Texto

La aprobación de la Ley N° 30076 en el Perú, modifica el Código Penal, Código Procesal Penal, Código de Ejecución Penal y el Código de los Niños y Adolescentes y crea Registros y Protocolos con la finalidad de combatir la inseguridad ciudadana, según el titulo del Diario Oficial “El Peruano”.

Entre las modificaciones al Código Penal peruano, se destaca, el artículo 207-D, mediante el cual se tipifica el tráfico ilegal de datos:

Artículo 207-D. Tráfico ilegal de datos

El que, crea, ingresa o utiliza indebidamente una base de datos sobre una persona natural o jurídica, identificada o identificable, para comercializar, traficar, vender, promover, favorecer o facilitar información relativa a cualquier ámbito de la esfera personal, familiar, patrimonial, laboral, financiera u otro de naturaleza análoga, creando o no perjuicio, será reprimido con pena privativa de libertad no menor de tres ni mayor de cinco años.

2. Antecedentes y Comentarios

Según el Congresista Jaime Delgado, autor de la iniciativa, “con esta ley el tráfico ilícito de bases de datos y datos personales se convierte en un delito especial. Por tanto, aquellos que utilicen sin consentimiento del titular información relativa a cualquier ámbito de la esfera personal, familiar, patrimonial, laboral, financiera,… para traficar con ella, podrá ir preso hasta por cinco años”. [1]

El Articulo 4 de la Ley N° 29733, destaca el Principio de Legalidad, por el cual:

El tratamiento de los datos personales se hace conforme a lo establecido en la ley. Se prohíbe la recopilación de los datos personales por medios fraudulentos, desleales o ilícitos.

El Titulo II, Tratamiento de los datos personales, en su artículo 13. Alcances sobre el tratamiento de datos, numeral 13.1, precisa que éste:

Debe realizarse con pleno respeto de los derechos fundamentales de sus titulares y de los derechos que esta ley les confiere. Igual regla rige para su utilización por terceros.

El Titulo VII Infracciones y Sanciones Administrativas, en su artículo 38° Infracciones, se refiere  tanto a la definición como al tipo de infracción.

Artículo 38. Infracciones

Constituye infracción sancionable toda acción u omisión que contravenga o incumpla alguna de las disposiciones contenidas en esta Ley o en su reglamento.

Las infracciones se califican como leves, graves y muy graves.

1. Son infracciones leves:

a.  Dar tratamiento a datos personales sin recabar el consentimiento de sus titulares, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley.

b. No atender, impedir u obstaculizar el ejercicio de los derechos del titular de datos personales reconocidos en el título III, cuando legalmente proceda.

c. Obstruir el ejercicio de la función fiscalizadora de la Autoridad Nacional de Protección de Datos Personales.

2. Son infracciones graves:

a. Dar tratamiento a los datos personales contraviniendo los principios establecidos en la presente Ley o incumpliendo sus demás disposiciones o las de su Reglamento.

b. Incumplir la obligación de confidencialidad establecida en el artículo 17.

c. No atender, impedir u obstaculizar, en forma sistemática, el ejercicio de los derechos del titular de datos personales reconocidos en el título III, cuando legalmente proceda.

d. Obstruir, en forma sistemática, el ejercicio de la función fiscalizadora de la Autoridad Nacional de Protección de Datos Personales.

e. No inscribir el banco de datos personales en el Registro Nacional de Protección de Datos Personales.

3. Son infracciones muy graves:

a. Dar tratamiento a los datos personales contraviniendo los principios establecidos en la presente Ley o incumpliendo sus demás disposiciones o las de su Reglamento, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales.

b. Crear, modificar, cancelar o mantener bancos de datos personales sin cumplir con lo establecido por la presente Ley o su reglamento.

c. Suministrar documentos o información falsa o incompleta a la Autoridad Nacional de Protección de Datos Personales.

d. No cesar en el tratamiento ilícito de datos personales, cuando existiese un previo requerimiento de la Autoridad Nacional de Protección de Datos Personales para ello.

e. No inscribir el banco de datos personales en el Registro Nacional de Protección de Datos Personales, no obstante haber sido requerido para ello por la Autoridad Nacional de Protección de Datos Personales.

La calificación, la graduación del monto de las multas, el procedimiento para su aplicación y otras tipificaciones se efectúan en el reglamento de la presente Ley.

Según LOPEZ CARBALLO[2] , la aprobación del artículo 207-D en el Código Penal:

Sin duda va encaminada a reforzar la seguridad de los ciudadanos con respecto a su información, complementando las sanciones administrativas contempladas en la legislación peruana en protección de datos, junto con penas privativas de libertad de entre tres y cinco años. Una correcta protección de la intimidad, el honor y la privacidad de las personas, debe completarse con medidas penales, que persigan nuevos tipos delictivos y que se adapten a los nuevos tiempos, nuevos tipos de delincuencia y de conductas delictivas, y a las nuevas tecnologías, este esfuerzo del legislador peruano, debe completarse con una acción global de todos los países, en los tiempos actuales, los flujos de datos, el auge de Internet y las transferencias internacionales de datos, así como tratamientos transfronterizos, requieren una respuesta conjunta en aras una defensa común de los derechos de las personas.

3. Análisis

En una pequeña medida el objetivo de la inclusión del artículo 207-D en el Código Penal responde a imperativos de reforzamiento de seguridad de losciudadanos (¿?) y complemento de sanciones administrativas con sanciones penales, como lo señala el Dr. López Carballo, del Observatorio Iberoamericano de Datos Personales. Incluyendo una correcta protección de los delitos de privacidad y honor, a nuevos tipos de delitos, de delincuencia, de tecnologías; debiéndose completar la acción peruana con una acción global de todos los países, como respuesta conjunta en aras a una defensa común de los derechos de las personas.

En una gran medida, la inclusión del artículo 207-D en el Código Penal, plantea otros aspectos:

En primer lugar, un problema lingüístico. Es necesaria una definición normalizada que permita precisar los conceptos de “dato”, “bases de datos”, “tratamiento” e “información”; y si estos son ambivalentes desde la perspectiva de la técnica informática, cómputo y sistemas y las ciencias jurídicas y el derecho.

La ausencia de normalización impide acreditar, si los antiguos conceptos emitidos por el ex INEI, los actuales del ONGEI, o aquellos contenidos en las leyes de Transparencia y Acceso a la Información Publica, Código de Comercio, Código del Consumidor, Decretos Legislativos N° 822 y 823, sobre Propiedad Intelectual o los referidos a las normas de Protección de los Datos Personales y sus normas conexas y complementarias son equivalentes? Solo así podremos precisar si aquellas personas que crean, interfieren o utilizan las bases de datos personal, familiar, patrimonial, laboral, financiera u otro de naturaleza análoga, creando o no perjuicio, pueden ser sancionados.

El artículo, sin embargo, no toma en cuenta, aquellos autores – personas físicas o jurídicas – que crean programas informáticos, operados por robots, capaces de crear, organizar bases de datos; planteando el tema de la competencia y jurisdicción de la administración de justicia, en los casos de nacionalidad extranjera, domicilio de los autores y/o de los materiales y equipos utilizados para tales fines.

Tampoco la norma hace referencia si solo comprende a las bases de datos automatizadas,  o también a las bases de datos en otros tipos de soporte.

En segundo lugar, el concepto jurídico de ciudadano. La expresión de reforzar la seguridad de los ciudadanos con respecto a su información, formulada por el Dr. López Carballo en su obra citada precedentemente, propone una interesante abstracción sobre si podemos considerar a las personas jurídicas como ciudadanos. Es que el término «ciudadano» solo seria otorgable a la persona natural o física por el hecho de haber nacido en una ciudad, ser miembro de una comunidad organizada que le reconoce esa cualidad como titular de deberes y derechos propios a su ciudadanía, quedando obligado, como ciudadano, a hacer que ellos se cumplan? A menos que ciudadano sea también la persona jurídica, quien reside en una parte del territorio, que dispone de sus propios datos personales, no de la institución que  administra y/o representa, sino como persona natural,  y en tanto tal, debieran ser igualmente protegidos sus datos de todo tráfico? O finalmente, que los datos colectados y tratados pertenezcan tanto a los ciudadanos persona natural como jurídico.

En ninguno de los casos, el artículo 207-D hace mención a si la patrimonialización de los datos obtenidos mediante el tráfico constituye un agravante, enriqueciendo al autor o autores. La sola referencia es que el perjuicio o no a la víctima, es indiferente.

En tercer lugar, las infracciones previstas.

1.

La Ley N° 29733 en su artículo 38, referido a las infracciones, establece que constituye  infracción sancionable toda acción u omisión que contravenga los principios o incumpla alguna de las disposiciones contenidas en esta Ley o en su reglamento; mientras que el Artículo 207-D. tráfico ilegal de datos, solo sanciona la acción. Ello resulta de la posición adoptada por el legislador: el tráfico de datos es percibido desde la perspectiva de una amenaza o violación externa y no interna, es decir, no de aquellas personas que se ocupan del tratamiento de los bancos de datos, y a las cuales se refiere el Titulo II. Tratamiento de los datos personales, particularmente los artículos 16. Seguridad y 17. Confidencialidad.

2.      También en su artículo 38, la Ley N° 29733, considera que existen infracciones graves y muy graves, que contravienen algunos de sus principios (Arts. 4 al 12), como otras disposiciones contenidas en esta Ley o en su reglamento. Si ello es así, las infracciones graves como muy graves, adaptables al tráfico, merecieran ser sancionadas penalmente.

En cuarto lugar, las infracciones no previstas[3] .

1.      Ni el articulo 207-D, ni ninguno de los tipos de infracciones de la Ley 29733 contempla que pueden ser objeto de tráfico: los datos no actualizados, no suprimidos, no anonimizados, que han sido objeto de rectificación, oposición de la parte de sus titulares, o que los titulares de las bases de datos no han procedido o practicado para su tratamiento las medidas de seguridad señaladas por ley.

2.      Fuera de los casos previstos por la ley, el hecho de incluir o conservar en memoria informatizada, sin consentimiento expreso del interesado, datos de carácter personal que, directa o indirectamente, muestren los orígenes raciales o étnicos o las opiniones políticas, filosóficas o religiosas o la afiliación sindical de las personas, o relativos a la salud o a la orientación sexual.

3.      En caso de tratamiento de datos de carácter personal con fines de investigación en el ámbito de la salud, el hecho de proceder a un tratamiento:

1º Sin haber informado previamente y de manera individualizada a las personas de quien se recogen o transmiten los datos de carácter personal, de su derecho de acceso, rectificación y oposición, del tipo de datos transmitidos y de los destinatarios de éstos;

2º A pesar de la oposición de la persona afectada o, cuando esté legalmente previsto, en ausencia de consentimiento informado y expreso de la persona, o si se trata de una persona fallecida, a pesar de la negativa expresa de ésta en vida.

4.      El hecho de proceder al examen de las características genéticas de una persona con fines ajenos a los médicos o de investigación científica, o con fines médicos o de investigación científica, sin haber obtenido previamente su consentimiento en las condiciones previstas por el código civil y las leyes en la materia.

5.      El hecho de conservar datos de carácter personal más allá de la duración prevista por la ley o el reglamento, en la solicitud de informe o en la declaración dirigida a la Autoridad Nacional de Protección de Datos Personales, salvo si esta conservación se efectúa con fines históricos, estadísticos o científicos en las condiciones previstas por la ley.

6.      La tentativa de las infracciones previstas en el Artículo 207-D para la acción u omisión será sancionada con las mismas penas.

7.      Las personas físicas culpables de alguna de las infracciones previstas en el presente capítulo incurrirán igualmente, en las penas accesorias siguientes:

1º La prohibición del ejercicio de derechos cívicos, civiles y de familia;

2º La prohibición temporal de ejercer la actividad profesional o social en cuyo ejercicio o con ocasión de la cual se haya cometido la infracción;

3º La prohibición de tenencia o de porte, por un periodo de hasta cinco años, de un arma sujeta a autorización;

4º La publicación o la difusión de la resolución adoptada, en las condiciones previstas por ley;

5º El decomiso de los materiales, equipos que hayan servido para la comisión del delito.

8.      El hecho, cometido por toda persona que se encuentre en posesión de datos de carácter personal con ocasión de su registro, clasificación, transmisión o de cualquier otra forma de tratamiento, de desviar dichas informaciones de su finalidad definida por disposición legal o por decisión de la Autoridad Nacional de Protección de Datos Personales que autorice el tratamiento automatizado, o por las declaraciones previas a la aplicación de este tratamiento.

9.      El hecho, cometido por toda persona que, con ocasión de su registro, clasificación, transmisión o cualquier otra forma de tratamiento, haya recogido datos de carácter personal cuya divulgación tuviera por efecto atentar contra la reputación del interesado o su privacidad, de poner estas informaciones, sin autorización del interesado, en conocimiento de un tercero no autorizado para recibirlas.

10.  El hecho de proceder o hacer proceder a una transferencia de datos de carácter personal objeto, o destinados a ser objeto de tratamiento, hacia un Estado tercero, con infracción de las medidas adoptadas por la Autoridad Nacional de Protección de Datos Personales.

11.  Las disposiciones de los artículos precedentes serán aplicables a los tratamientos no automatizados de datos de carácter personal cuya aplicación no se limite al ejercicio de actividades exclusivamente personales.

12.  Las personas jurídicas podrán ser declaradas penalmente responsables de las infracciones definidas en los artículos precedentes, en las condiciones previstas por el Código Penal.

4. Colofón

4.1. El articulo 207-D

·   El articulo 207-D, del Capitulo X Delitos Informáticos, del Título V Delitos Contra el Patrimonio, del Libro Segundo del Código Penal es uno de los cuatros artículos referidos a los llamados delitos informáticos. Concierne específicamente el tráfico ilegal de datos.

·      El Tráfico Ilegal de Datos se refiere los datos contenidos en una base de datos

·      Se desconoce si las bases de datos son automatizadas o no.

·   Los datos conciernen los datos sobre una persona natural o jurídica, identificada o identificable

·      El autor es la persona que crea, ingresa o utiliza indebidamente una base de datos

·      No es relevante si el ingreso crea o no perjuicio, ni el artículo establece la naturaleza del mismo.

·      El fin de la creación, interferencia o uso es el comercio, la venta, la promoción, el tráfico, el favorecimiento, o la facilitación de la información.

·      La información puede ser personal, familiar, patrimonial, laboral, financiera, u otra análoga.

·      La sanción es pena privativa de libertad no menor de tres ni mayor de cinco anos.

4.2.Antecedentes y Comentarios

Los del Congresista Jaime Delgado y del Dr. Daniel A. López Carballo, en su “El tráfico ilegal de datos en el Código Penal peruano”.

4.3.Análisis

·     El articulo 207-D contribuye a reforzar la seguridad y complementa sanciones administrativas.

·      Plantea otros aspectos: lingüísticos, conceptuales, de infracciones previstas y no previstas.

Entre las infracciones no previstas se sugieren algunas reguladas en la ley francesa de Informática y Libertades de 1978;  evaluar su adaptación, inclusión, en el Reglamento de la ley, o bajo la forma de Lineamientos para su aplicación.

AUTOR: Carlos Ferreyros (http://derecho-ntic.blogspot.fr/)


[1]  Daniel A. López Carballo “El tráfico ilegal de datos en el Código Penal peruano”.http://oiprodat.com/2013/08/22/el-trafico-ilegal-de-datos-en-el-codigo-penal-peruano/

[2]  Op. Cit. Ut Supra.

[3]  Algunas de las infracciones no previstas han sido adaptadas de la ley francesa de Informática y Libertades de 1978.

Categorías: Destacado

Connect with:

  • RSS
  • Facebook

Popular Posts

Ciudadanía tendría

A partir de ahora usted  podrá saber si una persona ...

Ley de protección d

LaRepublica.pe entrevistó al Doctor en Informática, Carlos Ferreyros Soto, profesor ...

Fundadores de Facebo

París (AFP). Los presidentes y fundadores de los tres gigantes ...

Los políticos latin

Los políticos latinoamericanos no están aún muy diestros en el ...

Virus aprovecha la m

Un virus está aprovechando la noticia que Osaba Bin Laden ha ...

Sponsors

  • Diseño de páginas web, Hosting, Dominio.
  • Sifor Media