Con fecha 20 de junio de 2022 se publicó la Ley Nº21.459 que actualiza la legislación chilena en materia de delitos informáticos y ciberseguridad, adecuándola tanto a las exigencias del Convenio sobre la Ciberdelincuencia del Consejo de Europa, conocido como Convenio de Budapest, del cual Chile es parte, cuanto a la evolución de las tecnologías de la información y la comunicación, todo ello para dar un tratamiento más comprensivo del contexto en que se cometen estos ilícitos y subsanar la carencia de medios suficientes para su investigación.
La ley anterior tiene impacto para el análisis de los riesgos de las empresas y significará adecuaciones al modelo de prevención de delitos el que deberá actualizarse en un plazo de 6 MESES
1. REGLAS SUSTANTIVAS
Deroga la Ley N° 19.223 que “tipifica figuras penales relativas a la informática”, sustituyéndola por una nueva que “establece normas sobre delitos informáticos”, tipificando los siguientes delitos informáticos:
1. Ataque a la integridad de un sistema informático (artículo 1°). La obstaculización o conductas que impidan el normal funcionamiento, total o parcial, de un sistema informático, a través de la introducción, transmisión, daño, deterioro, alteración o supresión de los datos informáticos, se castigará con la pena de 541 días a 5 años.
2. Acceso ilícito (artículo 2°). El acceso a un sistema informático, ilegítimamente, valiéndose de cualquier medio que permita superar las barreras técnicas o las medidas tecnológicas de seguridad se castigará con la pena de 61 días a 540 días o multa de once a veinte unidades tributarias mensuales.
Si la acción se realizara con el ánimo de apoderarse o usar la información contenida en el sistema informático se castigará con la pena de 61 días a 3 años. La misma pena se aplica a la divulgación de la información. Dispone, además, el aumento de pena si el apoderamiento y uso de la información es realizado por la misma (solución concursal).
3. Interceptación ilícita (artículo 3°). La acción indebida de interceptación, interrupción o interferencia, por medios técnicos, de la transmisión no pública de información en un sistema informático o entre dos o más de aquellos será sancionado con una pena de 541 días a 3 años. El que capte por medios tecnológicos esta información, será castigado con pena de 541 días a 5 años de presidio.
4. Ataque a la integridad de los datos informáticos (artículo 4°). La alteración, daño o supresión indebida de datos informáticos causando un grave daño al titular se castigará con una pena de 541 días a 3 años.
5. Falsificación informática (artículo 5°). La introducción, alteración, daño o supresión indebidos de datos informáticos con la intención de que sean tomados como auténticos o utilizados para generar documentos auténticos será castigado con la pena de 541 días a 5 años. Si fuera realizada por funcionario público, abusando de su oficio, la pena será de 3 años y un día a 10 años.
6. Receptación de datos informáticos (artículo 6°). Sanciona al que conociendo su origen o no pudiendo menos que conocerlo (dolo eventual), comercialice, transfiera o almacene con el mismo objeto u otro fin ilícito, a cualquier título, datos informáticos (la ley define, en su artículo 15°, qué se entiende por datos informáticos), como consecuencia de los delitos de acceso e interceptación ilícitas y de falsificación informática, sufrirá la pena de esos delitos, rebajada en un grado.
7. Fraude informático (artículo 7°). Castiga la manipulación de un sistema informático, mediante la introducción, alteración, daño o supresión de datos informáticos o a través de cualquier interferencia en el funcionamiento de un sistema informático, que cause perjuicio a una persona o realizada con la finalidad de obtener un beneficio económico para sí o para un tercero.
La pena será de 1) 541 días a 5 años y multa de 11 a 15 UTM, si el valor del perjuicio excede 40 UTM; 2) 541 días a 3 años y multa de 7 a 10 UTM, si el valor del perjuicio excede de 4 y no excede de 40 UTM; 3) 61 días a 540 días y multa de 5 a 10 UTM, si el valor del perjuicio no excede de 4 UTM; y 4) 3 años y un día a 5 años y multa de 21 a 30 UTM, si el valor del perjuicio excede de 400 UTM.
8. Abuso de los dispositivos (artículo 8°). Sanciona con la pena de 61 días a 540 días a quien, con el propósito de cometer alguno de los delitos previstos en los artículos 1° a 4° de esta ley, o de alguna de las conductas constitutivas del delito de uso fraudulento de tarjeta de crédito o débito, entregare u obtuviere para su utilización, importare, difundiera o realizare otra forma de puesta a disposición uno o más dispositivos, programas computacionales, contraseñas, códigos de seguridad o de acceso u otros datos similares, creados o adaptados principalmente para la perpetración de dichos delitos.
Atenuantes (cooperación eficaz)
Establece como circunstancia atenuante especial de responsabilidad penal, la cooperación eficaz que conduzca al esclarecimiento de hechos investigados que sean constitutivos de alguno de los delitos previstos en este proyecto de ley, permita la identificación de sus responsables; o sirva para prevenir o impedir la perpetración o consumación de otros delitos de igual o mayor gravedad.
Agravantes
Constituyen circunstancias agravantes, las siguientes:
- Cometer el delito abusando de una posición de confianza en la administración del sistema informático o custodio de los datos informáticos contenidos en él, en razón del ejercicio de un cargo o función.
- Cometer el delito abusando de la vulnerabilidad, confianza o desconocimiento de niños, niñas, adolescentes o adultos mayores.
2. REGLAS PROCESALES
Establece normas procedimentales especiales relativas a las investigaciones de los hechos constitutivos de estos delitos medidas especiales de investigación del art. 222 a 226 (interceptación de comunicaciones).
Crea la figura de un agente encubierto en línea (o agente “provocador” en línea), autorizado por el juez de garantía, a petición del Ministerio Público, en que funcionarios policiales actuando bajo identidad supuesta en comunicaciones mantenidas en canales cerrados de comunicación, con el fin de esclarecer los hechos tipificados como delitos en esta ley, establecer la identidad y participación de personas determinadas en la comisión de los mismos, impedirlos o comprobarlos. El referido agente encubierto en línea podrá intercambiar o enviar por sí mismo archivos ilícitos por razón de su contenido, pudiendo obtener también imágenes y grabaciones de las referidas comunicaciones. No obstará a la consumación de los delitos que se pesquisen el hecho de que hayan participado en su investigación agentes encubiertos. El agente encubierto en sus actuaciones estará exento de responsabilidad criminal por aquellos delitos en que deba incurrir o que no haya podido impedir, siempre que sean consecuencia necesaria del desarrollo de la investigación y guarden la debida proporcionalidad con la finalidad de la misma.
Comiso
Caerán especialmente en comiso los instrumentos de los delitos penados en esta ley, los efectos que de ellos provengan y las utilidades que hubieren originado, cualquiera que sea su naturaleza jurídica.
Contempla el comiso por equivalencia: Cuando por cualquier circunstancia no sea posible decomisar estas especies, se podrá aplicar el comiso a una suma de dinero equivalente a su valor, respecto de los responsables del delito.
3. ENMIENDA DE OTROS CUERPOS LEGALES
Incorpora como delito precedente de lavado de activos los delitos informáticos antes reseñados, al incorporar estos delitos al catálogo previsto en el artículo 27 de la Ley Nº19.913, y que a su turno es fuente de responsabilidad de la persona jurídica.
Se modifica el artículo 1° de la Ley 20.393, que contiene el catálogo de delitos que pueden significar responsabilidad penal de las personas jurídicas, agregando a dicho artículo los delitos tipificados en la Ley N° 21.459.
Tipifica como nuevo delito en el artículo 36 B de la ley N° 18.168, General de Telecomunicaciones, la siguiente letra f), nueva:
“f) Los que vulneren el deber de reserva o secreto previsto en los artículos 218 bis, 219 y 222 del Código Procesal Penal, mediante el acceso, almacenamiento o difusión de los antecedentes o la información señalados en dichas normas, serán sancionados con la pena de presidio menor en su grado máximo.”
4. DEFINICIONES
¿Qué son los datos informáticos?
Por datos informáticos se entenderá toda representación de hechos, información o conceptos expresados en cualquier forma que se preste a tratamiento informático, incluidos los programas diseñados para que un sistema informático ejecute una función.
¿Qué es un sistema informático?
Por sistema informático se comprenderá todo dispositivo aislado o conjunto de dispositivos interconectados o relacionados entre sí, cuya función, o la de alguno de sus elementos, sea el tratamiento automatizado de datos en ejecución de un programa.
¿Qué es un prestador de servicios?
Prestador de servicios comprende a toda entidad pública o privada que ofrezca a los usuarios de sus servicios la posibilidad de comunicar a través de un sistema informático y cualquier otra entidad que procese o almacene datos informáticos para dicho servicio de comunicación o para los usuarios del mismo.
