jueves, 7 de noviembre de 2013

DELITOS DE DATOS PERSONALES O INFRACCIONES EN LATINOAMERICA?



PARTE I
(1 a 21 Pags.)


INTRODUCCIÓN
1. LEGISLACIÓN EUROPA
1.1. Directivas Regionales
a. Directiva Europea 95/46/CE
b. Directiva Europea 2002/58/CE
1.2. Legislación Europea por países: Francia, España.
a. Francesa
b. Española
1.3. Foros Unión Europea y América Latina y el Caribe
2. LEGISLACIÓN PARA LATINOAMERICANA
2.1 Legislación Regional
a. Red Iberoamericana de Protección de Datos Personales (2003)
b. Conferencia de las Naciones Unidas sobre Comercio y Desarrollo, UNCTAD (2009)
c. OEA - Principios y Recomendaciones Preliminares sobre la Protección de Datos Personales (2011).
d. Comunidad Andina de Naciones, CAN
2.2 Legislación Nacional:
a. Colombia: Ley Estatutaria. N° 1581  (2012).
b. Chile: Ley 19628 Protección de Datos de Carácter Personal (1999)
c. México: Ley de Protección de Datos Personales para el Distrito Federal (2010)
d. Uruguay: Ley N° 18331 Ley de Protección de Datos Personales (2008)
e. Argentina: Ley de Protección de los Datos Personales (2000)
f. Perú: Ley de Protección de Datos Personales Ley 29733 (2011)
CONCLUSIONES
BIBLIOGRAFÍA

DELITOS DE DATOS PERSONALES O INFRACCIONES EN LATINOAMERICA?

INTRODUCCION

La doctrina establece distinciones entre crímenes, delitos, y faltas, es la summa divisio  de las infracciones. En derecho alemán sólo existen los crímenes y los delitos. En derecho francés, crímenes, delitos y faltas. El Código Penal peruano solo distingue entre delitos y faltas; ello se sustenta, entre otros, en los Principios Generales[1] y en el Capítulo I, Bases de la Punibilidad[2].

La primera cuestión que nos interpela es el concepto de delito en el lenguaje jurídico, científico, ergo, univoco,  frente al polisémico de infracción. Segundo, si las tecnologías de la información y de las comunicaciones pueden relativizar estos conceptos, o tornarlos menos evidentes? Y tercero, si algunos aspectos relacionados a los delitos-infracciones relativos a la protección de datos personales en soporte numérico o físico, (papel), tienen la misma valoración?

En los países latinoamericanos, estas diferencias no son evidentes, particularmente, entre las infracciones-delitos y las infracciones-faltas, y ambas, en su relación con los atributos de la persona humana. 

Si apelamos a los antecedentes y jerarquización de las normas relativas a la protección de los datos personales, primero, las normas nacionales de los países nórdicos, luego las Directivas Europeas 95/46/CE y 2002/58/CE y finalmente las transposiciones en los países europeos, estas han sido precursoras universalmente, fomentando  e influenciando las normas de otros continentes, incluyendo Latinoamérica. Uno de los recientes países en promulgar la ley de protección de datos personales ha sido el Perú.

La Ley N°29733 Protección de Datos Personales en 2011 y su Reglamento, Decreto Supremo N° 013-JUS-2013, no han precisado explícitamente el tipo de infracciones relacionadas con esta normas. Tampoco lo ha sido la nueva ley de Delitos Informáticos, Ley N° 30096, aparte de las dudas y oposiciones suscitadas sobre su pertinencia en la sociedad civil.

Todo ello provoca un nuevo ángulo de investigación: éste referido a sí las infracciones sobre los datos personales, constituyen delitos o faltas? Un enfoque sobre este problemática fue propuesto ya en “Aspectos Metodológicos del Delito Informático”  http://derecho-ntic.blogspot.fr/2013/10/aspectos-metodologicos-del-delito.html O aquel, de sí existe una tendencia latinoamericana de privilegiar las infracciones-faltas más que las infracciones-delitos? Y en una como en la otra opción, determinar cuáles son los rangos que pudieran ser disuasivos?

Las conclusiones tentativas a las que pueda arribarse en este ensayo podrían acentuar o no el giro negativo que tiene ya la ley de delitos informáticos en el Perú, haciendo más evidente la compleja percepción de la regulación entre el derecho y las tecnologías de la información y de las comunicaciones, mejorándose su redacción y ampliándose, probablemente, los tipos penales relacionados a la persona y a la informática e intentando un cuestionamiento mayor sobre los alcances y especificidades del estudio, análisis y promulgación de normas relativas a las tecnologías y de la idoneidad de sus promotores o autores.

1. LEGISLACIÓN EUROPA

1.1. Directivas Regionales

a. Directiva Europea 95/46/CE[3]
El Artículo 13, Excepciones y limitaciones, precisa en el numeral 1. que los Estados miembros podrán adoptar medidas legales para limitar el alcance de las obligaciones y los derechos previstos en el apartado 1 del artículo 6[4], en el artículo 10[5], en el apartado 1 del artículo 11[6], y en los artículos 12[7] y 21[8] cuando tal limitación constituya una medida necesaria para la salvaguardia de:
a) la seguridad del Estado;
b) la defensa;
c) la seguridad pública;
d) la prevención, la investigación, la detección y la represión de infracciones penales o de las infracciones de la deontología en las profesiones reglamentadas;

Estas Excepciones y limitaciones constituyen el marco que la Comisión Europea plantea en la cadena de infracción penal o de infracciones deontológicas, desde la prevención, hasta las sanciones, sin que sea evidente la diferencia entre infracciones-delitos o infracciones-faltas.

El Capítulo III Recursos Judiciales, Responsabilidad y Sanciones, señala la posibilidad de recurrir a los recursos administrativos y judiciales[9]; el derecho a obtener del responsable del tratamiento la reparación por el perjuicio sufrido o su eximición total o parcial por el daño provocado[10]; y las sanciones a ser aplicadas[11].     

El Capítulo VI Autoridad de Control y Grupo de Protección de las Personas en lo que respecta al Tratamiento de Datos Personales, en el artículo 28, sobre la Autoridad de control, indica que:

1. Los Estados miembros dispondrán que una o más autoridades públicas se encarguen de vigilar la aplicación en su territorio de las disposiciones adoptadas por ellos en aplicación de la presente Directiva.
Estas autoridades ejercerán las funciones que les son atribuidas con total independencia.
2. Los Estados miembros dispondrán que se consulte a las autoridades de control en el momento de la elaboración de las medidas reglamentarias o administrativas relativas a la protección de los derechos y libertades de las personas en lo que se refiere al tratamiento de datos de carácter personal.
3. La autoridad de control dispondrá, en particular, de:
- poderes de investigación, como el derecho de acceder a los datos que sean objeto de un tratamiento y el de recabar toda la información necesaria para el cumplimiento de su misión de control;
- poderes efectivos de intervención, como, por ejemplo, el de formular dictámenes antes de realizar los tratamientos, con arreglo al artículo 20, y garantizar una publicación adecuada de dichos dictámenes, o el de ordenar el bloqueo, la supresión o la destrucción de datos, o incluso prohibir provisional o definitivamente un tratamiento, o el de dirigir una advertencia o amonestación al responsable del tratamiento o el de someter la cuestión a los parlamentos u otras instituciones políticas nacionales;
- capacidad procesal en caso de infracciones a las disposiciones nacionales adoptadas en aplicación de la presente Directiva o de poner dichas infracciones en conocimiento de la autoridad judicial.

Las decisiones de la autoridad de control lesivas de derechos podrán ser objeto de recurso jurisdiccional.

4. Toda autoridad de control entenderá de las solicitudes que cualquier persona, o cualquier asociación que la represente, le presente en relación con la protección de sus derechos y libertades respecto del tratamiento de datos personales. Esa persona será informada del curso dado a su solicitud.

Toda autoridad de control entenderá, en particular, de las solicitudes de verificación de la licitud de un tratamiento que le presente cualquier persona cuando sean de aplicación las disposiciones nacionales tomadas en virtud del artículo 13 de la presente Directiva. Dicha persona será informada en todos los casos de que ha tenido lugar una verificación.”

El Capítulo VI asigna así una sucesión de facultades a la Autoridad de Control respecto del tratamiento de datos personales en materia de infracciones penales y de procedimientos:
·        vigilancia en sus territorio de las disposiciones transpuestas en la ley de protección de datos personales para cada país;
·         el ejercicio de funciones con total independencia;
·   la consulta en la elaboración de medidas reglamentarias o administrativas relativas a la protección de los derechos y libertades de las personas en lo relativo al tratamiento de datos personales,
·   disposición de poderes de investigación, poderes efectivos de intervención, capacidad procesal en caso de infracciones o poner dichas infracciones en conocimiento de la autoridad judicial
·         sus decisiones podrán ser objeto de recurso jurisdiccional
·         entenderá de las solicitudes de verificación de la licitud del tratamiento.    

b. Directiva Europea 2002/58/CE
Los dos primeros numerales del Artículo 1, precisan el ámbito de aplicación y el objeto de la presente Directiva:

1. La presente Directiva armoniza las disposiciones de los Estados miembros necesarias para garantizar un nivel equivalente de protección de las libertades y los derechos fundamentales y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales en el sector de las comunicaciones electrónicas, así como la libre circulación de tales datos y de los equipos y servicios de comunicaciones electrónicas en la Comunidad.

2. Las disposiciones de la presente Directiva especifican y completan la Directiva 95/46/CE a los efectos mencionados en el apartado 1. Además, protegen los intereses legítimos de los abonados que sean personas jurídicas.

Ella se aplica entonces al tratamiento de los datos personales en el sector de las comunicaciones  electrónicas, y especifican y completan la Directiva precedente 95/46/CE;

Esta Directiva, confirma en su parte considerativa,  la previsión de vías de recurso judiciales en el derecho nacional en caso de no respeto de los derechos de los usuarios u abonados, imponiéndose las sanciones respectivas[12].

El artículo 15 Aplicación de determinadas disposiciones de la Directiva 95/46/CE, confirma la jerarquía de las normas, privilegiándose aquellas relacionadas a la seguridad nacional (es decir, la seguridad del Estado), la defensa, la seguridad pública, o la prevención, investigación, descubrimiento y persecución de delitos o la utilización no autorizada del sistema de comunicaciones electrónicas sobre la protección de la confidencialidad de los datos personales; y las aplicaciones de la disposiciones del capítulo III sobre recursos judiciales, responsabilidad y sanciones de la Directiva 95/46/CE a la Directiva 2002/58/CE.

1. Los Estados miembros podrán adoptar medidas legales para limitar el alcance de los derechos y las obligaciones que se establecen en los artículos 5 Confidencialidad de las comunicaciones[13] y 6 Datos de tráfico[14], en los apartados 1 a 4 del artículo 8 Presentación y restricción de la identificación de la línea de origen y de la línea conectada[15] y en el artículo 9 Datos de localización distintos de los datos de tráfico[16] de la presente Directiva, cuando tal limitación constituya una medida necesaria proporcionada y apropiada en una sociedad democrática para proteger la seguridad nacional (es decir, la seguridad del Estado), la defensa, la seguridad pública, o la prevención, investigación, descubrimiento y persecución de delitos o la utilización no autorizada del sistema de comunicaciones electrónicas a que se hace referencia en el apartado 1 del artículo 13 Comunicaciones no solicitadas[17] de la Directiva 95/46/CE. Para ello, los Estados miembros podrán adoptar, entre otras, medidas legislativas en virtud de las cuales los datos se conserven durante un plazo limitado justificado por los motivos establecidos en el presente apartado. Todas las medidas contempladas en el presente apartado deberán ser conformes con los principios generales del Derecho comunitario, incluidos los mencionados en los apartados 1 y 2 del artículo 6 del Tratado de la Unión Europea.

2. Las disposiciones del capítulo III sobre recursos judiciales, responsabilidad y sanciones de la Directiva 95/46/CE se aplicarán a las disposiciones nacionales adoptadas con arreglo a la presente Directiva y a los derechos individuales derivados de la misma.

Finalmente, si bien no es evidente la diferencia entre las infracciones-delitos y las infracciones-faltas, la Directiva Europea 95/46/CE más que la Directiva 2002/58/CE  deja abierta la posibilidad de recurrir a las infracciones-delitos, particularmente, en la consulta al Órgano de Control de Protección de Datos Personales para la elaboración de medidas reglamentarias o administrativas relativas a la protección de los derechos y libertades de las personas en lo relativo al tratamiento de datos personales; la disposición de poderes de investigación, poderes efectivos de intervención, capacidad procesal en caso de infracciones o poner dichas infracciones en conocimiento de la autoridad judicial; y que sus decisiones puedan ser objeto de recurso jurisdiccional.

1.2. Legislación Europea por países: Francia, España.

a. Francesa
            1) Código Penal

El Capítulo VI De los atentados contra la personalidad, en su Sección V, se refiere a los atentados a los derechos de la persona resultantes de los ficheros y tratamientos informáticos.

Sección V
De los atentados a los derechos de la persona resultantes de los ficheros o tratamientos informáticos

Artículo 226-16
(Modificado por Ley nº 2004-801 de 6 de agosto de 2004, art. 14, Diario Oficial de 7 de agosto de 2004)

El hecho, incluso por negligencia, de realizar o hacer realizar tratamientos automatizados de informaciones de carácter personal sin haber respetado las formalidades previas a su ejecución previstas por la ley será castigado con cinco años de prisión y 300.000 euros de multa.

Será castigado con las mismas penas el hecho, incluso por negligencia, de proceder o hacer realizar un tratamiento que tenga por objeto alguna de las medidas previstas por el 2º del I del artículo 45 de la ley nº 78-17 de 6 de enero de 1978 relativa a la informática, los ficheros y las libertades.

Artículo 226-16-1-A
(Introducido por Ley nº 2004-801 de 6 de agosto de 2004, art. 14, Diario Oficial de 7 de agosto de 2004)

Cuando se realice o se haga realizar un tratamiento de datos de carácter personal en las condiciones previstas por el apartado I o II del artículo 24 de la ley nº 78-17 de 6 de enero de 1978 ya citada, el hecho de no respetar, incluso por negligencia, las normas simplificadas o de exención establecidas a tal efecto por la Commission nationale de l'informatique et des libertés (Comisión Nacional de Informática y Libertades) será castigado con cinco años de prisión y 300.000 euros de multa

Artículo 226-16-1
(Introducido por Ley nº 2004-801 de 6 de agosto de 2004, art. 14, Diario Oficial de 7 de agosto de 2004)

Fuera de los casos en que el tratamiento haya sido autorizado en las condiciones previstas por la ley nº 78-17 de 6 de enero de 1978 ya citada, el hecho de realizar o hacer realizar un tratamiento de datos de carácter personal, incluyendo entre los datos sobre los cuales verse el número de inscripción de las personas en el repertorio nacional de identificación de las personas físicas, será castigado con cinco años de prisión y 300.000 euros de multa.

Artículo 226-17
(Introducido por Ley nº 2004-801 de 6 de agosto de 2004, art. 14, Diario Oficial de 7 de agosto de 2004)

El hecho de proceder o hacer proceder a un tratamiento de datos de carácter personal sin haber adoptado las medidas prescritas por el artículo 34 de la ley nº 78-17 de 6 de enero de 1978 ya citada, será castigado con cinco años de prisión y 300.000 euros de multa.

Artículo 226-17-1
Creado por Ordenanza N ° 2011-1012 del 24 de agosto de 2011 - art. 39

            El hecho por un proveedor de comunicaciones electrónicas de no proceder a la notificación de una violación de datos personales a la Commission nationale de l'informatique et des libertés (Comisión Nacional de Informática y Libertades) o al interesado, sin tener en cuenta lo dispuesto en el II del artículo 34 bis de la Ley N º 78-17 del 6 de enero de 1978, se castiga con cinco años de prisión y una multa de 300.000 €

Artículo 226-18
 (Ley nº 2004-801 de 6 de agosto de 2004, art. 14, Diario Oficial de 7 de agosto de 2004)
El hecho de recoger datos de carácter personal por medio fraudulento, desleal o ilícito será castigado con cinco años de prisión y 300.000 euros de multa.

Artículo 226-18-1
(Introducido por Ley nº 2004-801 de 6 de agosto de 2004, art. 14, Diario Oficial de 7 de agosto de 2004)

El hecho de proceder a un tratamiento de datos de carácter personal relativo a una persona física a pesar de la oposición de esta persona, cuando el tratamiento responda a fines de prospección, en particular, comercial, o cuando la oposición esté fundada en motivos legítimos, será castigado con cinco años de prisión y 300.000 euros de multa.

Artículo 226-19
Modificado por LEY n°2012-954 de 6 agosto 2012 - art. 4
(Ley nº 2004-801 de 6 de agosto de 2004, art. 14, Diario Oficial de 7 de agosto de 2004)

Fuera de los casos previstos por la ley, el hecho de incluir o conservar en memoria informatizada, sin consentimiento expreso del interesado, datos de carácter personal que, directa o indirectamente, muestren los orígenes raciales o étnicos o las opiniones políticas, filosóficas o religiosas o la afiliación sindical de las personas, o relativos a la salud o a la orientación sexual de éstas, será castigado con cinco años de prisión y 300.000 euros de multa.

Será castigado con las mismas penas, el hecho de incluir o conservar en memoria informatizada, fuera de los casos previstos por la ley, datos de carácter personal referentes a infracciones, condenas o medidas de seguridad.

Artículo 226-19-1
(Introducido por Ley nº 2004-801 de 6 de agosto de 2004, art. 14, Diario Oficial de 7 de agosto de 2004)

En caso de tratamiento de datos de carácter personal con fines de investigación en el campo de la salud, se castigará con cinco años de prisión y 300.000 euros de multa el hecho de proceder a un tratamiento:

1º Sin haber informado previamente y de manera individualizada a las personas de las que se recogen o transmiten los datos de carácter personal, de su derecho de acceso, rectificación y oposición, del tipo de datos transmitidos y de los destinatarios de éstos;
2º A pesar de la oposición de la persona afectada o, cuando esté legalmente previsto, en ausencia de consentimiento informado y expreso de la persona, o si se trata de una persona fallecida, a pesar de la negativa expresa de ésta en vida.

Artículo 226-20
(Ley nº 2000-321 de 12 de abril de 2000, art. 5, Diario Oficial de 13 de abril de 2000)
 (Ley nº 2004-801 de 6 de agosto de 2004, art. 14, Diario Oficial de 7 de agosto de 2004)

El hecho de conservar datos de carácter personal más allá de la duración prevista por la ley o el reglamento, en la solicitud de autorización o de dictamen, o en la declaración previa dirigida a la  Commission nationale de l'informatique et des libertés (Comisión Nacional de Informática y Libertades), será castigado con cinco años de prisión y multa de 300.000 euros, salvo si esta conservación se efectúa con fines históricos, estadísticos o científicos en las condiciones previstas por la ley.

Será castigado con las mismas penas el hecho, de tratar datos de carácter personal conservados más allá del plazo mencionado en el primer párrafo con fines que no sean históricos, estadísticos o científicos, fuera de los casos previstos por la ley.

Artículo 226-21
 (Ley nº 2004-801 de 6 de agosto de 2004, art. 14, Diario Oficial de 7 de agosto de 2004)

El hecho, cometido por toda persona que se encuentre en posesión de datos de carácter personal con ocasión de su registro, clasificación, transmisión o de cualquier otra forma de tratamiento, de distraer estas informaciones de su finalidad definida por disposición legal o en el acto reglamentario o por decisión de la Commission nationale de l'informatique et des libertés (Comisión Nacional de Informática y Libertades) que autorice el tratamiento automatizado, o por las declaraciones previas a la aplicación de este tratamiento será castigado con cinco años de prisión y 300.000 euros de multa.

Artículo 226-22
(Ley nº 2004-801 de 6 de agosto de 2004, art. 14, Diario Oficial de 7 de agosto de 2004)

El hecho, cometido por toda persona que, con ocasión de su registro, clasificación, transmisión o cualquier otra forma de tratamiento, haya recogido datos de carácter personal cuya divulgación tuviera por efecto atentar contra la reputación del interesado o a la intimidad de su vida privada, de poner estas informaciones, sin autorización del interesado, en conocimiento de un tercero no autorizado para recibirlas será castigado con un año de prisión y 300.000 euros de multa.

La divulgación prevista en el párrafo anterior será castigada con tres años de prisión y 100.000 euros de multa cuando haya sido cometida por imprudencia o negligencia.

En los casos previstos por los dos párrafos anteriores, la persecución requerirá la previa denuncia de la víctima, de su representante legal o de sus derechohabientes.

Artículo 226-22-1
(Introducido por Ley nº 2004-801 de 6 de agosto de 2004, art. 14, Diario Oficial de 7 de agosto de 2004)

Fuera de los casos previstos por la ley, el hecho de proceder o de hacer proceder a una transferencia de datos de carácter personal objeto, o destinados a ser objeto de tratamiento hacia un Estado no perteneciente a la Comunidad europea, con infracción de las medidas adoptadas por la Comisión de las Comunidades europeas o por la Commission nationale de l'informatique et des libertés (Comisión Nacional de Informática y Libertades) mencionadas en el artículo 70 de la ley nº 78-17 de 6 de enero de 1978 ya citada, será castigado con cinco años de prisión y 300.000 euros de multa.

Artículo 226-22-2
(Introducido por Ley nº 2004-801 de 6 de agosto de 2004, art. 14, Diario Oficial de 7 de agosto de 2004)

En los casos previstos por los artículos 226-16 a 226-22-1, podrá ordenarse el borrado de todos o parte de los datos de carácter personal objeto del tratamiento que haya dado lugar a la infracción. Los miembros y agentes de la Commission nationale de l'informatique et des libertés (Comisión Nacional de Informática y Libertades) quedan habilitados para verificar el borrado de estos datos.

Artículo 226-23
(Ley nº 2004-801 de 6 de agosto de 2004, art. 14, Diario Oficial de 7 de agosto de 2004)
Las disposiciones del artículo 226-19 serán aplicables a los tratamientos no automatizados de datos de carácter personal cuya aplicación no se limite al ejercicio de actividades exclusivamente personales.

Artículo 226-24
(Ley nº 2004-801 de 6 de agosto de 2004, art. 14 II, Diario Oficial de 7 de agosto de 2004)

Las personas jurídicas declaradas penalmente responsables en las condiciones previstas por el artículo 121-2. de las infracciones definidas en la presente sección, incurrirán, además en multa en las condiciones previstas en el artículo 131-38, las penas previstas por los 2° a 5° y 7° a 9° del artículo 131-39:

La prohibición mencionada en el apartado 2º del artículo 131-39 será aplicable a la actividad en cuyo ejercicio o con ocasión de cuyo ejercicio se haya cometido la infracción.


            2) Ley Informática y Libertades de 1978
             
            Esta Ley en su Capítulo VIII prevé las Disposiciones Penales aplicables.
 
CAPITULO VIII: DISPOSICIONES PENALES

Artículo 50
Las infracciones a las disposiciones de la presente Ley están contempladas y sancionadas por los artículos 226-16 a 226-24 del Código Penal.

Artículo 51
Modificado por la ley n°2011-334 del 29 marzo 2011 relativa al Defensor de los derechos

Será castigado con un año de prisión y una multa de 15.000 € el hecho de obstaculizar la acción de la Comisión Nacional de Informática y Libertades:

1° Bien, oponiéndose al ejercicio de las funciones encomendadas a sus miembros o a los agentes habilitados en aplicación del último párrafo del artículo 19 (habilitación por la Comisión) cuando la inspección hubiera sido autorizada por el juez;

2° Bien, negándose a comunicar a sus miembros o a los agentes habilitados en aplicación del último párrafo del artículo 19 las informaciones y documentos necesarios para su misión, o disimulando dichos documentos o informaciones, o haciéndolos desaparecer;

3° Bien, comunicando informaciones no conformes al contenido de los registros tal y como se hallaba en el momento en que se hubiera formulado la petición o que no presenten dicho contenido de manera directamente accesible.

Artículo 52

El Fiscal de la República informará al Presidente de la Comisión Nacional de Informática y Libertades de todas las diligencias relativas a las infracciones a lo dispuesto en la sección 5 del capítulo VI del título II del libro II del Código Penal y, en su caso, del seguimiento que se les den. Le informará de la fecha y objeto de la audiencia del juicio por correo certificado enviado al menos diez días antes de dicha fecha.

El juzgado de instrucción o penal podrá requerir del Presidente de la Comisión Nacional de Informática y Libertades o de su representante que entregue sus observaciones o que las exponga verbalmente en la audiencia.

b. Española
1) Código Penal

TÍTULO X Delitos contra la intimidad, el derecho a la propia imagen y la inviolabilidad del domicilio

CAPÍTULO I Del descubrimiento y revelación de secretos

Artículo 197.
1. El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.

2. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero.

3. El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años[18].

Cuando de acuerdo con lo establecido en el artículo 31 bis una persona jurídica sea responsable de los delitos comprendidos en este artículo, se le impondrá la pena de multa de seis meses a dos años. Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribunales podrán asimismo imponer las penas recogidas en las letras b) a g) del apartado 7 del artículo 33.

4. Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren los números anteriores.

Será castigado con las penas de prisión de uno a tres años y multa de doce a veinticuatro meses, el que, con conocimiento de su origen ilícito y sin haber tomado parte en su descubrimiento, realizare la conducta descrita en el párrafo anterior.

5. Si los hechos descritos en los apartados 1 y 2 de este artículo se realizan por las personas encargadas o responsables de los ficheros, soportes informáticos, electrónicos o telemáticos, archivos o registros, se impondrá la pena de prisión de tres a cinco años, y si se difunden, ceden o revelan los datos reservados, se impondrá la pena en su mitad superior.

6. Igualmente, cuando los hechos descritos en los apartados anteriores afecten a datos de carácter personal que revelen la ideología, religión, creencias, salud, origen racial o vida sexual, o la víctima fuere un menor de edad o un incapaz, se impondrán las penas previstas en su mitad superior.

7. Si los hechos se realizan con fines lucrativos, se impondrán las penas respectivamente previstas en los apartados 1 al 4 de este artículo en su mitad superior. Si además afectan a datos de los mencionados en el apartado anterior, la pena a imponer será la de prisión de cuatro a siete años.

8. Si los hechos descritos en los apartados anteriores se cometiesen en el seno de una organización o grupo criminales, se aplicarán respectivamente las penas superiores en grado.

2) Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
            
           Esta Ley, a diferencia de la ley francesa, Informática y Libertades de 1978, no contempla ni sanciona disposiciones penales.
           

1.3. Foros Unión Europea y América Latina y el Caribe


En el V Foro Ministerial Unión Europea (UE) -América Latina y el Caribe (ALC) sobre la Sociedad de la Información, celebrado los días 14 y 15 de marzo de 2010 en La Granja de San Ildefonso, España, los Ministros y jefes de Delegación de los países de la Unión Europea y de América Latina y el Caribe y de la Comisión Europea, presentes declararon  SOBRE LA PRIVACIDAD, Fiabilidad y SEGURIDAD DE INternet:

Constatamos que la seguridad y fiabilidad de Internet es imprescindible para el buen funcionamiento de nuestras economías y nuestras sociedades y apoyamos la cooperación internacional entre ambas regiones en esta materia para promover acciones que favorezcan la seguridad en línea y proteger la privacidad de las comunicaciones y las informaciones;

Observamos que el desarrollo de Internet y las tecnologías inalámbricas ofrecen nuevas posibilidades y aportan beneficios muy variados a niños y jóvenes. Sin embargo, a pesar de que estos son a menudo usuarios expertos de las tecnologías en línea, pueden carecer de la madurez suficiente para detectar contenidos nocivos para su sano desarrollo y posibles situaciones de riesgo y sus consecuencias. Por tanto, es necesario proporcionar más información a hijos, padres y profesores así como los instrumentos para tomar medidas contra estos riesgos y fomentar la I+D en el desarrollo de la seguridad de las redes y los sistemas de información:

1. Es necesario aumentar y poner al día el conocimiento que tenemos acerca del uso que los menores hacen de los nuevos medios y de los riesgos que pueden encontrar;

2. La naturaleza global de Internet requiere de la cooperación internacional para garantizar la máxima eficacia y resultados de las medidas adoptadas;

Es una responsabilidad compartida entre los encargados de diseñar las políticas, las autoridades responsables del cumplimiento de las leyes, el sector privado y la sociedad civil conseguir un entorno en línea más seguro y confiable, para los usuarios finales de Internet particularmente en cuestiones como pedofilia y narcotráfico;


Planes Regionales eLAC 2007 y 2010

El Plan 2007, planteaba la promoción de diálogos, intercambios y cooperación  regional sobre experiencias nacionales en temas de ciberseguridad, "spam" y aspectos institucionales  y tecnológicos relacionados. Incluye entre sus metas el establecimiento de grupos de  trabajo subregionales para promover y fomentar políticas de armonización de normas y estándares, con el fin de crear marcos legislativos que brinden confianza y seguridad, tanto a nivel nacional  como a nivel regional, prestando especial atención a la legislación sobre delitos informáticos y  delitos por medio de las TIC como marco para el desarrollo de la sociedad de la información.

 De igual forma, alienta las iniciativas regionales existentes para integrar las TIC en los sistemas nacionales de justicia, tales como el Proyecto de Justicia Electrónica impulsado por  las Cortes Supremas de Justicia de los países iberoamericanos.  

En virtud del Plan Regional eLAC 2010 se invita a los países a estudiar la posibilidad de  ratificar o adherirse al Tratado de Ciberdelitos del Consejo de Europa y su Protocolo adicional, como un instrumento facilitador para la integración y adecuación normativa en esta materia, enmarcados en principios de protección de los derechos de privacidad.

La Convención de Budapest incorpora determinadas categorías de delitos y  establece los elementos del tipo penal a ser incluidos en su definición. 

Delitos contra la confidencialidad, la integridad y la disponibilidad de datos y sistemas  informáticos:  
i) acceso ilícito a un sistema informático;  
ii) interceptación ilícita de datos  informáticos;  
iii) interferencia en los datos (daño, borrado o alteración);
iv) interferencia  del sistema (mediante la introducción, transmisión, provocación de daños, borrado,  deterioro, alteración o supresión de datos informáticos);  
iv) abuso de dispositivos  (software o contraseñas para cometer delitos).  

2. LEGISLACIÓN PARA LATINOAMERICANA

(Ver Parte II el 15 de Noviembre 2013 )
[1] Finalidad Preventiva Artículo I.- Este Código tiene por objeto la prevención de delitos y faltas como medio protector de la persona humana y de la sociedad.
[2] Delitos y faltas Artículo 11.- Son delitos y faltas las acciones u omisiones dolosas o culposas penadas por la ley.
[4] Artículo 6
1. Los Estados miembros dispondrán que los datos personales sean:
a) tratados de manera leal y lícita;
b) recogidos con fines determinados, explícitos y legítimos, y no sean tratados posteriormente de manera incompatible con dichos fines; no se considerará incompatible el tratamiento posterior de datos con fines históricos, estadísticos o científicos, siempre y cuando los Estados miembros establezcan las garantías oportunas;
c) adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se traten posteriormente;
d) exactos y, cuando sea necesario, actualizados; deberán tomarse todas las medidas razonables para que los datos inexactos o incompletos, con respecto a los fines para los que fueron recogidos o para los que fueron tratados posteriormente, sean suprimidos o rectificados;
e) conservados en una forma que permita la identificación de los interesados durante un período no superior al necesario para los fines para los que fueron recogidos o para los que se traten ulteriormente. Los Estados miembros establecerán las garantías apropiadas para los datos personales archivados por un período más largo del mencionado, con fines históricos, estadísticos o científicos.
[5] Artículo 10
Información en caso de obtención de datos recabados del propio interesado
Los Estados miembros dispondrán que el responsable del tratamiento o su representante deberán comunicar a la persona de quien se recaben los datos que le conciernan, por lo menos la información que se enumera a continuación, salvo si la persona ya hubiera sido informada de ello:
a) la identidad del responsable del tratamiento y, en su caso, de su representante;
b) los fines del tratamiento de que van a ser objeto los datos;
c) cualquier otra información tal como:
- los destinatarios o las categorías de destinatarios de los datos,
- el carácter obligatorio o no de la respuesta y las consecuencias que tendría para la persona interesada una negativa a responder,
- la existencia de derechos de acceso y rectificación de los datos que la conciernen, en la medida en que, habida cuenta de las circunstancias específicas en que se obtengan los datos, dicha información suplementaria resulte necesaria para garantizar un tratamiento de datos leal respecto del interesado.
[6] Artículo 11
Información cuando los datos no han sido recabados del propio interesado
1. Cuando los datos no hayan sido recabados del interesado, los Estados miembros dispondrán que el responsable del tratamiento o su representante deberán, desde el momento del registro de los datos o, en caso de que se piense comunicar datos a un tercero, a más tardar, en el momento de la primera comunicación de datos, comunicar al interesado por lo menos la información que se enumera a continuación, salvo si el interesado ya hubiera sido informado de ello:
a) la identidad del responsable del tratamiento y, en su caso, de su representante;
b) los fines del tratamiento de que van a ser objeto los datos;
c) cualquier otra información tal como:
- las categorías de los datos de que se trate,
- los destinatarios o las categorías de destinatarios de los datos,
- la existencia de derechos de acceso y rectificación de los datos que la conciernen,
en la medida en que, habida cuenta de las circunstancias específicas en que se hayan obtenido los datos, dicha información suplementaria resulte necesaria para garantizar un tratamiento de datos leal respecto del interesado.
[7] Artículo 12
Derecho de acceso
Los Estados miembros garantizarán a todos los interesados el derecho de obtener del responsable del tratamiento:
a) libremente, sin restricciones y con una periodicidad razonable y sin retrasos ni gastos excesivos:
- la confirmación de la existencia o inexistencia del tratamiento de datos que le conciernen, así como información por lo menos de los fines de dichos tratamientos, las categorías de datos a que se refieran y los destinatarios o las categorías de destinatarios a quienes se comuniquen dichos datos;
- la comunicación, en forma inteligible, de los datos objeto de los tratamientos, así como toda la información disponible sobre el origen de los datos;
- el conocimiento de la lógica utilizada en los tratamientos automatizados de los datos referidos al interesado, al menos en los casos de las decisiones automatizadas a que se refiere el apartado 1 del artículo 15;
b) en su caso, la rectificación, la supresión o el bloqueo de los datos cuyo tratamiento no se ajuste a las disposiciones de la presente Directiva, en particular a causa del carácter incompleto o inexacto de los datos;
c) la notificación a los terceros a quienes se hayan comunicado los datos de toda rectificación, supresión o bloqueo efectuado de conformidad con la letra b), si no resulta imposible o supone un esfuerzo desproporcionado.
[8] Artículo 21
Publicidad de los tratamientos
1. Los Estados miembros adoptarán las medidas necesarias para garantizar la publicidad de los tratamientos.
2. Los Estados miembros establecerán que la autoridad de control lleve un registro de los tratamientos notificados con arreglo al artículo 18.
En el registro se harán constar, como mínimo, las informaciones a las que se refieren las letras a) a e) del apartado 1 del artículo 19.
El registro podrá ser consultado por cualquier persona.
3. Los Estados miembros dispondrán, en lo que respecta a los tratamientos no sometidos a notificación, que los responsables del tratamiento u otro órgano designado por los Estados miembros comuniquen, en la forma adecuada, a toda persona que lo solicite, al menos las informaciones a que se refieren las letras a) a e) del apartado 1 del artículo 19.
Los Estados miembros podrán establecer que esta disposición no se aplique a los tratamientos cuyo fin único sea llevar un registro, que, en virtud de disposiciones legales o reglamentarias, esté concebido para facilitar información al público y que esté abierto a la consulta por el público en general o por cualquier persona que pueda demostrar un interés legítimo.
[9] Artículo 22. Recursos.
Sin perjuicio del recurso administrativo que pueda interponerse, en particular ante la autoridad de control mencionada en el artículo 28, y antes de acudir a la autoridad judicial, los Estados miembros establecerán que toda persona disponga de un recurso judicial en caso de violación de los derechos que le garanticen las disposiciones de Derecho nacional aplicables al tratamiento de que se trate.
[10] Artículo 22. Responsabilidad.
1. Los Estados miembros dispondrán que toda persona que sufra un perjuicio como consecuencia de un tratamiento ilícito o de una acción incompatible con las disposiciones nacionales adoptadas en aplicación de la presente Directiva, tenga derecho a obtener del responsable del tratamiento la reparación del perjuicio sufrido.
2. El responsable del tratamiento podrá ser eximido parcial o totalmente de dicha responsabilidad si demuestra que no se le puede imputar el hecho que ha provocado el daño.
[11] Artículo 24
Sanciones
Los Estados miembros adoptarán las medidas adecuadas para garantizar la plena aplicación de las disposiciones de la presente Directiva y determinarán, en particular, las sanciones que deben aplicarse en caso de incumplimiento de las disposiciones adoptadas en ejecución de la presente Directiva.
[12]  (47) En los casos en que no se respeten los derechos de los usuarios y abonados, el Derecho nacional debe prever vías de recurso judiciales. Deben imponerse sanciones a aquellas personas, ya sean de Derecho público o privado, que incumplan las medidas nacionales adoptadas en virtud de la presente Directiva.
[13] Artículo 5
Confidencialidad de las comunicaciones
1. Los Estados miembros garantizarán, a través de la legislación nacional, la confidencialidad de las comunicaciones, y de los datos de tráfico asociados a ellas, realizadas a través de las redes públicas de comunicaciones y de los servicios de comunicaciones electrónicas disponibles al público. En particular, prohibirán la escucha, la grabación, el almacenamiento u otros tipos de intervención o vigilancia de las comunicaciones y los datos de tráfico asociados a ellas por personas distintas de los usuarios, sin el consentimiento de los usuarios interesados, salvo cuando dichas personas estén autorizadas legalmente a hacerlo de conformidad con el apartado 1 del artículo 15. El presente apartado no impedirá el almacenamiento técnico necesario para la conducción de una comunicación, sin perjuicio del principio de confidencialidad.
2. El apartado 1 no se aplicará a las grabaciones legalmente autorizadas de comunicaciones y de los datos de tráfico asociados a ellas cuando se lleven a cabo en el marco de una práctica comercial lícita con el fin de aportar pruebas de una transacción comercial o de cualquier otra comunicación comercial.
3. Los Estados miembros velarán por que únicamente se permita el uso de las redes de comunicaciones electrónicas con fines de almacenamiento de información o de obtención de acceso a la información almacenada en el equipo terminal de un abonado o usuario a condición de que se facilite a dicho abonado o usuario información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE y de que el responsable del tratamiento de los datos le ofrezca el derecho de negarse a dicho tratamiento. La presente disposición no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar o facilitar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o en la medida de lo estrictamente necesario a fin de proporcionar a una empresa de información un servicio expresamente solicitado por el usuario o el abonado.
[14] Artículo 6
Datos de tráfico
1. Sin perjuicio de lo dispuesto en los apartados 2, 3 y 5 del presente artículo y en el apartado 1 del artículo 15, los datos de tráfico relacionados con abonados y usuarios que sean tratados y almacenados por el proveedor de una red pública de comunicaciones o de un servicio de comunicaciones electrónicas disponible al público deberán eliminarse o hacerse anónimos cuando ya no sea necesario a los efectos de la transmisión de una comunicación.
2. Podrán ser tratados los datos de tráfico necesarios a efectos de la facturación de los abonados y los pagos de las interconexiones. Se autorizará este tratamiento únicamente hasta la expiración del plazo durante el cual pueda impugnarse legalmente la factura o exigirse el pago.
3. El proveedor de un servicio de comunicaciones electrónicas disponible para el público podrá tratar los datos a que se hace referencia en el apartado 1 para la promoción comercial de servicios de comunicaciones electrónicas o para la prestación de servicios con valor añadido en la medida y durante el tiempo necesarios para tales servicios o promoción comercial, siempre y cuando el abonado o usuario al que se refieran los datos haya dado su consentimiento. Los usuarios o abonados dispondrán de la posibilidad de retirar su consentimiento para el tratamiento de los datos de tráfico en cualquier momento.
4. El proveedor del servicio deberá informar al abonado o al usuario de los tipos de datos de tráfico que son tratados y de la duración de este tratamiento a los efectos mencionados en el apartado 2 y, antes de obtener el consentimiento, a los efectos contemplados en el apartado 3.
5. Sólo podrán encargarse del tratamiento de datos de tráfico, de conformidad con los apartados 1, 2, 3 y 4, las personas que actúen bajo la autoridad del proveedor de las redes públicas de comunicaciones o de servicios de comunicaciones electrónicas disponibles al público que se ocupen de la facturación o de la gestión del tráfico, de las solicitudes de información de los clientes, de la detección de fraudes, de la promoción comercial de los servicios de comunicaciones electrónicas o de la prestación de un servicio con valor añadido, y dicho tratamiento deberá limitarse a lo necesario para realizar tales actividades.
6. Los apartados 1, 2, 3 y 5 se aplicarán sin perjuicio de la posibilidad de que los organismos competentes sean informados de los datos de tráfico con arreglo a la legislación aplicable, con vistas a resolver litigios, en particular los relativos a la interconexión o a la facturación.
[15] Artículo 8
Presentación y restricción de la identificación de la línea de origen y de la línea conectada
1. Cuando se ofrezca la posibilidad de visualizar la identificación de la línea de origen, el proveedor del servicio deberá ofrecer al usuario que efectúe la llamada la posibilidad de impedir en cada llamada, mediante un procedimiento sencillo y gratuito, la presentación de la identificación de la línea de origen. El abonado que origine la llamada deberá tener esta posibilidad para cada línea.
2. Cuando se ofrezca la posibilidad de visualizar la identificación de la línea de origen, el proveedor del servicio deberá ofrecer al abonado que reciba la llamada la posibilidad, mediante un procedimiento sencillo y gratuito, siempre que haga un uso razonable de esta función, de impedir la presentación de la identificación de la línea de origen en las llamadas entrantes.
3. Cuando se ofrezca la posibilidad de visualizar la identificación de la línea de origen y ésta se presente antes de que se establezca la llamada, el proveedor del servicio deberá ofrecer al abonado que reciba la llamada la posibilidad, mediante un procedimiento sencillo, de rechazar las llamadas entrantes procedentes de usuarios o abonados que hayan impedido la presentación de la identificación de la línea de origen.
4. Cuando se ofrezca la posibilidad de visualizar la identificación de la línea conectada, el proveedor del servicio deberá ofrecer al abonado que reciba la llamada la posibilidad, por un procedimiento sencillo y gratuito, de impedir la presentación de la identificación de la línea conectada al usuario que efectúa la llamada.
[16] Artículo 9
Datos de localización distintos de los datos de tráfico
1. En caso de que puedan tratarse datos de localización, distintos de los datos de tráfico, relativos a los usuarios o abonados de redes públicas de comunicaciones o de servicios de comunicaciones electrónicas disponibles al público, sólo podrán tratarse estos datos si se hacen anónimos, o previo consentimiento de los usuarios o abonados, en la medida y por el tiempo necesarios para la prestación de un servicio con valor añadido. El proveedor del servicio deberá informar a los usuarios o abonados, antes de obtener su consentimiento, del tipo de datos de localización distintos de los datos de tráfico que serán tratados, de la finalidad y duración del tratamiento y de si los datos se transmitirán a un tercero a efectos de la prestación del servicio con valor añadido. Se deberá ofrecer a los usuarios y abonados la posibilidad de retirar en todo momento su consentimiento para el tratamiento de los datos de localización distintos de los datos de tráfico.
2. Cuando se haya obtenido el consentimiento de un usuario o abonado para el tratamiento de datos de localización distintos de los datos de tráfico, el usuario o abonado deberá seguir contando con la posibilidad, por un procedimiento sencillo y gratuito, de rechazar temporalmente el tratamiento de tales datos para cada conexión a la red o para cada transmisión de una comunicación.
3. Sólo podrán encargarse del tratamiento de datos de localización distintos de los datos de tráfico de conformidad con los apartados 1 y 2 personas que actúen bajo la autoridad del proveedor de las redes públicas de comunicaciones o de servicios de comunicaciones electrónicas disponibles al público o del tercero que preste el servicio con valor añadido, y dicho tratamiento deberá limitarse a lo necesario a efectos de la prestación del servicio con valor añadido.
[17] Artículo 13
Comunicaciones no solicitadas
1. Sólo se podrá autorizar la utilización de sistemas de llamada automática sin intervención humana (aparatos de llamada automática), fax o correo electrónico con fines de venta directa respecto de aquellos abonados que hayan dado su consentimiento previo.
[18] Añadidos por LO 5/2010 apartados 3. y 8. y reenumerados del 4. a. 7. En el Preámbulo de esa Ley Orgánica 5/2010, de 22 de junio, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, numeral XIV, considera:
“En el marco de los denominados delitos informáticos, para cumplimentar la Decisión  Marco 2005/222/JAI, de 24 de febrero de 2005, relativa a los ataques contra los sistemas  de información, se ha resuelto incardinar las conductas punibles en dos apartados  diferentes, al tratarse de bienes jurídicos diversos. El primero, relativo a los daños, donde  quedarían incluidas las consistentes en dañar, deteriorar, alterar, suprimir o hacer  inaccesibles datos o programas informáticos ajenos, así como obstaculizar o interrumpir el  funcionamiento de un sistema informático ajeno. El segundo apartado se refiere al  descubrimiento y revelación de secretos, donde estaría comprendido el acceso sin  autorización vulnerando las medidas de seguridad a datos o programas informáticos  contenidos en un sistema o en parte del mismo”.
Se mantuvieron los apartados 1 y 2.



Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)