mayoría de los estudios sobre el tema, se pone de manifiesto el error
generalizado que existe, provocado en gran medida por los medios de
comunicación, al describir al ciberabusador como un “monstruo malvado”
que engaña a niñas ingenuas e inocentes induciéndolas o incluso
obligándolas a establecer relaciones sexuales con ellos. Wolak, Finkelhor
y Mitchell (2004), entre otros, sugieren que el estereotipo del pederasta en
Internet que utiliza engaños y violencia para abusar de los niños es muy
inexacto, ya que, en la mayoría de los casos, las víctimas son conscientes
de que están conversando en línea con adultos que quieren mantener
relaciones sexuales con ellas.
También es erróneo pensar que los ciberabusadores son siempre personas
desconocidas para la víctima. Según Mitchell, Finkelhor y Wolak (2005),
en el año 2000, el 18% de las detenciones por cibercrímenes de índole
sexual contra menores incluyeron a familiares o conocidos de la víctima,
y en 2006 este porcentaje incrementó en un 80% (Wolak, Finkelhor y
Mitchell, 2009). Estos ciberabusadores cercanos usaban internet como
herramienta para seducir y preparar a las víctimas, almacenar o difundir
imágenes sexuales de estas (sus hijos/as, primos/as o vecinos/as), preparar
encuentros, recompensar a las víctimas, anunciarlas y promocionarlas, o
incluso venderlas.
Hay que señalar que, aunque se conocen más casos en que el victimario
es un hombre, comienzan a aparecer estudios que concluyen que las
mujeres también pueden estar involucradas en casos de ciberacoso sexual,
bien como instigadoras, facilitadoras o participantes (Martellozzo et al.,
2010).
Recientemente, Santisteban y Gámez-Guadix (2017) han publicado los
resultados de un estudio cualitativo sobre las estrategias específicas que
los adultos usan para manipular y persuadir a los menores con el fin de
lograr interacciones sexuales con ellos, a partir de las entrevistas en
profundidad realizadas a 12 hombres entre 21 y 51 años condenados por
grooming online y el análisis de los hechos probados de sus sentencias.
Los resultados mostraron que las principales estrategias de manipulación
utilizadas por los agresores fueron el engaño, la corrupción (p. ej., ofrecer
dinero o regalos a los menores a cambio de sexo), la implicación
emocional del menor y la agresión, lo que los lleva a concluir que las
estrategias desarrolladas tratan de involucrar o coaccionar activamente al
menor en el proceso abusivo para evitar la revelación (ver figura 5).
488
En el trabajo de Black et al. (2015) se realizó un análisis de contenido
computarizado de delincuentes condenados, para analizar el lenguaje
utilizado en los diferentes estadios propuestos por O’Connell (2003) y
examinar la frecuencia de técnicas de persuasión específicas utilizadas,
tanto en grooming online como offline. Las estrategias utilizadas con
mayor frecuencia son: evaluar la localización del objetivo, intentar hacer
planes para reunirse, utilizar halagos y cumplidos y evaluar el horario de
trabajo de los padres (Black et al., 2015).
Según Santisteban y Gámez-Guadix (2017), las estrategias encaminadas a
atraer la atención e iniciar el contacto con los menores son favorecidas por
elementos como el anonimato de Internet o el efecto de desinhibición
online que han sido previamente señaladas por otros autores (Smith, 2012;
Suler, 2004). Estos comportamientos favorecen el acceso a un buen
número de potenciales víctimas (p. ej., recopilando y agregando de forma
indiscriminada direcciones de correo), de las cuales finalmente se
interactuará sólo con algunas de ellas. Normalmente con aquellas con las
que vean maximizadas sus probabilidades de éxito. En este sentido,
diversos estudios previos ponen de manifiesto cómo los agresores online
tratan de conocer el entorno de las potenciales víctimas para conocer la
capacidad de acceso a las mismas (Katz, 2013; Black et al., 2015).
Por otro lado, los entornos virtuales también facilitan la formación de
discretas redes sociales de personas interesadas en el sexo con niños. Estos
grupos ofrecen un apoyo social a sus miembros, lo que les permite
racionalizar su interés sexual en los niños como algo legítimo y ser
alentados, rompiendo su aislamiento social y sus inhibiciones. Dentro de
dichos grupos, las imágenes de abuso son moneda corriente de cambio
para los miembros y además les confieren estatus. Esta aprobación social
entre ciberabusadores puede animarlos a hacer aquello para lo que habían
estado reprimidos (Galbreath, Berlin y Sawyer, 2002; Quayle y Taylor,
2003), incluso competir entre ellos por conseguir nuevas y mejores
imágenes sexuales infantiles (Taylor y Quayle, 2003). Además, no hay
que perder de vista que una de las mayores ventajas que presenta el
ciberespacio para el ciberagresor es que si no consigue su objetivo con
una víctima, no tiene más que desaparecer y volverlo a intentar inventando
una nueva identidad o, simplemente, atacar a varias potenciales víctimas
a la vez (O’Connell, 2003; Quayle, Allegro, Hutton y Sheath, 2014), cosa
que en el mundo presencial es muy difícil de hacer.
489
Internet facilita el proceso en tanto en cuanto ha eliminado las barreras
físicas de contacto entre los agresores potenciales y sus posibles víctimas
(Miró, 2011), no sólo en términos de ubicación geográfica, sino también
de velocidad de contacto y de número de potenciales víctimas (Davidson
et al., 2011).
Figura 5. Procesos de persuasión en grooming online
(Santisteban y Gámez-Guadix, 2017)
3.5. Impacto psicológico y psicosocial
La victimización sexual online como hecho incluye distintas formas,
como el online grooming y el ciberacoso sexual. Como proceso se refiere
a la dinámica psicológica por la que un menor de edad ve afectado su
desarrollo personal mediante un ataque en la esfera de su sexualidad,
tratándose de un proceso interno, dinámico, individual y subjetivo de
asimilación de la condición de víctima o de experimentación de sus
consecuencias o desarrollo de síntomas. En este proceso median factores
personales, sociales y ambientales-criminales, por lo que cada víctima
vive su propia experiencia de una manera particular.
490
Cabe destacar que, además de las consecuencias adversas que puede
presentar un menor después de la experiencia de victimización, existe un
importante riesgo de victimización secundaria que supone la intervención
en el caso, si esta no se lleva a cabo con una formación específica y
especializada. La victimización primaria deriva directamente del
acontecimiento traumático, mientras que la victimización secundaria se
refiere a la relación posterior establecida entre la víctima y el sistema de
apoyo formal (servicios sociales, policía, sistema judicial), pudiendo
contribuir a agravar el daño psicológico o cronificar sus secuelas
(Echeburúa, 2004). En este sentido, autores como Tamarit, Villacampa y
Filella (2010) alertan sobre la falta de formación específica que presentan
los profesionales públicos y privados que tratan con víctimas y deben
asistirlas.
Esta victimización secundaria podría derivar también de la explotación de
las imágenes del abuso mediante su difusión y/o publicación en internet y
la imposibilidad (o al menos gran dificultad) por parte de las fuerzas y
cuerpos de seguridad del Estado no sólo de impedirlo, sino también de
detener su libre circulación por la red. Además de constituir material
pornográfico infantil y