Análisis de los artículos que componen la Ley 19.223

Ahondaremos un poco más en la Ley 19.223 que “Tipifica las figuras penales relativas a la informática.

Como ya hemos posteado, Chile posee una serie de leyes inherentes a la seguridad de la información, sus sistemas, propiedad intelectual, información personal, firma electrónica, etc.

En este post analizaremos brevemente la Ley 19.223 y sus cuatro artículos que tipifican las figuras delictivas y delimitan su aplicación. Cabe mencionar que este análisis es explicativo y no reviste crítica alguna a dicha Ley.

En primer lugar, debemos entender ¿Qué es delito?

Según el Artículo 1 de nuestro código penal:

“Es delito toda acción u omisión voluntaria penada por la ley”.

Las acciones u omisiones penadas por la ley se reputan siempre voluntarias, a no ser que conste lo contrario.

El que cometiere delito será responsable de él e incurrirá en la pena que la ley señale, aunque el mal recaiga sobre persona distinta de aquella a quien se proponía ofender. En tal caso no se tomarán en consideración las circunstancias, no conocidas por el delincuente, que agravarían su responsabilidad;

Fuente: CÓDIGO PENAL DE LA REPUBLICA DE CHILE, Biblioteca del Congreso Nacional de Chile.

Artículos de la Ley 19.223.

Artículo N.° 1.

El que maliciosamente destruya o inutilice un sistema de tratamiento de información o sus partes o componentes, o impida, obstaculice o modifique su funcionamiento, sufrirá la pena de presidio menor en su grado medio a máximo. Si como consecuencia de estas conductas se afectaren los datos contenidos en el sistema, se aplicará la pena señalada en el inciso anterior, en su grado máximo.

Sabotaje Informático.

Verbos rectores:

-  DESTRUIR     : Deshacer, arruinar una cosa, Inutilizar una cosa no material.

-  INUTILIZAR    : Hacer inútil o nula una cosa. Que no sirva.

-  IMPEDIR       : Dificultar, imposibilitar la ejecución de una cosa.

-  OBSTACULIZAR  : Poner obstáculos, dificultar o impedir la consecución de un fin.

-  MODIFICAR     : Transformar respecto de un estado inicial, alterando algunas características pero sin modificar la esencia.

Artículo N.° 2.

El que con el ánimo de apoderarse, usar o conocer indebidamente de la información contenida en un sistema de tratamiento de la misma, lo intercepte, interfiera o acceda a él, será castigado con presidio menor en su grado mínimo a medio.

Espionaje Informático.

Verbos rectores:

-  INTERCEPTAR   : (El sistema) Apoderarse de una cosa antes de que llegue a su destino, interrumpir u obstruir una vía de comunicación.

-  INTERFERIR    : (El sistema) Cruzar, interponer algo en el camino de una cosa, o en una acción. Causar interferencia, interponer o mezclar una acción o movimiento en otro (En inglés- TOGLITCH).

-  ACCESAR       : (El sistema) Ingresar o acceder al sistema. Forma considerada incorrecta por la RAE del verbo acceder, que se emplea para expresar “acceso a sistemas informáticos”.

Todas estas conductas deben estar destinadas a:

-  APODERERSE    : (De información) Hacerse dueño de alguna cosa por la fuerza; hacerse dueño u ocuparla.

-  USAR          : (Información) Servirse de algo no siendo su propietario, dueño o autor   .

-  CONOCER       : (Información) Averiguar por el ejercicio de las facultades intelectuales, la naturaleza, cualidades, circunstancias y relaciones de las cosas.

Artículo N.° 3.

El que maliciosamente altere, dañe o destruya los datos contenidos en un sistema de tratamiento de información, será castigado con presidio menor en su grado medio.

Alteración de datos.

Verbos rectores:

-  ALTERAR       : (Datos) Cambiar la esencia o forma de una cosa.

-  DESTRUIR      : (Datos) Deshacer, arruinar una cosa.

-  DAÑAR         : (Datos) Causar detrimento o perjuicio, maltratar o echar a perder una cosa.

Artículo N.° 4.

El que maliciosamente revele o difunda los datos contenidos en un sistema de información, sufrirá la pena de presidio menor en su grado medio. Si quien incurre en estas conductas es el responsable del sistema de información, la pena se aumentará en un grado.

Revelación o difusión maliciosa de datos.

Verbos rectores:

-  REVELAR       : (Datos) Descubrir lo secreto; Proporcionar indicios o certidumbre de algo; Comunicar expresamente, o descubrir a extraños.

-  DIFUNDIR      : (Datos) Propagar o divulgar.

La pena es agravada para el caso que el autor de la conducta sea el “responsable del sistema”. No el responsable de los lineamientos generales, sino que el que esté a cargo del funcionamiento del sistema o de los subsistemas.

Comentario.

Sabemos que en cualquier organización que se utilicen las tecnologías de información y las comunicaciones será factible que ocurran incidentes relacionados a la seguridad de la información y sus sistemas de procesamiento, y que la responsabilidad de salvaguardar la infraestructura tecnológica y la información que esta procesa o contiene es de nuestra competencia, y para ello, hoy existen instrumentos técnicos y de gestión destinados a esta labor.

Es en ese contexto que he citado los artículos de la Ley 19.223 y sus alcances, ya que cualquier sistema de gestión de seguridad de la información y sus diversos planes y acciones, deben considerar la normativa vigente en cada país en la que se aplica (Para nuestro caso Chile) y así poder tener reflejado en ella, el marco regulatorio que sumado a las buenas prácticas le dan sustento y consistencia a nuestras políticas, procedimientos y estándares en de seguridad de la información.

Por último, aclarar que la intención de este post no es otra que ilustrar como mediante la legislación vigente los sistemas de procesamiento de la información y los datos almacenados en ella, así como en otras formas en las que la información es procesada y contenida, se encuentra protegida por medio de la ley y sus eventuales penas en los casos de que esta sea infringida.

Otros enlaces de información:

http://www.bcn.cl/lc/lmsolicitadas/cr

http://www.wordreference.com

http://www.wikilengua.org

Autor: Miguel Ángel Ripoll Toro

Analista de Sistemas

Gestión, Soporte y Seguridad de las TICs.

Para esta primera publicación, quiero adentrarme en la base fundamental que estable y regula el comportamiento y de las personas y sus acciones en materia de seguridad informática, vale decir, las leyes que rigen el contexto de la seguridad de la información y de sus sistemas en nuestro país y por otra parte dejar planteados otros temas inherentes a la seguridad de la información y sus sistemas.

Como es bien sabido, la masificación de las TICs a traido consigo una serie de trastornos a la vida de las personas, la mayoría de ellas se traducen en grandes beneficios como ahorro de tiempo en trámites, además del gran provecho que la aparición de estas han significado para las organizaciones que ofrecen sus bienes y/o servicios mediante plataformas tecnológicas, lo que ha permitido entrar en el mundo globalizado y competitivo en el que hoy vivimos y que genera grandes posibilidades de negocios y de redes de relaciones entre personas y organizaciones.

Pero por otro lado, la cara menos amigable de las tecnologías dice relación con la proliferación de delitos relacionados a estas y por ende se hace necesario regular su uso. Es de esa manera que nace la necesidad de normar las conductas y del bien o mal hacer en materia de seguridad de la información y los sistemas de procesamiento de esta. Es por ello, que en Chile en junio de 1993, aparece la primera de las leyes relacionadas con dicho tema, la Ley N.° 19.223, que “Tipifica las figuras penales relativas a la informática" la que a base de solo cuatro artículos de ley que ilustran las figuras penales en materia de delitos informáticos(daño informático, espionaje informático, sabotaje informático, revelación y divulgación de datos).

En agosto de 1999 se publica la Ley N.° 19.628 que “Dicta pautas en materia del tratamiento de los datos de carácter personal en registros o bancos de datos por organismos públicos o por particulares”, que permite al titular de datos personales tener control sobre la información que le concierne, aun cuando ella sea tratada por terceros en alguna actividad económica o por el Estado.

En abril de año 2002 aparece la Ley N.° 19.799 sobre “Firma electrónica y documentos electrónicos”, que busca fundamentalmente incentivar al comercio electrónico a través del establecimiento de ciertos principios como la neutralidad tecnológica, la compatibilidad internacional y equivalencia del soporte electrónico al soporte en papel.

Por otra parte, en materia de nuevas tecnologías y propiedad intelectual, en noviembre de 2003 se realizaron modificaciones que buscaron, junto con adecuar nuestra normativa interna al TLC con EE.UU, reflejar los efectos que las TICs han producido en ese ámbito. En ese contexto, se modifica la Ley N.° 19.496 que “Establece normas sobre protección de los Consumidores”, a la que se le introdujo normas relativas al ámbito informático y su interrelación con los consumidores y usuarios, como por ejemplo, el derecho de retracto en la contratación electrónica, el "spam" y reglas especiales en materia de competencia.

Si bien es cierto, contamos con normativas (leyes) que rigen el comportamiento y las acciones de las personas e instituciones que interactúan con sistemas de información y sus componentes tecnológicos, y que penalizan las acciones dolosas o involuntarias que generen perjuicio a personas, su información personal, sistemas y/o plataformas informáticas, no es menos cierto que la globalización de mercados, la súper-interconexión de los usuarios y sistemas informáticos, además de la proliferación de nuevas plataformas móviles y las redes sociales, hacen cada vez mas intrincada la labor de la seguridad de la información. Por ende se hacen necesarias, por una parte, la constante revisión y actualización de nuestra legislación y por otro lado, logar la adopción de estándares de seguridad asociados al tratamiento de la información y los sistemas de procesamiento de esta.

Consecuente con lo anterior y con la finalidad de mitigar los posibles efectos de acciones de inescrupulosos (ataques, intrusiones, fraudes, etc.) o errores por parte de los usuarios, que vulneren la seguridad de la información y de los sistemas de procesamiento de esta, se hace fundamental tomar acciones que permitan mitigar estos riesgos latentes. Para ello, debemos propender hacia la implementación y sensibilización de las buenas prácticas o estándares, con lo que sin lugar a dudas mitigaremos en gran parte los riesgos de seguridad, tanto para los sistemas de procesamiento, la información contenida en estos y por ende para las personas.

Si bien es cierto una parte importante de la seguridad de la información está dada por el marco regulatorio asociado a esta, otra parte es la implementación de fronteras físicas y lógicas (infraestructura) que impidan por ejemplo  las intrusiones y, la tercera parte y probablemente la más importante, es la adopción de una metodología de trabajo probada que nos oriente hacia las buenas prácticas y que nos brinde un marco conceptual, de aplicación y control de nuestros sistemas en el amplio espectro.

Bueno amigos, espero que esta presentación sea de utilidad para conocer nuestro marco regulatorio en materia de seguridad informática y que además permita dejar abierta una puerta hacia nuevos temas como lo son infraestructura de seguridad, normativa y estándares y por qué no, tendencias tecnológicas, entre otros.

Autor: Miguel Ángel Ripoll Toro

Analista de Sistemas

Gestión, Soporte y Seguridad de las TICs.