Entrevista a Beatriz Di Totto: 20 años de la histórica Ley contra Delitos Informáticos

Hace veinte años, el 30 de noviembre de 2001, entró en vigor en Venezuela la Ley Especial contra los Delitos Informáticos que colocó al país en un lugar destacado en la lucha contra los usos indebidos de las tecnologías de información. En la última década del siglo XX, el entusiasmo que la revolución tecnológica había despertado en todo el mundo corría el riesgo de arruinarse ante nuevas conductas dañinas que rápidamente identificaron cómo sacar provecho de las vulnerabilidades de los sistemas con la mayor impunidad ya que, por su novedad, no estaban previstas como delito. Para conmemorar los veinte años de vigencia de la Ley, el abogado Gustavo Amoni, profesor de la Universidad Central de Venezuela, está coordinando la publicación de un libro auspiciado por la editorial de la biblioteca de esa casa de estudios, que recogerá distintos análisis sobre cada uno de los tipos penales creados.

El profesor Amoni conversa con una de las corredactoras del proyecto de Ley, la abogada Beatriz Di Totto Blanco, quien fue Jefe de la Cátedra de Derecho Penal Especial de la Universidad Católica Andrés Bello y coordinó el equipo multidisciplinario que realizó la validación de los aspectos tecnológicos necesarios para hacer funcionar la Ley en la práctica. En el estudio de Derecho Comparado y la redacción del proyecto trabajaron en conjunto la profesora Di Totto y la profesora de Derecho Penal y Derecho Procesal Penal Magaly Vásquez González, también de la Universidad Católica Andrés Bello, quien había sido asesora del Congreso de la República y tuvo una destacada participación en la redacción del primer Código Orgánico Procesal Penal vigente en Venezuela.

–¿De quién partió la iniciativa de legislar para enfrentar estas nuevas conductas, muy dañinas, pero carentes de castigo?

-El interés surgió como consecuencia de una avalancha de denuncias de fraude por clonación de tarjetas de débito y crédito de los usuarios, quienes desde comienzos del año 2000 acudían masivamente a reclamar en las instituciones bancarias y a denunciar ante la Superintendencia de Bancos, el Cuerpo de Investigaciones Científicas, Penales y Criminalísticas (CICPC) y hasta el Instituto de Protección al Consumidor de la época llamado INDECU, que sus cuentas eran vaciadas o su línea de crédito se encontraba agotada sin haber realizado consumos ni haber extraviado o compartido su tarjeta de débito o crédito con nadie. Cada institución hizo sus propias revisiones; por ejemplo, la banca comenzó a trabajar de inmediato en los mecanismos para reducir a su mínima expresión las vulnerabilidades de estos productos, lo que poco a poco se fue logrando; sin embargo, era inocultable que desde el punto de vista sancionatorio estas nuevas modalidades de acción no se parecían en nada a los delitos conocidos y tipificados en las leyes del momento. Esto era muy frustrante para las autoridades porque muchas veces se lograban resultados en las investigaciones, pero los delincuentes no podían ser procesados por una cosa tan intangible como “clonar” o “vaciar” el límite una tarjeta de crédito que nunca había salido de las manos de su titular. En ninguna ley penal estaba previsto algo como eso. Además, un par de años atrás, en 1998, ya había ocurrido algo parecido con los teléfonos móviles, de modo que aun cuando los dispositivos estaban en poder de sus dueños, las líneas eran usadas paralelamente por delincuentes conocedores de las tecnologías de información para hacer llamadas internacionales que eran cargadas indebidamente a los usuarios. En el caso de los teléfonos móviles las propias operadoras encontraron rápidamente soluciones técnicas para reforzar la seguridad y, tal como hizo luego la banca en el caso de las tarjetas clonadas, asumieron los daños causados y los costos para incrementar la seguridad de los sistemas, pero igual quedó en el radar la necesidad de darle a las tecnologías de información una protección no solo material sino legal.

La Comisión de Finanzas del Congreso de la República de la época creó una subcomisión especial, la cual recopiló toda la información disponible y convocó a todas las personas e instituciones públicas y privadas que pudieran contribuir a la solución del problema. Tanto los organismos receptores de las denuncias como la Asociación bancaria y la Cámara Venezolana de Tarjetas de Crédito contribuyeron con su mejor experticia y eso fue muy útil para identificar el alcance del problema. Por ejemplo, el CICPC llevó a la subcomisión una recopilación de todas las modalidades de fraude, presentaron cómo operaban los dispositivos de clonación, expusieron los casos reales tal como ocurrieron y las dificultades recurrentes para someter los delincuentes a la Justicia. Por su parte, la Asociación Bancaria, además de las medidas de control interno en cada institución y de la adopción de progresivas mejoras en la seguridad de las tarjetas y de los sistemas en general, promovió la realización de un estudio multidisciplinario y de Derecho Comparado que permitiera conocer cuál era el impacto en el mundo de esta nueva modalidad de fraude y qué medidas se estaban tomando para combatirlo.

Cuando me correspondió acudir a la subcomisión como asesora, a medida que desarrollábamos el estudio, pudimos identificar que el fraude electrónico era la punta de uno de los muchos icebergs que se estaban manifestando a través del uso indebido de las tecnologías de información. A pesar de la urgencia de legislar para atender el problema originario, los sectores involucrados en este proyecto entendieron cabalmente que aquí no solo había que proteger del fraude a los usuarios de la banca, sino que igual de importante era contemplar como delito el acceso indebido a los sistemas, su sabotaje o daño, el espionaje, la falsificación de documentos electrónicos, la violación de la privacidad de la información personal, la violación de las comunicaciones, la oferta engañosa, la propiedad intelectual y hasta los derechos de los niños y adolescentes vulnerados por el auge de la pornografía infantil en Internet sin que hubiese una ley que sancionara aún esta aberración. Nos tardamos casi un año en tener el mapa completo, dibujado desde una perspectiva multidisciplinaria que permitiera comprender las distintas facetas del fenómeno de la sociedad del conocimiento y la búsqueda del balance entre la adopción de las nuevas tecnologías y la protección de los derechos de los ciudadanos. Todas las fracciones políticas que hacían vida en el Congreso aprobaron la ley por unanimidad en septiembre de 2001 y ésta entró en vigor el 30 de noviembre de ese año.

–¿Cómo se llegó a ese resultado tan fluido a pesar de ser una ley tan compleja?

-En la medida en que íbamos avanzando en los hallazgos y comenzamos a elaborar propuestas que estaban cambiando radicalmente el alcance original de lo previsto, la subcomisión parlamentaria iba validando todo el proceso. Cuando tuvimos el proyecto listo a mediados de 2001, la subcomisión coordinó una ronda de reuniones para presentarlo a distintas instituciones públicas y privadas y recibir sus observaciones. Esto se hizo ante la Superintendencia de Bancos, la Cámara Venezolana de Empresas de Informática (Cavedatos), Venamcham, asesores del Ministerio de Ciencia y Tecnología, Fiscalía General de la República, Cuerpo de Investigaciones Científicas, Penales y Criminalísticas (CICPC), Secretaría de Seguridad Ciudadana de la Alcaldía Metropolitana, Sala Penal del Tribunal Supremo de Justicia, Presidencia del Circuito Judicial Penal del Área Metropolitana de Caracas, Comité de Riesgo de la Asociación Bancaria de Venezuela, Dirección General de Conatel y la empresa de telefonía móvil Telcel. Puertas adentro del Congreso de la República, el presidente de la subcomisión, Carlos Tablante, promovió y coordinó las reuniones para presentar y discutir el proyecto con las fracciones parlamentarias de cada uno de los partidos políticos, para recibir sus observaciones. Esta labor previa facilitó la fluidez para su aprobación, puesto que al someter el proyecto a primera y segunda discusión en la plenaria, su contenido, significado y alcance eran ampliamente conocidos por todos los parlamentarios.

–¿Cómo fue, para ustedes como abogadas, el reto de incursionar en un campo tan distinto al del Derecho y en un momento en que el Derecho parecía desbordado por la revolución tecnológica?

-Para quienes fuimos formadas en una disciplina como el Derecho, donde parecía que ya todo estaba dicho y donde generalmente existe algún precedente que sirve de guía para la resolución de un problema, fue muy emocionante encontrarnos con un mundo totalmente inédito ante el cual el Derecho no tenía respuestas previas y donde varios de sus paradigmas ya no funcionaban para abordar estos temas. Te cito solo un ejemplo: la validez de un documento siempre había dependido de los medios probatorios aplicables a un instrumento físico elaborado en soporte papel; sin embargo, en la medida en que avanzábamos en nuestra investigación, nos encontramos con que el surgimiento del ciberespacio y la posibilidad de que lo que ocurra dentro de él y dentro de un sistema que usa tecnología de información deje trazas y rastros -que pueden ser rescatados y acreditados- había pulverizado la concepción jurídica de documento -y hasta la noción gramatical que manejaba el público-, pero abrió un universo de posibilidades acerca de cómo darle certeza a lo intangible. El reto entonces fue cómo rehacer los linderos, ampliándolos, sin sacrificar la seguridad jurídica. Por eso, una de las incorporaciones fundamentales dentro del proyecto de Ley fue la realización de un glosario con las definiciones imprescindibles para que sus operadores pudieran entender y manejar las nuevas realidades que emergieron a raíz de la irrupción de las tecnologías de información, entre las cuales, para seguir con el ejemplo que he mencionado, el documento quedó reconocido independientemente de su formato, sea texto, audio, vídeo o hasta trazas o secuencias de caracteres extraídos de un sistema que use tecnologías de información expresados en cualquier lenguaje o código susceptibles de ser traducidos a lenguaje humano. En otras palabras, a través de esta Ley se reconoció que, desde el punto de vista penal, la existencia y validez de un documento ya no depende de formalidades sino de la aplicación de herramientas tecnológicas reconocidas y validadas universalmente.

–Con cierta frecuencia los proyectos de ley en Latinoamérica son adaptaciones de legislaciones de otros países, pero esta Ley fue totalmente inédita. ¿Qué determinó esa decisión?   

-Justamente, uno de los aspectos que más nos llamó la atención al hacer la revisión de cuáles iniciativas había en el mundo para enfrentar los usos perniciosos de las tecnologías de información -todos, no sólo los asociados con el fraude electrónico- fue encontrar un patrón común: el error de legislar a la defensiva, por mera reacción, ante conductas muy puntuales que podrían formar parte de un espectro más sistemático de acciones no tomadas en cuenta, o ante modus operandi muy específicos que podrían variar de modalidad casi inmediatamente, cosa que ocurrió en varios países donde su legislación cayó en obsolescencia inmediata o resultó insuficiente por la ausencia de un análisis sistemático y multidisciplinario de las tecnologías de información y su uso indebido. Ahí nos quedó claro que, antes de pretender legislar sobre este fenómeno, era indispensable comprender a cabalidad cómo funcionan por dentro las tecnologías de información y cuál estaba siendo el alcance de las transformaciones económicas, sociales y culturales que aquellas causaron en la sociedad para poder identificar los bienes jurídicos que se estaban lesionando. Resultó muy interesante que el fenómeno fuese global y que estuviese todavía edificándose, porque cualquier referencia que encontrábamos siempre era útil para el proceso de sistematización. Después de esta inmersión en el tema fue que estuvimos en condiciones de recibir -y de entender- la asesoría de los expertos en tecnologías de información, quienes nos aportaron las bases para asimilar los principios, características y funcionamiento de las actividades relacionadas con la creación, procesamiento, almacenamiento y transmisión de datos. Los ingenieros Milton Chávez, Kirsty Barany, provenientes del sector privado, Rafael Ocando, quien también venía del sector privado pero era miembro del Comité Nacional de Tecnologías de Información del Ministerio de Ciencia y Tecnología y Juan Carlos Aponte, Jefe de la División de Experticias Informáticas del CICPC, nos ayudaron a adquirir la mirada necesaria para identificar las vulnerabilidades de los sistemas y las modalidades posibles de uso indebido. Con los aportes recibidos del equipo multidisciplinario pudimos identificar también que la incipiente doctrina jurídica penal que había sobre el tema era muy superficial; incluso la terminología era inexacta o estaba desactualizada y muchos de sus conceptos no estaban en sintonía con el fenómeno que pretendían explicar. Todos los hallazgos, que supusieron además un aprendizaje, nos animaron a abordar el proyecto con un criterio propio pero enriquecido por las referencias globales.

Fotografía de Rob Engelaar | ANP | AFP

–Es curiosa la inusitada vigencia actual de una ley como ésta, vinculada con la tecnología, a pesar de haber transcurrido veinte años desde su elaboración. ¿Cómo las proyectistas se plantearon abordar el riesgo de obsolescencia?

-Como primer paso, revisamos las tendencias previsibles para los cinco años siguientes de las tecnologías en uso a través de datos provenientes de fuentes como el Instituto Tecnológico de Massachusetts (MIT), La Oficina Federal de Investigaciones de los Estados Unidos de América (FBI), varias empresas creadoras de tecnología de punta para el momento como Microsoft, IBM y Telecom y otras fuentes como noticias, entrevistas o publicaciones de los gurús del área como Tim Berners-Lee, Don Tapscott o Manuel Castells, entre otros. Además, con la ayuda de los expertos en tecnologías de información, identificamos y validamos, no solo las incipientes conductas maliciosas ya manifestadas en Venezuela -entre ellas, el fraude electrónico que dio origen a todo este proceso- sino otras adicionales que ya habían sido detectadas y perseguidas con éxito o no en el resto del mundo y, lo más importante, agregamos otras nuevas, cuya aparición futura en nuestro país sería solo cuestión de tiempo -y, en efecto, así ocurrió-, de modo que el proyecto se concibió como una ley previsiva, no reactiva. Y, finalmente, en la redacción del proyecto se cuidó que las definiciones fuesen más funcionales que descriptivas para procurar su intemporalidad a pesar de las modas pasajeras. De hecho, muchas novedades que no existían hace veinte años, como la Internet de las cosas, la minería de criptoactivos o las redes sociales, simplemente son nuevas aplicaciones de los sistemas que usan tecnologías de información y de comunicación. En estos años de evolución han mejorado la potencia, la robustez, la velocidad, las nuevas conexiones, entre otras cosas, pero siguen idénticos los fundamentos para la creación, procesamiento y conservación de datos, al igual que los protocolos para la transmisión de esos datos y su disponibilidad para los usuarios.

–Cuál fue el objetivo que les pareció más difícil de alcanzar?  

-Que la Ley funcionara en la práctica. Todo el equipo tuvo esa meta clara desde el primer día y los principios que nos fijamos fue contemplar todas las conductas dañinas, tanto existentes como previsibles, de manera ordenada y sistemática para construir los nuevos tipos penales, que debían ser cerrados (sin ambigüedades, ni remisiones a otras normas) en resguardo al principio de legalidad sancionatorio, pero redactados de modo que las conductas fuesen descritas de la forma más genérica posible para que recogieran todas las especificidades y modalidades previsibles de la actividad tildada como reprochable. Tener ese cuidado era lo único que evitaría perder una tipificación apropiada por culpa de un pequeño detalle o un determinado modus operandi que podría dejar fuera de la Ley muchas conductas que violaban el bien jurídico que se intentaba proteger.

–¿Para qué sirve la Ley Especial contra los Delitos Informáticos y por qué la necesitamos?

En la medida en que empresas, centros de investigación, instituciones educativas o asistenciales, organizaciones no gubernamentales, ciudadanos y los propios Estados se hicieron más dependientes de las tecnologías de información se hizo necesaria su protección integral. Paralelamente a las ventajas que el avance de estas aportaba a todas las áreas del desarrollo humano, también resultaba inocultable la percepción de que los sistemas y las redes podían no ser tan seguros si, por ejemplo, podía sabotearse la operación de un aeropuerto, o se destruían los datos de los inscritos en una universidad, o se invadía la privacidad de las comunicaciones, o se afectaba el patrimonio ajeno a través de operaciones electrónicas fraudulentas en la plataforma de un banco, entre otras conductas nefastas. Promulgar una Ley penal que persiguiera y sancionara este tipo de manifestaciones, que afectan bienes jurídicos relevantes y ralentizan los beneficios derivados del desarrollo tecnológico, constituía una de las capas -el último reducto- de protección, que opera si se afecta el bien jurídico protegido cuando fallan medidas preventivas como el monitoreo de los sistemas, la adopción de cortafuegos y de antimalware, las buenas prácticas en el uso de contraseñas y la delimitación de los niveles de autorización de los usuarios en los sistemas de uso compartido, entre otras.

–¿Qué necesita saber el ciudadano que consume, genera y comparte datos, para no ser sancionado por alguno de los delitos tipificados en la Ley?

-Todo ciudadano debe tener una razonable certeza de que jamás será sancionado por hacer uso de sus propios datos, de aquellos que sean de libre intercambio o de aquellos a cuyo acceso tiene derecho por razones educativas, profesionales o comerciales, y los términos para obtenerlos le permiten su disposición o divulgación. Esos linderos deberían estar muy claros para los usuarios, puesto que cualquier cuenta, producto o aplicación viene con los permisos y las restricciones incorporadas, los cuales deben ser aceptados para poder usarlos. La situación es distinta cuando alguien accede sin autorización a los equipos o cuentas de usuario de otro y divulga o se aprovecha de cualquier manera esos datos ajenos. Esas conductas, aunque quien las realice sea un familiar o alguien allegado al propietario de los datos, están calificadas como violación de la privacidad o revelación indebida de los datos o información de carácter personal y están penada por la Ley.

Imagen de TheDigitalArtist | Pixabay

–¿Cuáles son los delitos que contempla la Ley Especial contra los Delitos Informáticos?

-La Ley creó veintiún nuevos tipos penales estructurados de manera sistemática que contemplan, por una parte, la protección penal de los sistemas que usan tecnologías de información contra los delitos cometidos por hackers o quien se valga de ellos o de sus métodos: acceso indebido, sabotaje o daño a sistemas, favorecimiento culposo de sabotaje o daño, acceso indebido o sabotaje a sistemas protegidos, posesión de equipos o prestación de servicios de sabotaje, espionaje informático y falsificación de documentos electrónicos. Con este grupo de delitos quedó reconocida la existencia de un nuevo bien jurídico digno de protección penal: la información. Pero también se tipificaron otros nuevos delitos que vulneraban bienes jurídicos ya reconocidos por la Ley Penal o la Doctrina, como son la Propiedad, la Privacidad de las personas y las comunicaciones, los derechos de los niños, niñas y adolescentes y el Orden Económico. Los delitos contra la propiedad son el hurto informático, el fraude informático, la obtención indebida de bienes o servicios, el manejo fraudulento de tarjetas inteligentes o instrumentos análogos, la apropiación de tarjetas inteligentes o instrumentos análogos, la provisión indebida de bienes o servicios y la posesión de equipos para falsificaciones. Los delitos contra la Privacidad son la Violación de la privacidad de los datos o información de carácter personal, la Violación a la privacidad de las comunicaciones y la revelación indebida de los datos o información de carácter personal. Los delitos contra los Niños y Adolescentes son la Difusión de material pornográfico sin restricciones de acceso a menores de edad y la Exhibición pornográfica de niños y adolescentes y, por último, se incorporaron dos delitos contra el Orden Económico, de carácter residual, que son la Apropiación de propiedad intelectual que haya sido compartida libremente por su autor y la Oferta Engañosa.

–¿Considera que la Ley requiere alguna actualización o que hay conductas que deberían criminalizarse o descriminalizarse?

-Defiendo siempre la perspectiva del Derecho Penal Mínimo y la silenciosa pero importante garantía que representa la mayor estabilidad posible de cualquier ley penal. También creo que hay que tener cuidado con los vaivenes de las tendencias de moda. Hay un ejemplo muy bueno de lo que nos ocurrió durante el proceso de formación de la Ley. Había una práctica que estaba muy mal vista en todo el mundo y contra la cual algunos países estaban adoptando sanciones penales para combatirla. Se trataba del spam o correo no deseado, que afectaba las cuentas de correo electrónico rebasando toda su capacidad de almacenamiento. Supimos de una sentencia penal en el Estado de California y de una especie de campaña en varios medios en distintos países que promovían su castigo como delito. Cuando examinamos a fondo de qué se trataba, advertimos que esta acción causaba molestias, pero no lesionaba ningún bien jurídico digno de protección penal, no había afectación a la libertad, ni a la privacidad, ni provocaba un mal funcionamiento de los sistemas, simplemente la capacidad prevista en la bandeja de entrada de los usuarios se llenaba porque era muy pequeña, pero totalmente susceptible de ser ampliada. La verdad es que nos pareció muy severo el uso del Derecho Penal para lidiar con esto. Pero, como el problema práctico estaba allí, le preguntamos a los expertos en tecnología de información si era posible encontrar una solución técnica para evitar el spam. Y nos dieron la gran respuesta, teórica para el momento, pero adoptada con el tiempo por todos los proveedores de servicios de correo electrónico: el servidor estaba en capacidad de detectar cuando el correo recibido era masivo y podía desviarlo a una bandeja especial distinta de la bandeja de entrada sin que el usuario se enterara siquiera. Con el tiempo, esta función fue una ventaja comparativa a la hora de ofrecer los servicios de correo electrónico. Y habría sido un exceso terrible castigar penalmente la recepción indeseada de correspondencia.

Están apareciendo temas preocupantes que están siendo objeto de examen en todo el mundo y hay que esperar para ver cómo evolucionan. El primero que me llama la atención es el uso de los algoritmos para segmentar la información de los usuarios. El tratamiento que finalmente se le de a esto dependerá de la transparencia en el uso de los metadatos y la disponibilidad de la información que los ciudadanos tengan sobre el uso que se le está dando a sus datos personales. Hay mucho material interesante para incursionar en el tema. Libros como “No hemos entendido nada” del periodista Diego Salazar, o “La era del capitalismo de la vigilancia” de Shoshana Zuboff aportan mucho a la comprensión del problema. Otro asunto que será completamente retador para el campo del Derecho es cómo abordar los efectos malignos de las desviaciones tecnológicas si éstas son provocadas por la inteligencia artificial que no es considerada un sujeto de Derecho.

–¿Cuáles son en su criterio los delitos más fáciles o más difíciles de probar?

-Los logs o trazas que dejan los sistemas tienen ventajas notables sobre la prueba tradicional siempre que se maneje apropiadamente la recolección de las evidencias y la cadena de custodia.

–En su opinión, ¿la aplicación de la Ley ha sido tan fluida como lo fue su aprobación por el parlamento?

Las instituciones hicieron un esfuerzo a lo largo de estos veinte años por capacitar y crear departamentos especializados para su aplicación; sin embargo, su asimilación por parte de los operadores de justicia ha sido lenta porque si hay algo que quedó en evidencia con la irrupción de las tecnologías de información es que los distintos campos del conocimiento no condicionan los avances tecnológicos, sino todo lo contrario, son éstos los que precipitan los cambios -a veces muy abruptos- en las demás disciplinas. Por eso, sus operadores deben interpretar los signos de los tiempos y adquirir una visión multidisciplinaria para ampliar sus horizontes. En los abogados siempre fue importante tener una formación integral, pero ahora es absolutamente ineludible.