PARTE I
(1 a 21 Pags.)
INTRODUCCIÓN
1. LEGISLACIÓN EUROPA
1.1. Directivas Regionales
a. Directiva Europea 95/46/CE
b. Directiva Europea 2002/58/CE
1.2. Legislación Europea por países: Francia, España.
a. Francesa
b. Española
1.3. Foros Unión Europea y América Latina y
el Caribe
2. LEGISLACIÓN PARA LATINOAMERICANA
2.1 Legislación Regional
a. Red Iberoamericana de Protección de Datos Personales
(2003)
b. Conferencia de las
Naciones Unidas sobre Comercio y Desarrollo, UNCTAD (2009)
c. OEA - Principios y
Recomendaciones Preliminares sobre la Protección de Datos Personales (2011).
d. Comunidad Andina de Naciones, CAN
2.2 Legislación Nacional:
a. Colombia: Ley Estatutaria. N° 1581 (2012).
b. Chile: Ley 19628 Protección de Datos de Carácter Personal (1999)
c. México: Ley de Protección de Datos Personales para el Distrito
Federal (2010)
d. Uruguay: Ley N° 18331 Ley de Protección de Datos Personales (2008)
e. Argentina: Ley de Protección de los Datos Personales (2000)
f. Perú: Ley de Protección de Datos Personales Ley 29733 (2011)
CONCLUSIONES
BIBLIOGRAFÍA
DELITOS DE DATOS PERSONALES O INFRACCIONES EN LATINOAMERICA?
INTRODUCCION
La
doctrina establece distinciones entre
crímenes, delitos, y faltas, es la summa divisio de las infracciones. En derecho alemán sólo existen los
crímenes y los delitos. En derecho francés, crímenes, delitos y
faltas. El Código Penal
peruano solo distingue entre delitos y faltas; ello se
sustenta, entre otros, en los Principios Generales[1] y en el Capítulo I, Bases de la Punibilidad[2].
La
primera cuestión que nos interpela es el concepto de delito en el lenguaje jurídico,
científico, ergo, univoco, frente al polisémico de infracción. Segundo, si
las tecnologías de la información y de las comunicaciones pueden relativizar
estos conceptos, o tornarlos menos evidentes? Y tercero, si algunos aspectos
relacionados a los delitos-infracciones relativos a la protección de datos
personales en soporte numérico o físico, (papel), tienen la misma valoración?
En
los países latinoamericanos, estas diferencias no son evidentes,
particularmente, entre las infracciones-delitos y las infracciones-faltas, y ambas,
en su relación con los atributos de la persona humana.
Si
apelamos a los antecedentes y jerarquización de las normas relativas a la
protección de los datos personales, primero, las normas nacionales de los
países nórdicos, luego las Directivas Europeas 95/46/CE y 2002/58/CE y finalmente
las transposiciones en los países europeos, estas han sido precursoras universalmente,
fomentando e influenciando las normas de
otros continentes, incluyendo Latinoamérica. Uno de los recientes países en
promulgar la ley de protección de datos personales ha sido el Perú.
La
Ley N°29733 Protección de Datos Personales en 2011 y su Reglamento, Decreto
Supremo N° 013-JUS-2013, no han precisado explícitamente el tipo de
infracciones relacionadas con esta normas. Tampoco lo ha sido la nueva ley de
Delitos Informáticos, Ley N° 30096, aparte de las dudas y oposiciones
suscitadas sobre su pertinencia en la sociedad civil.
Todo
ello provoca un nuevo ángulo de investigación: éste referido a sí las
infracciones sobre los datos personales, constituyen delitos o faltas? Un
enfoque sobre este problemática fue propuesto ya en “Aspectos Metodológicos del Delito Informático” http://derecho-ntic.blogspot.fr/2013/10/aspectos-metodologicos-del-delito.html
O aquel, de sí existe una tendencia latinoamericana de privilegiar las
infracciones-faltas más que las infracciones-delitos? Y en una como en la otra opción,
determinar cuáles son los rangos que pudieran ser disuasivos?
Las
conclusiones tentativas a las que pueda arribarse en este ensayo podrían acentuar
o no el giro negativo que tiene ya la ley de delitos informáticos en el Perú, haciendo
más evidente la compleja percepción de la regulación entre el derecho y las
tecnologías de la información y de las comunicaciones, mejorándose su redacción
y ampliándose, probablemente, los tipos penales relacionados a la persona y a la
informática e intentando un cuestionamiento mayor sobre los alcances y
especificidades del estudio, análisis y promulgación de normas relativas a las tecnologías
y de la idoneidad de sus promotores o autores.
1. LEGISLACIÓN EUROPA
1.1. Directivas Regionales
a. Directiva Europea 95/46/CE[3]
El
Artículo 13, Excepciones y limitaciones, precisa en el numeral 1. que los
Estados miembros podrán adoptar medidas legales para limitar el alcance de las
obligaciones y los derechos previstos en el apartado 1 del artículo 6[4],
en el artículo 10[5],
en el apartado 1 del artículo 11[6],
y en los artículos 12[7]
y 21[8]
cuando tal limitación constituya una medida necesaria para la salvaguardia de:
a) la seguridad del Estado;
b) la defensa;
c) la seguridad pública;
d) la prevención, la investigación, la detección y la
represión de infracciones penales o de las infracciones de la deontología en
las profesiones reglamentadas;
Estas
Excepciones y limitaciones constituyen el marco que la Comisión Europea plantea
en la cadena de infracción penal o de infracciones deontológicas, desde la
prevención, hasta las sanciones, sin que sea evidente la diferencia entre
infracciones-delitos o infracciones-faltas.
El Capítulo III
Recursos Judiciales, Responsabilidad y Sanciones, señala la posibilidad de
recurrir a los recursos
administrativos y judiciales[9];
el derecho a obtener del responsable
del tratamiento la reparación por el perjuicio sufrido o su eximición total o parcial
por el daño provocado[10];
y las sanciones a ser aplicadas[11].
El Capítulo VI Autoridad de Control y
Grupo de Protección de las Personas en lo que respecta al Tratamiento de Datos
Personales, en el artículo 28, sobre la Autoridad de control, indica que:
“1.
Los Estados miembros dispondrán que una o más autoridades públicas se encarguen
de vigilar la aplicación en su
territorio de las disposiciones adoptadas por ellos en aplicación de la
presente Directiva.
Estas
autoridades ejercerán las funciones que les son atribuidas con total independencia.
2.
Los Estados miembros dispondrán que se
consulte a las autoridades de control en el momento de la elaboración de las
medidas reglamentarias o administrativas relativas a la protección de los
derechos y libertades de las personas en lo que se refiere al tratamiento de
datos de carácter personal.
3.
La autoridad de control dispondrá, en particular, de:
-
poderes de investigación, como el
derecho de acceder a los datos que sean objeto de un tratamiento y el de
recabar toda la información necesaria para el cumplimiento de su misión de
control;
-
poderes efectivos de intervención,
como, por ejemplo, el de formular dictámenes antes de realizar los
tratamientos, con arreglo al artículo 20, y garantizar una publicación adecuada
de dichos dictámenes, o el de ordenar el bloqueo, la supresión o la destrucción
de datos, o incluso prohibir provisional o definitivamente un tratamiento, o el
de dirigir una advertencia o amonestación al responsable del tratamiento o el
de someter la cuestión a los parlamentos u otras instituciones políticas
nacionales;
- capacidad procesal en caso de infracciones
a las disposiciones nacionales adoptadas en aplicación de la presente Directiva
o de poner dichas infracciones en conocimiento de la autoridad judicial.
Las decisiones de la autoridad de control lesivas de derechos podrán ser objeto de recurso jurisdiccional.
4. Toda autoridad de control entenderá de las solicitudes que cualquier persona, o cualquier asociación que la represente, le presente en relación con la protección de sus derechos y libertades respecto del tratamiento de datos personales. Esa persona será informada del curso dado a su solicitud.
Toda autoridad de control entenderá, en
particular, de las solicitudes de verificación de la licitud de un tratamiento que le presente cualquier persona cuando
sean de aplicación las disposiciones nacionales tomadas en virtud del artículo
13 de la presente Directiva. Dicha persona será informada en todos los casos de
que ha tenido lugar una verificación.”
El Capítulo VI asigna así una sucesión
de facultades a la Autoridad de Control respecto del tratamiento de datos
personales en materia de infracciones penales y de procedimientos:
· vigilancia
en sus territorio de las disposiciones transpuestas en la ley de protección de
datos personales para cada país;
·
el
ejercicio de funciones con total independencia;
· la
consulta en la elaboración de medidas reglamentarias o administrativas
relativas a la protección de los derechos y libertades de las personas en lo
relativo al tratamiento de datos personales,
· disposición
de poderes de investigación, poderes efectivos de intervención, capacidad
procesal en caso de infracciones o poner dichas infracciones en conocimiento de
la autoridad judicial
·
sus
decisiones podrán ser objeto de recurso jurisdiccional
·
entenderá
de las solicitudes de verificación de la licitud del tratamiento.
b. Directiva Europea 2002/58/CE
Los
dos primeros numerales del Artículo 1, precisan el ámbito de aplicación y el
objeto de la presente Directiva:
1.
La presente Directiva armoniza las disposiciones de los Estados miembros
necesarias para garantizar un nivel equivalente de protección de las libertades
y los derechos fundamentales y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los
datos personales en el sector de las comunicaciones electrónicas, así como
la libre circulación de tales datos y de los equipos y servicios de
comunicaciones electrónicas en la Comunidad.
2.
Las disposiciones de la presente
Directiva especifican y completan la Directiva 95/46/CE a los efectos
mencionados en el apartado 1. Además, protegen los intereses legítimos de los
abonados que sean personas jurídicas.
Ella
se aplica entonces al tratamiento de los datos personales en el sector de las
comunicaciones electrónicas, y
especifican y completan la Directiva precedente 95/46/CE;
Esta Directiva, confirma en su parte
considerativa, la previsión de vías de
recurso judiciales en el derecho nacional en caso de no respeto de los derechos
de los usuarios u abonados, imponiéndose las sanciones respectivas[12].
El artículo 15 Aplicación de
determinadas disposiciones de la Directiva 95/46/CE, confirma la jerarquía de
las normas, privilegiándose aquellas relacionadas a la seguridad nacional (es decir, la
seguridad del Estado), la defensa, la seguridad pública, o la prevención,
investigación, descubrimiento y persecución de delitos o la utilización no
autorizada del sistema de comunicaciones electrónicas sobre la protección de la
confidencialidad de los datos personales; y las aplicaciones de la disposiciones
del capítulo III sobre recursos judiciales, responsabilidad y sanciones de la
Directiva 95/46/CE a la Directiva 2002/58/CE.
1.
Los Estados miembros podrán adoptar medidas legales para limitar el alcance de
los derechos y las obligaciones que se establecen en los artículos 5
Confidencialidad de las comunicaciones[13] y 6 Datos de tráfico[14], en los apartados 1 a 4 del artículo 8 Presentación
y restricción de la identificación de la línea de origen y de la línea
conectada[15] y en el artículo 9 Datos de localización
distintos de los datos de tráfico[16] de la presente Directiva, cuando tal
limitación constituya una medida necesaria proporcionada y apropiada en una
sociedad democrática para proteger la seguridad nacional (es decir, la
seguridad del Estado), la defensa, la seguridad pública, o la prevención,
investigación, descubrimiento y persecución de delitos o la utilización no
autorizada del sistema de comunicaciones electrónicas a que se hace referencia en
el apartado 1 del artículo 13 Comunicaciones no solicitadas[17] de la Directiva 95/46/CE. Para ello, los
Estados miembros podrán adoptar, entre otras, medidas legislativas en virtud de
las cuales los datos se conserven durante un plazo limitado justificado por los
motivos establecidos en el presente apartado. Todas las medidas contempladas en
el presente apartado deberán ser conformes con los principios generales del
Derecho comunitario, incluidos los mencionados en los apartados 1 y 2 del
artículo 6 del Tratado de la Unión Europea.
2. Las disposiciones del capítulo III sobre recursos judiciales, responsabilidad y sanciones de la Directiva 95/46/CE se aplicarán a las disposiciones nacionales adoptadas con arreglo a la presente Directiva y a los derechos individuales derivados de la misma.
Finalmente, si bien no es evidente la
diferencia entre las infracciones-delitos y las infracciones-faltas, la
Directiva Europea 95/46/CE más que la Directiva 2002/58/CE deja abierta la posibilidad de recurrir a las
infracciones-delitos, particularmente, en la consulta al Órgano de Control de
Protección de Datos Personales para la elaboración de medidas reglamentarias o
administrativas relativas a la protección de los derechos y libertades de las
personas en lo relativo al tratamiento de datos personales; la disposición de
poderes de investigación, poderes efectivos de intervención, capacidad procesal
en caso de infracciones o poner dichas
infracciones en conocimiento de la autoridad judicial; y que sus decisiones
puedan ser objeto de recurso jurisdiccional.
1.2. Legislación Europea por países: Francia, España.
a. Francesa
1) Código Penal
El Capítulo VI De
los atentados contra la personalidad, en su Sección V, se refiere a los
atentados a los derechos de la persona resultantes de los ficheros y
tratamientos informáticos.
Sección V
De los atentados a los derechos de la persona resultantes de los
ficheros o tratamientos informáticos
Artículo 226-16
(Modificado por Ley nº 2004-801 de 6 de agosto de 2004, art. 14, Diario
Oficial de 7 de agosto de 2004)
El hecho, incluso por negligencia, de realizar o hacer realizar
tratamientos automatizados de informaciones de carácter personal sin haber
respetado las formalidades previas a su ejecución previstas por la ley será
castigado con cinco años de prisión y 300.000 euros de multa.
Será castigado con las mismas penas el hecho, incluso por negligencia,
de proceder o hacer realizar un tratamiento que tenga por objeto alguna de las
medidas previstas por el 2º del I del artículo 45 de la ley nº 78-17 de 6 de
enero de 1978 relativa a la informática, los ficheros y las libertades.
Artículo 226-16-1-A
(Introducido por Ley nº 2004-801 de 6 de agosto de 2004, art. 14, Diario
Oficial de 7 de agosto de 2004)
Cuando se realice o se haga realizar un tratamiento de datos de carácter
personal en las condiciones previstas por el apartado I o II del artículo 24 de
la ley nº 78-17 de 6 de enero de 1978 ya citada, el hecho de no respetar, incluso
por negligencia, las normas simplificadas o de exención establecidas a tal
efecto por la Commission nationale de l'informatique et des libertés (Comisión
Nacional de Informática y Libertades) será castigado con cinco años de prisión
y 300.000 euros de multa
Artículo 226-16-1
(Introducido por Ley nº 2004-801 de 6 de agosto de 2004, art. 14, Diario
Oficial de 7 de agosto de 2004)
Fuera de los casos en que el tratamiento haya sido autorizado en las
condiciones previstas por la ley nº 78-17 de 6 de enero de 1978 ya citada, el
hecho de realizar o hacer realizar un tratamiento de datos de carácter
personal, incluyendo entre los datos sobre los cuales verse el número de
inscripción de las personas en el repertorio nacional de identificación de las
personas físicas, será castigado con cinco años de prisión y 300.000 euros de
multa.
Artículo 226-17
(Introducido por Ley nº 2004-801 de 6 de agosto de 2004, art. 14, Diario
Oficial de 7 de agosto de 2004)
El hecho de proceder o hacer proceder a un tratamiento de datos de
carácter personal sin haber adoptado las medidas prescritas por el artículo 34
de la ley nº 78-17 de 6 de enero de 1978 ya citada, será castigado con cinco
años de prisión y 300.000 euros de multa.
Artículo 226-17-1
Creado por Ordenanza N ° 2011-1012 del 24 de agosto de 2011 - art. 39
El hecho por un proveedor de comunicaciones electrónicas de no proceder a la notificación de una violación de datos personales a la Commission nationale de l'informatique et des libertés (Comisión Nacional de Informática y Libertades) o al interesado, sin tener en cuenta lo dispuesto en el II del artículo 34 bis de la Ley N º 78-17 del 6 de enero de 1978, se castiga con cinco años de prisión y una multa de 300.000 €
El hecho por un proveedor de comunicaciones electrónicas de no proceder a la notificación de una violación de datos personales a la Commission nationale de l'informatique et des libertés (Comisión Nacional de Informática y Libertades) o al interesado, sin tener en cuenta lo dispuesto en el II del artículo 34 bis de la Ley N º 78-17 del 6 de enero de 1978, se castiga con cinco años de prisión y una multa de 300.000 €
Artículo 226-18
(Ley nº 2004-801 de 6 de agosto
de 2004, art. 14, Diario Oficial de 7 de agosto de 2004)
El hecho de recoger datos de carácter personal por medio fraudulento,
desleal o ilícito será castigado con cinco años de prisión y 300.000 euros de
multa.
Artículo 226-18-1
(Introducido por Ley nº 2004-801 de 6 de agosto de 2004, art. 14, Diario
Oficial de 7 de agosto de 2004)
El hecho de proceder a un tratamiento de datos de carácter personal
relativo a una persona física a pesar de la oposición de esta persona, cuando
el tratamiento responda a fines de prospección, en particular, comercial, o
cuando la oposición esté fundada en motivos legítimos, será castigado con cinco
años de prisión y 300.000 euros de multa.
Artículo 226-19
Modificado
por LEY n°2012-954 de 6 agosto 2012 - art. 4
(Ley nº 2004-801 de 6 de agosto de 2004, art. 14, Diario Oficial de 7 de
agosto de 2004)
Fuera de los casos previstos por la ley, el hecho de incluir o conservar
en memoria informatizada, sin consentimiento expreso del interesado, datos de
carácter personal que, directa o indirectamente, muestren los orígenes raciales
o étnicos o las opiniones políticas, filosóficas o religiosas o la afiliación
sindical de las personas, o relativos a la salud o a la orientación sexual de
éstas, será castigado con cinco años de prisión y 300.000 euros de multa.
Será castigado con las mismas penas, el hecho de incluir o conservar en
memoria informatizada, fuera de los casos previstos por la ley, datos de
carácter personal referentes a infracciones, condenas o medidas de seguridad.
Artículo 226-19-1
(Introducido por Ley nº 2004-801 de 6 de agosto de 2004, art. 14, Diario
Oficial de 7 de agosto de 2004)
En caso de tratamiento de datos de carácter personal con fines de
investigación en el campo de la salud, se castigará con cinco años de prisión y
300.000 euros de multa el hecho de proceder a un tratamiento:
1º Sin haber informado previamente y de manera individualizada a las
personas de las que se recogen o transmiten los datos de carácter personal, de
su derecho de acceso, rectificación y oposición, del tipo de datos transmitidos
y de los destinatarios de éstos;
2º A pesar de la oposición de la persona afectada o, cuando esté
legalmente previsto, en ausencia de consentimiento informado y expreso de la
persona, o si se trata de una persona fallecida, a pesar de la negativa expresa
de ésta en vida.
Artículo 226-20
(Ley nº 2000-321 de 12 de abril de 2000, art. 5, Diario Oficial de 13 de
abril de 2000)
(Ley nº 2004-801 de 6 de agosto
de 2004, art. 14, Diario Oficial de 7 de agosto de 2004)
El hecho de conservar datos de carácter personal más allá de la duración
prevista por la ley o el reglamento, en la solicitud de autorización o de
dictamen, o en la declaración previa dirigida a la Commission nationale de l'informatique et des
libertés (Comisión Nacional de Informática y Libertades), será castigado con
cinco años de prisión y multa de 300.000 euros, salvo si esta conservación se
efectúa con fines históricos, estadísticos o científicos en las condiciones
previstas por la ley.
Será castigado con las mismas penas el hecho, de tratar datos de carácter
personal conservados más allá del plazo mencionado en el primer párrafo con
fines que no sean históricos, estadísticos o científicos, fuera de los casos
previstos por la ley.
Artículo 226-21
(Ley nº 2004-801 de 6 de agosto
de 2004, art. 14, Diario Oficial de 7 de agosto de 2004)
El hecho, cometido por toda persona que se encuentre en posesión de
datos de carácter personal con ocasión de su registro, clasificación,
transmisión o de cualquier otra forma de tratamiento, de distraer estas
informaciones de su finalidad definida por disposición legal o en el acto
reglamentario o por decisión de la Commission nationale de l'informatique et
des libertés (Comisión Nacional de Informática y Libertades) que autorice el
tratamiento automatizado, o por las declaraciones previas a la aplicación de
este tratamiento será castigado con cinco años de prisión y 300.000 euros de
multa.
Artículo 226-22
(Ley nº 2004-801 de 6 de agosto de 2004, art. 14, Diario Oficial de 7 de
agosto de 2004)
El hecho, cometido por toda persona que, con ocasión de su registro,
clasificación, transmisión o cualquier otra forma de tratamiento, haya recogido
datos de carácter personal cuya divulgación tuviera por efecto atentar contra
la reputación del interesado o a la intimidad de su vida privada, de poner
estas informaciones, sin autorización del interesado, en conocimiento de un
tercero no autorizado para recibirlas será castigado con un año de prisión y
300.000 euros de multa.
La divulgación prevista en el párrafo anterior será castigada con tres
años de prisión y 100.000 euros de multa cuando haya sido cometida por
imprudencia o negligencia.
En los casos previstos por los dos párrafos anteriores, la persecución
requerirá la previa denuncia de la víctima, de su representante legal o de sus derechohabientes.
Artículo 226-22-1
(Introducido por Ley nº 2004-801 de 6 de agosto de 2004, art. 14, Diario
Oficial de 7 de agosto de 2004)
Fuera de los casos previstos por la ley, el hecho de proceder o de hacer
proceder a una transferencia de datos de carácter personal objeto, o destinados
a ser objeto de tratamiento hacia un Estado no perteneciente a la Comunidad
europea, con infracción de las medidas adoptadas por la Comisión de las
Comunidades europeas o por la Commission nationale de l'informatique et des
libertés (Comisión Nacional de Informática y Libertades) mencionadas en el
artículo 70 de la ley nº 78-17 de 6 de enero de 1978 ya citada, será castigado
con cinco años de prisión y 300.000 euros de multa.
Artículo 226-22-2
(Introducido por Ley nº 2004-801 de 6 de agosto de 2004, art. 14, Diario
Oficial de 7 de agosto de 2004)
En los casos previstos por los artículos 226-16 a 226-22-1, podrá
ordenarse el borrado de todos o parte de los datos de carácter personal objeto
del tratamiento que haya dado lugar a la infracción. Los miembros y agentes de
la Commission nationale de l'informatique et des libertés (Comisión Nacional de
Informática y Libertades) quedan habilitados para verificar el borrado de estos
datos.
Artículo 226-23
(Ley nº 2004-801 de 6 de agosto de 2004, art. 14, Diario Oficial de 7 de
agosto de 2004)
Las disposiciones del artículo 226-19 serán aplicables a los
tratamientos no automatizados de datos de carácter personal cuya aplicación no
se limite al ejercicio de actividades exclusivamente personales.
Artículo 226-24
(Ley nº 2004-801 de 6 de agosto de 2004, art. 14 II, Diario Oficial de 7
de agosto de 2004)
Las personas jurídicas declaradas penalmente responsables en las
condiciones previstas por el artículo 121-2. de las infracciones definidas en
la presente sección, incurrirán, además en multa en las condiciones previstas
en el artículo 131-38, las penas previstas por los 2° a 5° y 7° a
9° del artículo 131-39:
La prohibición mencionada en el apartado 2º del artículo 131-39 será
aplicable a la actividad en cuyo ejercicio o con ocasión de cuyo ejercicio se
haya cometido la infracción.
2) Ley Informática y
Libertades de 1978
Esta Ley en su Capítulo VIII prevé las Disposiciones Penales aplicables.
CAPITULO VIII: DISPOSICIONES PENALES
Artículo 50
Las infracciones a las
disposiciones de la presente Ley están contempladas y sancionadas por los
artículos 226-16 a 226-24 del Código Penal.
Artículo 51
Modificado por la ley n°2011-334
del 29 marzo 2011 relativa al Defensor de los derechos
Será castigado con un año de
prisión y una multa de 15.000 € el hecho de obstaculizar la acción de la
Comisión Nacional de Informática y Libertades:
1° Bien, oponiéndose al ejercicio
de las funciones encomendadas a sus miembros o a los agentes habilitados en
aplicación del último párrafo del artículo 19 (habilitación por la Comisión) cuando la
inspección hubiera sido autorizada por el juez;
2° Bien, negándose a comunicar a
sus miembros o a los agentes habilitados en aplicación del último párrafo del
artículo 19 las informaciones y documentos necesarios para su misión, o
disimulando dichos documentos o informaciones, o haciéndolos desaparecer;
3° Bien, comunicando
informaciones no conformes al contenido de los registros tal y como se hallaba
en el momento en que se hubiera formulado la petición o que no presenten dicho
contenido de manera directamente accesible.
Artículo 52
El Fiscal de la República
informará al Presidente de la Comisión Nacional de Informática y Libertades de
todas las diligencias relativas a las infracciones a lo dispuesto en la sección
5 del capítulo VI del título II del libro II del Código Penal y, en su caso,
del seguimiento que se les den. Le informará de la fecha y objeto de la
audiencia del juicio por correo certificado enviado al menos diez días antes de
dicha fecha.
El
juzgado de instrucción o penal podrá requerir del Presidente de la Comisión
Nacional de Informática y Libertades o de su representante que entregue sus
observaciones o que las exponga verbalmente en la audiencia.
b. Española
1) Código Penal
TÍTULO X Delitos contra la intimidad, el derecho a la propia imagen y la inviolabilidad del domicilio
CAPÍTULO I Del descubrimiento y revelación de secretos
Artículo 197.
1. El que, para descubrir los secretos o
vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus
papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos
o efectos personales o intercepte sus telecomunicaciones o utilice artificios
técnicos de escucha, transmisión, grabación o reproducción del sonido o de la
imagen, o de cualquier otra señal de comunicación, será castigado con las penas
de prisión de uno a cuatro años y multa de doce a veinticuatro meses.
2. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero.
3. El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años[18].
Cuando de acuerdo con lo establecido en el artículo 31 bis una persona jurídica sea responsable de los delitos comprendidos en este artículo, se le impondrá la pena de multa de seis meses a dos años. Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribunales podrán asimismo imponer las penas recogidas en las letras b) a g) del apartado 7 del artículo 33.
4. Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren los números anteriores.
Será castigado con las penas de prisión de uno a tres años y multa de doce a veinticuatro meses, el que, con conocimiento de su origen ilícito y sin haber tomado parte en su descubrimiento, realizare la conducta descrita en el párrafo anterior.
5. Si los hechos descritos en los apartados 1 y 2 de este artículo se realizan por las personas encargadas o responsables de los ficheros, soportes informáticos, electrónicos o telemáticos, archivos o registros, se impondrá la pena de prisión de tres a cinco años, y si se difunden, ceden o revelan los datos reservados, se impondrá la pena en su mitad superior.
6. Igualmente, cuando los hechos descritos en los apartados anteriores afecten a datos de carácter personal que revelen la ideología, religión, creencias, salud, origen racial o vida sexual, o la víctima fuere un menor de edad o un incapaz, se impondrán las penas previstas en su mitad superior.
7. Si los hechos se realizan con fines lucrativos, se impondrán las penas respectivamente previstas en los apartados 1 al 4 de este artículo en su mitad superior. Si además afectan a datos de los mencionados en el apartado anterior, la pena a imponer será la de prisión de cuatro a siete años.
8. Si los hechos descritos en los apartados anteriores se cometiesen en el seno de una organización o grupo criminales, se aplicarán respectivamente las penas superiores en grado.
2) Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Esta Ley, a diferencia de la ley francesa, Informática y Libertades de 1978, no contempla ni sanciona disposiciones penales.
1.3. Foros Unión Europea y América Latina y el Caribe
En el V Foro
Ministerial Unión Europea (UE) -América Latina y el Caribe (ALC) sobre
la Sociedad de la Información, celebrado los días 14 y 15 de marzo de 2010 en
La Granja de San Ildefonso, España, los Ministros y jefes de Delegación de los
países de la Unión Europea y de América Latina y el Caribe y de la Comisión
Europea, presentes declararon SOBRE LA PRIVACIDAD, Fiabilidad
y SEGURIDAD DE INternet:
Constatamos que la seguridad y fiabilidad de
Internet es imprescindible para el buen funcionamiento de nuestras economías
y nuestras sociedades y apoyamos la cooperación internacional entre ambas
regiones en esta materia para promover acciones que favorezcan la seguridad en
línea y proteger la privacidad de las comunicaciones y las informaciones;
Observamos que el desarrollo de Internet y las
tecnologías inalámbricas ofrecen nuevas posibilidades y aportan beneficios muy
variados a niños y jóvenes. Sin embargo, a pesar de que estos son a menudo
usuarios expertos de las tecnologías en línea, pueden carecer de la madurez
suficiente para detectar contenidos nocivos para su sano desarrollo y posibles
situaciones de riesgo y sus consecuencias. Por tanto, es necesario proporcionar
más información a hijos, padres y profesores así como los instrumentos para
tomar medidas contra estos riesgos y fomentar la I+D en el desarrollo de la
seguridad de las redes y los sistemas de información:
1. Es necesario aumentar y poner al día el
conocimiento que tenemos acerca del uso que los menores hacen de los nuevos
medios y de los riesgos que pueden encontrar;
2. La naturaleza global de Internet requiere de la cooperación internacional para garantizar la máxima eficacia y resultados de las medidas adoptadas;
Es una responsabilidad compartida entre los
encargados de diseñar las políticas, las autoridades responsables del
cumplimiento de las leyes, el sector privado y la sociedad civil conseguir un
entorno en línea más seguro y confiable, para los usuarios finales de Internet
particularmente en cuestiones como pedofilia y narcotráfico;
Planes Regionales eLAC 2007 y 2010
El Plan 2007, planteaba la promoción de diálogos, intercambios y cooperación regional sobre experiencias nacionales en temas de ciberseguridad, "spam" y aspectos institucionales y tecnológicos relacionados. Incluye entre sus metas el establecimiento de grupos de trabajo subregionales para promover y fomentar políticas de armonización de normas y estándares, con el fin de crear marcos legislativos que brinden confianza y seguridad, tanto a nivel nacional como a nivel regional, prestando especial atención a la legislación sobre delitos informáticos y delitos por medio de las TIC como marco para el desarrollo de la sociedad de la información.
De igual forma, alienta las iniciativas
regionales existentes para integrar las TIC en los sistemas nacionales de
justicia, tales como el Proyecto de Justicia Electrónica impulsado por las Cortes Supremas de Justicia de los países
iberoamericanos.
En
virtud del Plan Regional eLAC 2010 se invita a los países a estudiar la
posibilidad de ratificar o adherirse al
Tratado de Ciberdelitos del Consejo de Europa y su Protocolo adicional, como un
instrumento facilitador para la integración y adecuación normativa en esta
materia, enmarcados en principios de protección de los derechos de privacidad.
La
Convención de Budapest incorpora determinadas categorías de delitos y establece los elementos del tipo penal a ser
incluidos en su definición.
Delitos contra la confidencialidad, la integridad y la disponibilidad de datos y sistemas informáticos:
Delitos contra la confidencialidad, la integridad y la disponibilidad de datos y sistemas informáticos:
i) acceso ilícito a un sistema informático;
ii)
interceptación ilícita de datos informáticos;
iii)
interferencia en los datos (daño,
borrado o alteración);
iv) interferencia del sistema (mediante la introducción,
transmisión, provocación de daños, borrado, deterioro, alteración o supresión de datos
informáticos);
iv)
abuso de dispositivos (software o contraseñas para cometer delitos).
2. LEGISLACIÓN PARA LATINOAMERICANA
(Ver Parte II el 15 de Noviembre 2013 )
[1] Finalidad
Preventiva Artículo I.- Este
Código tiene por objeto la prevención de delitos y faltas como medio protector
de la persona humana y de la sociedad.
[2]
Delitos y faltas Artículo 11.- Son delitos y faltas las acciones u omisiones dolosas
o culposas penadas por la ley.
[4] Artículo 6
1. Los Estados miembros
dispondrán que los datos personales sean:
a) tratados de manera leal y
lícita;
b) recogidos con fines
determinados, explícitos y legítimos, y no sean tratados posteriormente de
manera incompatible con dichos fines; no se considerará incompatible el
tratamiento posterior de datos con fines históricos, estadísticos o
científicos, siempre y cuando los Estados miembros establezcan las garantías
oportunas;
c) adecuados, pertinentes y no
excesivos con relación a los fines para los que se recaben y para los que se
traten posteriormente;
d) exactos y, cuando sea
necesario, actualizados; deberán tomarse todas las medidas razonables para que
los datos inexactos o incompletos, con respecto a los fines para los que fueron
recogidos o para los que fueron tratados posteriormente, sean suprimidos o
rectificados;
e) conservados en una forma que
permita la identificación de los interesados durante un período no superior al
necesario para los fines para los que fueron recogidos o para los que se traten
ulteriormente. Los Estados miembros establecerán las garantías apropiadas para
los datos personales archivados por un período más largo del mencionado, con
fines históricos, estadísticos o científicos.
[5] Artículo 10
Información en caso de obtención
de datos recabados del propio interesado
Los Estados miembros dispondrán
que el responsable del tratamiento o su representante deberán comunicar a la
persona de quien se recaben los datos que le conciernan, por lo menos la
información que se enumera a continuación, salvo si la persona ya hubiera sido
informada de ello:
a) la identidad del responsable
del tratamiento y, en su caso, de su representante;
b) los fines del tratamiento de
que van a ser objeto los datos;
c) cualquier otra información tal
como:
- los destinatarios o las
categorías de destinatarios de los datos,
- el carácter obligatorio o no de
la respuesta y las consecuencias que tendría para la persona interesada una
negativa a responder,
- la existencia de derechos de
acceso y rectificación de los datos que la conciernen, en la medida en que,
habida cuenta de las circunstancias específicas en que se obtengan los datos,
dicha información suplementaria resulte necesaria para garantizar un
tratamiento de datos leal respecto del interesado.
[6] Artículo 11
Información cuando los datos no
han sido recabados del propio interesado
1. Cuando los datos no hayan sido
recabados del interesado, los Estados miembros dispondrán que el responsable
del tratamiento o su representante deberán, desde el momento del registro de
los datos o, en caso de que se piense comunicar datos a un tercero, a más
tardar, en el momento de la primera comunicación de datos, comunicar al
interesado por lo menos la información que se enumera a continuación, salvo si
el interesado ya hubiera sido informado de ello:
a) la identidad del responsable
del tratamiento y, en su caso, de su representante;
b) los fines del tratamiento de
que van a ser objeto los datos;
c) cualquier otra información tal
como:
- las categorías de los datos de
que se trate,
- los destinatarios o las
categorías de destinatarios de los datos,
- la existencia de derechos de
acceso y rectificación de los datos que la conciernen,
en la medida en que, habida
cuenta de las circunstancias específicas en que se hayan obtenido los datos,
dicha información suplementaria resulte necesaria para garantizar un
tratamiento de datos leal respecto del interesado.
[7] Artículo 12
Derecho de acceso
Los Estados miembros garantizarán
a todos los interesados el derecho de obtener del responsable del tratamiento:
a) libremente, sin restricciones
y con una periodicidad razonable y sin retrasos ni gastos excesivos:
- la confirmación de la
existencia o inexistencia del tratamiento de datos que le conciernen, así como
información por lo menos de los fines de dichos tratamientos, las categorías de
datos a que se refieran y los destinatarios o las categorías de destinatarios a
quienes se comuniquen dichos datos;
- la comunicación, en forma
inteligible, de los datos objeto de los tratamientos, así como toda la
información disponible sobre el origen de los datos;
- el conocimiento de la lógica
utilizada en los tratamientos automatizados de los datos referidos al
interesado, al menos en los casos de las decisiones automatizadas a que se
refiere el apartado 1 del artículo 15;
b) en su caso, la rectificación,
la supresión o el bloqueo de los datos cuyo tratamiento no se ajuste a las
disposiciones de la presente Directiva, en particular a causa del carácter
incompleto o inexacto de los datos;
c) la notificación a los terceros
a quienes se hayan comunicado los datos de toda rectificación, supresión o
bloqueo efectuado de conformidad con la letra b), si no resulta imposible o
supone un esfuerzo desproporcionado.
[8] Artículo 21
Publicidad de los tratamientos
1. Los Estados miembros adoptarán
las medidas necesarias para garantizar la publicidad de los tratamientos.
2. Los Estados miembros
establecerán que la autoridad de control lleve un registro de los tratamientos
notificados con arreglo al artículo 18.
En el registro se harán constar,
como mínimo, las informaciones a las que se refieren las letras a) a e) del
apartado 1 del artículo 19.
El registro podrá ser consultado
por cualquier persona.
3. Los Estados miembros
dispondrán, en lo que respecta a los tratamientos no sometidos a notificación,
que los responsables del tratamiento u otro órgano designado por los Estados
miembros comuniquen, en la forma adecuada, a toda persona que lo solicite, al
menos las informaciones a que se refieren las letras a) a e) del apartado 1 del
artículo 19.
Los Estados miembros podrán
establecer que esta disposición no se aplique a los tratamientos cuyo fin único
sea llevar un registro, que, en virtud de disposiciones legales o
reglamentarias, esté concebido para facilitar información al público y que esté
abierto a la consulta por el público en general o por cualquier persona que
pueda demostrar un interés legítimo.
[9] Artículo 22. Recursos.
Sin perjuicio del recurso
administrativo que pueda interponerse, en particular ante la autoridad de
control mencionada en el artículo 28, y antes de acudir a la autoridad
judicial, los Estados miembros establecerán que toda persona disponga de un
recurso judicial en caso de violación de los derechos que le garanticen las
disposiciones de Derecho nacional aplicables al tratamiento de que se trate.
[10] Artículo 22. Responsabilidad.
1. Los Estados miembros dispondrán que toda persona que sufra un
perjuicio como consecuencia de un tratamiento ilícito o de una acción
incompatible con las disposiciones nacionales adoptadas en aplicación de la
presente Directiva, tenga derecho a obtener del responsable del tratamiento la
reparación del perjuicio sufrido.
2. El responsable del tratamiento podrá ser eximido parcial o
totalmente de dicha responsabilidad si demuestra que no se le puede imputar el
hecho que ha provocado el daño.
[11] Artículo 24
Sanciones
Los Estados miembros adoptarán las medidas adecuadas para
garantizar la plena aplicación de las disposiciones de la presente Directiva y
determinarán, en particular, las sanciones que deben aplicarse en caso de
incumplimiento de las disposiciones adoptadas en ejecución de la presente Directiva.
[12] (47) En los casos en que no se respeten los
derechos de los usuarios y abonados, el Derecho nacional debe prever vías de
recurso judiciales. Deben imponerse sanciones a aquellas personas, ya sean de
Derecho público o privado, que incumplan las medidas nacionales adoptadas en
virtud de la presente Directiva.
[13]
Artículo 5
Confidencialidad de las
comunicaciones
1. Los Estados miembros
garantizarán, a través de la legislación nacional, la confidencialidad de las
comunicaciones, y de los datos de tráfico asociados a ellas, realizadas a
través de las redes públicas de comunicaciones y de los servicios de
comunicaciones electrónicas disponibles al público. En particular, prohibirán
la escucha, la grabación, el almacenamiento u otros tipos de intervención o
vigilancia de las comunicaciones y los datos de tráfico asociados a ellas por
personas distintas de los usuarios, sin el consentimiento de los usuarios
interesados, salvo cuando dichas personas estén autorizadas legalmente a
hacerlo de conformidad con el apartado 1 del artículo 15. El presente apartado
no impedirá el almacenamiento técnico necesario para la conducción de una
comunicación, sin perjuicio del principio de confidencialidad.
2. El apartado 1 no se aplicará a
las grabaciones legalmente autorizadas de comunicaciones y de los datos de
tráfico asociados a ellas cuando se lleven a cabo en el marco de una práctica
comercial lícita con el fin de aportar pruebas de una transacción comercial o
de cualquier otra comunicación comercial.
3. Los Estados miembros velarán
por que únicamente se permita el uso de las redes de comunicaciones
electrónicas con fines de almacenamiento de información o de obtención de
acceso a la información almacenada en el equipo terminal de un abonado o
usuario a condición de que se facilite a dicho abonado o usuario información
clara y completa, en particular sobre los fines del tratamiento de los datos,
con arreglo a lo dispuesto en la Directiva 95/46/CE y de que el responsable del
tratamiento de los datos le ofrezca el derecho de negarse a dicho tratamiento.
La presente disposición no impedirá el posible almacenamiento o acceso de
índole técnica al solo fin de efectuar o facilitar la transmisión de una
comunicación a través de una red de comunicaciones electrónicas, o en la medida
de lo estrictamente necesario a fin de proporcionar a una empresa de
información un servicio expresamente solicitado por el usuario o el abonado.
[14]
Artículo 6
Datos de tráfico
1. Sin perjuicio de lo dispuesto
en los apartados 2, 3 y 5 del presente artículo y en el apartado 1 del artículo
15, los datos de tráfico relacionados con abonados y usuarios que sean tratados
y almacenados por el proveedor de una red pública de comunicaciones o de un
servicio de comunicaciones electrónicas disponible al público deberán
eliminarse o hacerse anónimos cuando ya no sea necesario a los efectos de la
transmisión de una comunicación.
2. Podrán ser tratados los datos
de tráfico necesarios a efectos de la facturación de los abonados y los pagos
de las interconexiones. Se autorizará este tratamiento únicamente hasta la
expiración del plazo durante el cual pueda impugnarse legalmente la factura o
exigirse el pago.
3. El proveedor de un servicio de
comunicaciones electrónicas disponible para el público podrá tratar los datos a
que se hace referencia en el apartado 1 para la promoción comercial de
servicios de comunicaciones electrónicas o para la prestación de servicios con
valor añadido en la medida y durante el tiempo necesarios para tales servicios
o promoción comercial, siempre y cuando el abonado o usuario al que se refieran
los datos haya dado su consentimiento. Los usuarios o abonados dispondrán de la
posibilidad de retirar su consentimiento para el tratamiento de los datos de
tráfico en cualquier momento.
4. El proveedor del servicio
deberá informar al abonado o al usuario de los tipos de datos de tráfico que
son tratados y de la duración de este tratamiento a los efectos mencionados en
el apartado 2 y, antes de obtener el consentimiento, a los efectos contemplados
en el apartado 3.
5. Sólo podrán encargarse del
tratamiento de datos de tráfico, de conformidad con los apartados 1, 2, 3 y 4,
las personas que actúen bajo la autoridad del proveedor de las redes públicas
de comunicaciones o de servicios de comunicaciones electrónicas disponibles al
público que se ocupen de la facturación o de la gestión del tráfico, de las
solicitudes de información de los clientes, de la detección de fraudes, de la
promoción comercial de los servicios de comunicaciones electrónicas o de la prestación
de un servicio con valor añadido, y dicho tratamiento deberá limitarse a lo
necesario para realizar tales actividades.
6. Los apartados 1, 2, 3 y 5 se
aplicarán sin perjuicio de la posibilidad de que los organismos competentes
sean informados de los datos de tráfico con arreglo a la legislación aplicable,
con vistas a resolver litigios, en particular los relativos a la interconexión
o a la facturación.
[15]
Artículo 8
Presentación y restricción de la
identificación de la línea de origen y de la línea conectada
1. Cuando se ofrezca la
posibilidad de visualizar la identificación de la línea de origen, el proveedor
del servicio deberá ofrecer al usuario que efectúe la llamada la posibilidad de
impedir en cada llamada, mediante un procedimiento sencillo y gratuito, la
presentación de la identificación de la línea de origen. El abonado que origine
la llamada deberá tener esta posibilidad para cada línea.
2. Cuando se ofrezca la
posibilidad de visualizar la identificación de la línea de origen, el proveedor
del servicio deberá ofrecer al abonado que reciba la llamada la posibilidad,
mediante un procedimiento sencillo y gratuito, siempre que haga un uso
razonable de esta función, de impedir la presentación de la identificación de
la línea de origen en las llamadas entrantes.
3. Cuando se ofrezca la
posibilidad de visualizar la identificación de la línea de origen y ésta se
presente antes de que se establezca la llamada, el proveedor del servicio
deberá ofrecer al abonado que reciba la llamada la posibilidad, mediante un
procedimiento sencillo, de rechazar las llamadas entrantes procedentes de
usuarios o abonados que hayan impedido la presentación de la identificación de
la línea de origen.
4. Cuando se ofrezca la
posibilidad de visualizar la identificación de la línea conectada, el proveedor
del servicio deberá ofrecer al abonado que reciba la llamada la posibilidad,
por un procedimiento sencillo y gratuito, de impedir la presentación de la
identificación de la línea conectada al usuario que efectúa la llamada.
[16] Artículo 9
Datos de localización distintos
de los datos de tráfico
1. En caso de que puedan tratarse
datos de localización, distintos de los datos de tráfico, relativos a los
usuarios o abonados de redes públicas de comunicaciones o de servicios de
comunicaciones electrónicas disponibles al público, sólo podrán tratarse estos
datos si se hacen anónimos, o previo consentimiento de los usuarios o abonados,
en la medida y por el tiempo necesarios para la prestación de un servicio con
valor añadido. El proveedor del servicio deberá informar a los usuarios o
abonados, antes de obtener su consentimiento, del tipo de datos de localización
distintos de los datos de tráfico que serán tratados, de la finalidad y
duración del tratamiento y de si los datos se transmitirán a un tercero a
efectos de la prestación del servicio con valor añadido. Se deberá ofrecer a
los usuarios y abonados la posibilidad de retirar en todo momento su
consentimiento para el tratamiento de los datos de localización distintos de
los datos de tráfico.
2. Cuando se haya obtenido el
consentimiento de un usuario o abonado para el tratamiento de datos de
localización distintos de los datos de tráfico, el usuario o abonado deberá
seguir contando con la posibilidad, por un procedimiento sencillo y gratuito,
de rechazar temporalmente el tratamiento de tales datos para cada conexión a la
red o para cada transmisión de una comunicación.
3. Sólo podrán encargarse del
tratamiento de datos de localización distintos de los datos de tráfico de
conformidad con los apartados 1 y 2 personas que actúen bajo la autoridad del
proveedor de las redes públicas de comunicaciones o de servicios de
comunicaciones electrónicas disponibles al público o del tercero que preste el
servicio con valor añadido, y dicho tratamiento deberá limitarse a lo necesario
a efectos de la prestación del servicio con valor añadido.
[17] Artículo 13
Comunicaciones no solicitadas
1. Sólo se podrá autorizar la utilización de sistemas de llamada
automática sin intervención humana (aparatos de llamada automática), fax o
correo electrónico con fines de venta directa respecto de aquellos abonados que
hayan dado su consentimiento previo.
[18] Añadidos por LO
5/2010 apartados 3. y 8. y reenumerados del 4. a. 7. En el Preámbulo de esa Ley Orgánica 5/2010, de 22 de junio,
por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código
Penal, numeral XIV, considera:
“En el marco de los denominados
delitos informáticos, para cumplimentar la Decisión Marco 2005/222/JAI, de 24 de febrero de 2005,
relativa a los ataques contra los sistemas de información, se ha resuelto incardinar las
conductas punibles en dos apartados diferentes,
al tratarse de bienes jurídicos diversos. El primero, relativo a los daños,
donde quedarían incluidas las
consistentes en dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos o programas informáticos
ajenos, así como obstaculizar o interrumpir el funcionamiento de un sistema informático
ajeno. El segundo apartado se refiere al descubrimiento y revelación de secretos, donde
estaría comprendido el acceso sin autorización
vulnerando las medidas de seguridad a datos o programas informáticos contenidos en un sistema o en parte del mismo”.
Se mantuvieron los apartados 1 y 2.
